书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ 中华人民共和国国家标准 犌犅 ／ 犜 ３６９５９ — ２０１８ 信息安全技术 　 网络安全等级保护测评机构能力要求和评估规范 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犆犪狆犪犫犻犾犻狋狔狉犲狇狌犻狉犲犿犲狀狋狊犪狀犱犲狏犪犾狌犪狋犻狅狀狊狆犲犮犻犳犻犮犪狋犻狅狀犳狅狉犪狊狊犲狊狊犿犲狀狋狅狉犵犪狀犻狕犪狋犻狅狀狅犳犮犾犪狊狊犻犳犻犲犱狆狉狅狋犲犮狋犻狅狀狅犳犮狔犫犲狉狊犲犮狌狉犻狋狔 ２０１８  １２  ２８ 发布 ２０１９  ０７  ０１ 实施 国家市场监督管理总局 中国国家标准化管理委员会 发布书 书 书目 　　 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 测评机构能力要求 ２ ……………………………………………………………………………………… 　 ４．１ 　 测评机构的分级 ２ …………………………………………………………………………………… 　 ４．２ 　 等级测评人员的分级 ２ ……………………………………………………………………………… 　 ４．３ 　 Ⅰ 级测评机构能力要求 ２ …………………………………………………………………………… 　 ４．４ 　 Ⅱ 级测评机构能力要求 ６ …………………………………………………………………………… 　 ４．５ 　 Ⅲ 级测评机构能力要求 １１ …………………………………………………………………………… 　 ４．６ 　 测评机构行为规范性要求 １６ ………………………………………………………………………… ５ 　 测评机构能力评估 １６ ……………………………………………………………………………………… 　 ５．１ 　 评估流程 １６ …………………………………………………………………………………………… 　 ５．２ 　 初次评估 １８ …………………………………………………………………………………………… 　 ５．３ 　 期间评估 １９ …………………………………………………………………………………………… 　 ５．４ 　 能力复评 １９ …………………………………………………………………………………………… 附录 Ａ （ 规范性附录 ） 　 网络安全等级保护测评机构能力增强要求各级总结情况一览表 ２０ …………… 附录 Ｂ （ 规范性附录 ） 　 网络安全等级保护测评师能力要求 ２４ …………………………………………… Ⅰ 犌犅 ／ 犜 ３６９５９ — ２０１８ 前 　　 言 　　 本标准按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本标准起草单位 ： 公安部第三研究所 （ 公安部信息安全等级保护评估中心 ）、 公安部网络安全保卫局 、 中关村信息安全测评联盟 。 本标准主要起草人 ： 罗峥 、 李升 、 刘静 、 王宁 、 范春玲 、 马俊 、 张宇翔 、 李明 、 刘香 、 江雷 、 朱建平 、 毕马宁 、 沙淼淼 。 Ⅲ 犌犅 ／ 犜 ３６９５９ — ２０１８ 引 　　 言 　　 《 中华人民共和国网络安全法 》 第二十一条规定 ， 国家实行网络安全等级保护制度 。 等级保护制度推进工作的一个重要内容是对等级保护对象开展安全测评 ， 通过测评掌握其安全状况 ， 为整改建设和监督管理提供依据 。 开展安全测评应选择符合规定条件和相应能力的测评机构 ， 并规范化其测评活动 ， 通过专业化技术队伍建设 ， 最终构建起网络安全等级保护测评体系 。 在此背景下 ， 为确保有效指导测评机构的能力建设 ， 满足等级保护工作要求 ， 特制定本标准 。 网络安全等级保护测评机构能力要求参考国际 、 国内测评与检验检测机构能力建设与评定的相关内容 ， 结合网络安全等级保护测评工作的特点 ， 对网络安全等级保护测评机构的组织管理能力 、 测评实施能力 、 设施和设备安全与保障能力 、 质量管理能力 、 规范性保证能力等提出基本能力要求 ， 为规范网络安全等级保护测评机构的建设和管理及其能力评估工作提供依据 。 网络安全等级保护测评机构能力评估规范部分结合网络安全等级保护测评工作的特点 ， 从委托受理 、 评估准备 、 文件审核 、 现场评估 、 整改验收 ， 到评估报告提交等整个评估过程提出了规范性要求 。 