标准解读

《GB/T 36959-2018 信息安全技术 网络安全等级保护测评机构能力要求和评估规范》主要针对网络安全等级保护测评机构的能力提出了具体的要求,并制定了相应的评估标准。该标准旨在通过明确测评机构应具备的基本条件、技术能力和管理水平,确保其能够有效地开展网络安全等级保护测评工作,从而为保障国家关键信息基础设施的安全提供支持。

标准内容涵盖了测评机构的组织结构与管理机制、人员素质和技术能力、测评工具及设施、质量管理体系等多个方面。对于组织结构与管理机制而言,强调了测评机构需建立完善的内部管理制度,包括但不限于质量管理、风险管理和信息安全管理制度等;同时,还需设立专门的质量管理部门或岗位,负责监督执行情况并持续改进相关流程。

在人员素质和技术能力方面,《GB/T 36959-2018》规定了从事网络安全等级保护测评工作的专业技术人员应当掌握的知识体系框架,包括但不限于网络安全基础知识、法律法规常识以及特定领域的专业技术知识等。此外,还要求定期对员工进行培训教育,以保持团队的专业水平处于行业领先状态。

关于测评工具及设施,《GB/T 36959-2018》指出测评机构必须配备必要的软硬件资源来支撑其业务运作。这不仅限于基本办公设备如计算机、网络通信设施等,更重要的是指那些专门用于实施各类安全检测的专业化软件工具和服务平台。这些工具应当经过权威认证,保证其准确性和可靠性。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2018-12-28 颁布
  • 2019-07-01 实施
©正版授权
GB/T 36959-2018信息安全技术网络安全等级保护测评机构能力要求和评估规范_第1页
GB/T 36959-2018信息安全技术网络安全等级保护测评机构能力要求和评估规范_第2页
GB/T 36959-2018信息安全技术网络安全等级保护测评机构能力要求和评估规范_第3页
GB/T 36959-2018信息安全技术网络安全等级保护测评机构能力要求和评估规范_第4页
GB/T 36959-2018信息安全技术网络安全等级保护测评机构能力要求和评估规范_第5页
免费预览已结束,剩余27页可下载查看

下载本文档

GB/T 36959-2018信息安全技术网络安全等级保护测评机构能力要求和评估规范-免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T36959—2018

信息安全技术网络安全等级保护

测评机构能力要求和评估规范

Informationsecuritytechnology—Capabilityrequirementsandevaluation

specificationforassessmentorganizationofclassifiedprotectionofcybersecurity

2018-12-28发布2019-07-01实施

国家市场监督管理总局发布

中国国家标准化管理委员会

GB/T36959—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

测评机构能力要求

4………………………2

测评机构的分级

4.1……………………2

等级测评人员的分级

4.2………………2

级测评机构能力要求

4.3Ⅰ……………2

级测评机构能力要求

4.4Ⅱ……………6

级测评机构能力要求

4.5Ⅲ……………11

测评机构行为规范性要求

4.6…………16

测评机构能力评估

5………………………16

评估流程

5.1……………16

初次评估

5.2……………18

期间评估

5.3……………19

能力复评

5.4……………19

附录规范性附录网络安全等级保护测评机构能力增强要求各级总结情况一览表

A()……………20

附录规范性附录网络安全等级保护测评师能力要求

B()……………24

GB/T36959—2018

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位公安部第三研究所公安部信息安全等级保护评估中心公安部网络安全保卫

:()、

局中关村信息安全测评联盟

、。

本标准主要起草人罗峥李升刘静王宁范春玲马俊张宇翔李明刘香江雷朱建平

:、、、、、、、、、、、

毕马宁沙淼淼

、。

GB/T36959—2018

引言

中华人民共和国网络安全法第二十一条规定国家实行网络安全等级保护制度等级保护制度

《》,。

推进工作的一个重要内容是对等级保护对象开展安全测评通过测评掌握其安全状况为整改建设和监

,,

督管理提供依据开展安全测评应选择符合规定条件和相应能力的测评机构并规范化其测评活动通

。,,

过专业化技术队伍建设最终构建起网络安全等级保护测评体系在此背景下为确保有效指导测评机

,。,

构的能力建设满足等级保护工作要求特制定本标准

,,。

网络安全等级保护测评机构能力要求参考国际国内测评与检验检测机构能力建设与评定的相关

内容结合网络安全等级保护测评工作的特点对网络安全等级保护测评机构的组织管理能力测评实

,,、

施能力设施和设备安全与保障能力质量管理能力规范性保证能力等提出基本能力要求为规范网络

、、、,

安全等级保护测评机构的建设和管理及其能力评估工作提供依据

网络安全等级保护测评机构能力评估规范部分结合网络安全等级保护测评工作的特点从委托受

,

理评估准备文件审核现场评估整改验收到评估报告提交等整个评估过程提出了规范性要求

、、、、,。

GB/T36959—2018

信息安全技术网络安全等级保护

测评机构能力要求和评估规范

1范围

本标准规定了网络安全等级保护测评机构的能力要求和评估规范

本标准适用于拟成为或晋级为更高级网络安全等级保护测评机构的能力建设运营管理和资格评

定等活动

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术信息系统安全等级保护测评要求

GB/T28448

信息安全技术网络安全等级保护测评过程指南

GB/T28449

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T28448。

31

.

能力评估capabilityevaluation

依据标准和或其他规范性文件对测评机构申请单位的能力进行评审验证和评价的过程

(),、。

32

.

评估机构evaluationorganization

对申请成为测评机构的企事业单位进行能力评估的专业技术机构

33

.

初次评估first-timeevaluation

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论