信息安全等级保护测评机构能力规范征求意见稿

1、GA 中华人民共和国公共安全行业标准 GA ×××× ×××× 信息安全等级保护测评机构能力规范Criteria for operation of bodies performing testing and evaluation of classified protection of information system security（征求意见稿）200×-××-×× 发布 200×-××-×× 实施中华人民共和

2、国公安部 发 布前 言本标准由中华人民共和国公安部网络安全保卫局提出。本标准起草单位：公安部信息安全等级保护评估中心。本标准主要起草人： 公安部信息安全等级保护评估中心负责对本标准的解释。信息安全等级测评机构能力规范1 范围本标准规定了信息系统安全等级测评机构的能力要求。本标准适用于对等级测评机构的测评能力进行确认的活动。2 术语和定义2.1 等级测评 classified security testing and evaluation等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。2.2 等级测评机

3、构 bodies performing classified security testing and evaluation等级测评机构是经有关部门能力认可，经有关部门推荐，在一定范围内从事信息系统安全等级测评等工作的专业技术机构。3 机构资质要求3.1 等级测评机构或其母体应具有明确的法律地位，且应满足以下条件： a) 在中华人民共和国境内注册成立（港澳台地区除外）； b) 由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）； c) 产权关系明晰，注册资金100万元以上。3.2 等级测评机构应从事信息系统检测评估相关工作2年以上。3.3 等级测评机构应当按照有关规定和统一

4、标准提供“客观、公正、安全”的测评服务，按照统一的测评报告模板出具测评报告。3.4 测评机构不得从事下列活动： a) 承担信息系统安全建设整改工作； b) 将等级测评任务分包、外包；c) 从事信息安全产品开发、营销和信息系统集成活动；d) 限定被测评单位购买、使用其指定的信息安全产品； d) 未经许可占有、使用有关测评信息、资料及数据文件。 f) 其他可能影响测评客观、公正的活动。4可信性4.1 等级测评机构的单位法人及主要工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录。4.2 等级测评机构的工作人员应当提供真实的本人社会背景、工作经历和奖惩情况的证明材料，声明相关材料的真实性并承担

5、法律责任。4.3 等级测评机构应对工作人员的证明材料进行审查，确保工作人员符合等级测评工作的需要。4.4 等级测评机构应提供技术和管理措施来确保等级测评相关信息的安全、可控，这些信息包括但不限于： a) 被测评单位提供的资料； b) 等级测评活动生成的数据； c) 依据上述信息做出的分析与专业判断。4.5 等级测评机构使用的工具应具备全面的功能列表，且不存在功能列表之外的隐蔽功能。4.6 等级测评机构应针对等级测评工作制定保密管理规范，明确保密岗位与职责，定期对工作人员进行保密教育，与其签订保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。4.7 等级测评机构和测评人员应

6、遵守国家保密法的规定，保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等，防范测评风险。4.8 对国家安全、社会秩序、公共利益不构成威胁。5 组织和人员5.1 等级测评机构应具有胜任等级测评工作的专业技术人员和管理人员，大学本科（含）以上学历所占比例不低于80%。其中测评技术人员不少于10人。5.1 等级测评机构应设立满足等级测评工作需要的工作岗位，如技术主管、等级测评师、管理主管、保密安全员和档案管理员，并配备足够、相对稳定并具备相应能力的工作人员。5.2 等级测评师应当具备相应的技术能力来完成开发等级测评指导书、获取测评结果、依据测评结果做出专业判断以及出具等级测评报告等任务，

7、具备不同技术能力的人员比例应满足等级测评工作的需要。5.3 等级测评机构应建立文件化的培训制度，以确保其工作人员在专业技术和管理方面持续满足等级测评工作的需要。5.4 等级测评机构应建立并保存工作人员的人员档案，包括社会背景、工作经历、专业资格、奖惩情况等。5.5 测评人员上岗前应接受国家信息安全等级保护协调小组办公室指定的专门培训机构的培训和考核，并获得等级测评师证书后方可上岗。6 质量体系6.1 等级测评机构应依据相关质量体系标准建立、实施和保持适应等级测评工作开展的管理制度体系。6.2 等级测评机构应当不断提升自身的测评质量和管理水平，制定相应的质量目标。6.3 等级测评机构应定期评审并持续改进管理制度体系。7 设施和设备7.1 等级测评机构应具备必要的办公环境、设备、设施和管理系统。7.2 等级测评机构应具备满足等级测评工作需要的工具，如漏洞扫描器、协议分析仪、性能测试仪和渗透测试工具等。7.3 等级测评机构应具备符合相关要求的机房以及必要的软、硬件设备，用于满足信息系统仿真、技术培训和模拟测试的需要。8 测评方法、程序和记录8.1 等级测评机构应具备文档化的测评方法（如测评指导书），且满