信息安全等級保護測評機構(gòu)能力規(guī)范征求意見稿

1、GA 中華人民共和國公共安全行業(yè)標準 GA ×××× ×××× 信息安全等級保護測評機構(gòu)能力規(guī)范Criteria for operation of bodies performing testing and evaluation of classified protection of information system security（征求意見稿）200×-××-×× 發(fā)布 200×-××-×× 實施中華人民共和

2、國公安部 發(fā) 布前 言本標準由中華人民共和國公安部網(wǎng)絡(luò)安全保衛(wèi)局提出。本標準起草單位：公安部信息安全等級保護評估中心。本標準主要起草人： 公安部信息安全等級保護評估中心負責對本標準的解釋。信息安全等級測評機構(gòu)能力規(guī)范1 范圍本標準規(guī)定了信息系統(tǒng)安全等級測評機構(gòu)的能力要求。本標準適用于對等級測評機構(gòu)的測評能力進行確認的活動。2 術(shù)語和定義2.1 等級測評 classified security testing and evaluation等級測評是測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定,受有關(guān)單位委托,按照有關(guān)管理規(guī)范和技術(shù)標準,對信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。2.2 等級測評機

3、構(gòu) bodies performing classified security testing and evaluation等級測評機構(gòu)是經(jīng)有關(guān)部門能力認可，經(jīng)有關(guān)部門推薦，在一定范圍內(nèi)從事信息系統(tǒng)安全等級測評等工作的專業(yè)技術(shù)機構(gòu)。3 機構(gòu)資質(zhì)要求3.1 等級測評機構(gòu)或其母體應(yīng)具有明確的法律地位，且應(yīng)滿足以下條件： a) 在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）； b) 由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）； c) 產(chǎn)權(quán)關(guān)系明晰，注冊資金100萬元以上。3.2 等級測評機構(gòu)應(yīng)從事信息系統(tǒng)檢測評估相關(guān)工作2年以上。3.3 等級測評機構(gòu)應(yīng)當按照有關(guān)規(guī)定和統(tǒng)一

4、標準提供“客觀、公正、安全”的測評服務(wù)，按照統(tǒng)一的測評報告模板出具測評報告。3.4 測評機構(gòu)不得從事下列活動： a) 承擔信息系統(tǒng)安全建設(shè)整改工作； b) 將等級測評任務(wù)分包、外包；c) 從事信息安全產(chǎn)品開發(fā)、營銷和信息系統(tǒng)集成活動；d) 限定被測評單位購買、使用其指定的信息安全產(chǎn)品； d) 未經(jīng)許可占有、使用有關(guān)測評信息、資料及數(shù)據(jù)文件。 f) 其他可能影響測評客觀、公正的活動。4可信性4.1 等級測評機構(gòu)的單位法人及主要工作人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪記錄。4.2 等級測評機構(gòu)的工作人員應(yīng)當提供真實的本人社會背景、工作經(jīng)歷和獎懲情況的證明材料，聲明相關(guān)材料的真實性并承擔

5、法律責任。4.3 等級測評機構(gòu)應(yīng)對工作人員的證明材料進行審查，確保工作人員符合等級測評工作的需要。4.4 等級測評機構(gòu)應(yīng)提供技術(shù)和管理措施來確保等級測評相關(guān)信息的安全、可控，這些信息包括但不限于： a) 被測評單位提供的資料； b) 等級測評活動生成的數(shù)據(jù)； c) 依據(jù)上述信息做出的分析與專業(yè)判斷。4.5 等級測評機構(gòu)使用的工具應(yīng)具備全面的功能列表，且不存在功能列表之外的隱蔽功能。4.6 等級測評機構(gòu)應(yīng)針對等級測評工作制定保密管理規(guī)范，明確保密崗位與職責，定期對工作人員進行保密教育，與其簽訂保密責任書，規(guī)定應(yīng)當履行的安全保密義務(wù)和承擔的法律責任，并負責檢查落實。4.7 等級測評機構(gòu)和測評人員應(yīng)

6、遵守國家保密法的規(guī)定，保守在測評活動中知悉的國家秘密、商業(yè)秘密、敏感信息和個人隱私等，防范測評風險。4.8 對國家安全、社會秩序、公共利益不構(gòu)成威脅。5 組織和人員5.1 等級測評機構(gòu)應(yīng)具有勝任等級測評工作的專業(yè)技術(shù)人員和管理人員，大學本科（含）以上學歷所占比例不低于80%。其中測評技術(shù)人員不少于10人。5.1 等級測評機構(gòu)應(yīng)設(shè)立滿足等級測評工作需要的工作崗位，如技術(shù)主管、等級測評師、管理主管、保密安全員和檔案管理員，并配備足夠、相對穩(wěn)定并具備相應(yīng)能力的工作人員。5.2 等級測評師應(yīng)當具備相應(yīng)的技術(shù)能力來完成開發(fā)等級測評指導(dǎo)書、獲取測評結(jié)果、依據(jù)測評結(jié)果做出專業(yè)判斷以及出具等級測評報告等任務(wù)，

7、具備不同技術(shù)能力的人員比例應(yīng)滿足等級測評工作的需要。5.3 等級測評機構(gòu)應(yīng)建立文件化的培訓制度，以確保其工作人員在專業(yè)技術(shù)和管理方面持續(xù)滿足等級測評工作的需要。5.4 等級測評機構(gòu)應(yīng)建立并保存工作人員的人員檔案，包括社會背景、工作經(jīng)歷、專業(yè)資格、獎懲情況等。5.5 測評人員上崗前應(yīng)接受國家信息安全等級保護協(xié)調(diào)小組辦公室指定的專門培訓機構(gòu)的培訓和考核，并獲得等級測評師證書后方可上崗。6 質(zhì)量體系6.1 等級測評機構(gòu)應(yīng)依據(jù)相關(guān)質(zhì)量體系標準建立、實施和保持適應(yīng)等級測評工作開展的管理制度體系。6.2 等級測評機構(gòu)應(yīng)當不斷提升自身的測評質(zhì)量和管理水平，制定相應(yīng)的質(zhì)量目標。6.3 等級測評機構(gòu)應(yīng)定期評審并持續(xù)改進管理制度體系。7 設(shè)施和設(shè)備7.1 等級測評機構(gòu)應(yīng)具備必要的辦公環(huán)境、設(shè)備、設(shè)施和管理系統(tǒng)。7.2 等級測評機構(gòu)應(yīng)具備滿足等級測評工作需要的工具，如漏洞掃描器、協(xié)議分析儀、性能測試儀和滲透測試工具等。7.3 等級測評機構(gòu)應(yīng)具備符合相關(guān)要求的機房以及必要的軟、硬件設(shè)備，用于滿足信息系統(tǒng)仿真、技術(shù)培訓和模擬測試的需要。8 測評方法、程序和記錄8.1 等級測評機構(gòu)應(yīng)具備文檔化的測評方法（如測評指導(dǎo)書），且滿