Ⅳ 犌犅 ／ 犜 ３６９５９ — ２０１８ 信息安全技术 　 网络安全等级保护测评机构能力要求和评估规范 １ 　 范围 本标准规定了网络安全等级保护测评机构的能力要求和评估规范 。 本标准适用于拟成为或晋级为更高级网络安全等级保护测评机构的能力建设 、 运营管理和资格评定等活动 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文 件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ２８４４８ 　 信息安全技术 　 信息系统安全等级保护测评要求 ＧＢ ／ Ｔ２８４４９ 　 信息安全技术 　 网络安全等级保护测评过程指南 ３ 　 术语和定义 ＧＢ ／ Ｔ２８４４８ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 　 能力评估 　 犮犪狆犪犫犻犾犻狋狔犲狏犪犾狌犪狋犻狅狀 依据标准和 （ 或 ） 其他规范性文件 ， 对测评机构申请单位的能力进行评审 、 验证和评价的过程 。 ３ ． ２ 　 评估机构 　 犲狏犪犾狌犪狋犻狅狀狅狉犵犪狀犻狕犪狋犻狅狀 对申请成为测评机构的企事业单位进行能力评估的专业技术机构 。 ３ ． ３ 　 初次评估 　 犳犻狉狊狋狋犻犿犲犲狏犪犾狌犪狋犻狅狀 评估机构依据本规范和相关文件 ， 首次对测评机构能力进行核查 、 验证和评价的过程 。 ３ ． ４ 　 期间评估 　 犮狅狀狋犻狀狌狅狌狊犲狏犪犾狌犪狋犻狅狀 为已经获得推荐证书的测评机构是否持续地符合能力要求而在证书有效期内安排的定期或不定期 的评估 、 抽查等活动 。 ３ ． ５ 　 能力复评 　 犮犪狆犪犫犻犾犻狋狔狉犲狏犻犲狑 测评机构推荐证书有效期结束前 ， 由评估机构对其实施全面评估以确认其是否持续符合能力要求 ， 为延续到下一个推荐有效期提供依据的活动 。 ３ ． ６ 　 评估员 　 犲狏犪犾狌犪狋狅狉 由评估机构委派 ， 对测评机构实施能力评估的人员 。 １ 犌犅 ／ 犜 ３６９５９ — ２０１８ ４ 　 测评机构能力要求 ４ ． １ 　 测评机构的分级 测评机构的级别代表了网络安全等级保护测评机构技术水平和业务服务能力的差异 。 测评机构按能力要求分为三级 ， 级别由低到高依次是 Ⅰ 级 、 Ⅱ 级和 Ⅲ 级 ， 级差是通过增加新的能力要求条款或在原条款基础上提出增强要求来实现 。 各级能力增强要求的总结情况见附录 Ａ 中表 Ａ．１ 。 ４ ． ２ 　 等级测评人员的分级 测评机构从事等级测评工作的人员按能力要求分为三级 ， 级别由低到高依次是初级 、 中级 、 高级 ， 具体要求见附录 Ｂ 。 ４ ． ３ 　 Ⅰ 级测评机构能力要求 ４ ． ３ ． １ 　 基本条件 测评机构应当具备以下基本条件 ： ａ ） 　 在中华人民共和国境内注册成立 ， 由中国公民 、 法人投资或者国家投资的企事业单位 ； ｂ ） 　 产权关系明晰 ， 注册资金 ５００ 万元以上 ， 独立经营核算 ， 无违法违规记录 ； ｃ ） 　 从事网络安全服务两年以上 ， 具备一定的网络安全检测评估能力 ； ｄ ） 　 法定代表人 、 主要负责人 、 测评人员仅限中华人民共和国境内的中国公民 ， 且无犯罪记录 ； ｅ ） 　 具有网络安全相关工作经历的技术和管理人员不少于 １５ 人 ， 专职渗透测试人员不少于 ２ 人 ， 岗位职责清晰 ， 且人员相对稳定 ； ｆ ） 　 具有固定的办公场所 ， 配备满足测评业务需要的检测评估工具 、 实验环境等 ； ｇ ） 　 具有完备的安全保密管理 、 项目管理 、 质量管理 、 人员管理 、 档案管理和培训教育等规章制度 ； ｈ ） 　 不涉及网络安全产品开发 、 销售或信息系统安全集成等可能影响测评结果公正性的业务 （ 自用除外 ）； ｉ ） 　 应具备的其他条件 。 ４ ． ３ ． ２ 　 组织管理能力 ４ ． ３ ． ２ ． １ 　 测评机构管理者应掌握等级保护政策文件 ， 熟悉相关的标准规范 。 ４ ． ３ ． ２ ． ２ 　 测评机构应按一定方式组织并设立相关部门 ， 明确其职责 、 权限和相互关系 ， 保证各项工作的有序开展 。 ４ ． ３ ． ２ ． ３ 　 测评机构应具有胜任等级测评工作的专业技术人员和管理人员 ， 大学本科 （ 含 ） 以上学历所占比例不低于 ７０％ 。 ４ ． ３ ． ２ ． ４ 　 测评机构应设置满足等级测评工作需要的岗位 ， 如测评技术员 、 测评项