信息安全等级测评机构能力要求(试行).docx

信息安全等级保护测评体系建设与测评工作规范性文件信息安全等级测评机构能力要求（试行）Competence for operation of bodies performing testing andevaluation of classified protection of information system security200x-xx-xx 实施200x-xx-xx 发布公安部信息安全等级保护评估中心1 范围 32 名词解释 33 基本条件 34 组织管理能力 45 测评实施能力 56 设施和设备安全与保障能力 77 质量管理能力 88 规范性保证能力 89 风险控制能力 1010可持续性发展能力 1011测评机构能力约束性要求 11> » —1—冃IJ 5公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公 信安[2010]303号），决定加快等级保护测评体系建设工作信息安全等级测评机构的建设是 测评体系建设的重要内容，为确保有效指导测评机构的能力建设，规范其测评活动，满足信 息安全等级保护工作要求，特制定本规范《信息安全等级测评机构能力要求》（以卜•简称《能力要求》）是等级保护测评体系建设 指导性文件之一。

本规范吸取国际、国内测评与检查机构能力评定的相关内容，结合信息安 全等级测评工作的特点，对测评机构的组织管理能力、测评实施能力、设施和设备安全与保 障能力、质量管理能力、规范性保证能力等提出基本能力要求，为规范等级测评机构的建设 和管理，及其能力评估工作的开展提供依据信息安全等级测评机构能力要求1范围本规范规定了测评机构的能力要求本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动2名词解释2.1等级测评等级测评是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术 标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动2. 2等级测评机构等级测评机构，是指具备测评机构基本条件，经能力评估和审核，由省级以上信息安全 等级保护工作协调（领导）小组办公室推荐，从事等级测评工作的机构3基本条件依据《信息安全等级保护测评工作管理规范》（试行），信息安全等级测评机构（以下简 称测评机构）应当具备以下基本条件：a） 在中华人民共和国境内注册成立（港澳台地区除外）；b） 由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；c） 产权关系明晰，注册资金100万元以上；d） 从事信息系统检测评估相关工作两年以上，无违法记录；e） 工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；f） 具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人；g） 具备必要的办公坏境、设备、设施，使用的技术装备、设施应当符合《信息安全等 级保护管理办法》对信息安全产品的要求；h） 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;i） 对国家安全、社会秩序、公共利益不构成威胁；j） 应当具备的其他条件。

4组织管理能力4.1测评机构管理者应掌握等级保护政策文件，熟悉相关的标准规范4.2测评机构应按一定方式组织并设立相关部门，明确其职贵、权限和相互关系，保证 各项工作的有序开展4.3测评机构应具有胜任等级测评工作的专业技术人员和管理人员，人学本科（含）以 上学历所占比例不低于60%»其中测评技术人员不少于10人4.4测评机构应设置满足等级测评工作需要的岗位，如测评技术员、测评项目组长、技 术主管、质量主管、保密安全员和档案管理员等（不论称谓如何），并配备足够的、相 对稳定并具备相应能力的工作人员4.5测评机构应制定完善的规章制度，包括但不限于以卜•内容：a） 保密管理制度制度中应明确保密对彖的范I韦I、人员保密职贵、各项保密措施与要求，以及违反保 密制度的罚则等内容b） 项目管理制度测评机构应依据《信息系统安全等级保护定级指南》等技术标准制定符合自身特点 的测评项目管理程序，主要应包括测评工作的组织形式、工作职责，测评各阶段的工作 内容和管理要求等c） 质量管理制度（包含设备管理和文件档案管理等）应以保证质量为前提对测评机构的设备、文件档案等提出各项要求设备管理制度 应包括对于仪器设备的购置、使用和维护的质量管理要求。

文件档案管理制度应包括机 构人员在文件档案管理中的相关职责、文件档案借阅、保管直至销毁的各项规定等d） 人员管理制度应包扌舌人员录用、考核、口常管理以及离职等方面的内容和要求e） 培训教育制度应包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建 立等的内容和要求f） 申诉、投诉及争议处理制度应明确包括测评机构各岗位人员在申、投诉和争议处理活动中相应的职责，建立从 受理、确认到处置、答复等坏节的完整程序5测评实施能力5.1人员能力5.1.1测评机构从事等级测评工作的专业技术人员（以下简称测评人员）应具有把 握国家政策，理解和掌握相关技术标准，熟悉等级测评的方法、流程和工作规范等 方面的知识及能力，并有依据测评结果做出专业判断以及出具等级测评报告等任务 的能力5.1.2测评人员应参加由公安部信息安全等级保护评估中心举办的专门培训、考试 并取得中心颁发的《等级测评师证书》（等级测评师分为初级、中级和高级）等级 测评人员需持证上岗5.1.3初级、中级和高级等级测评师具体能力要求如下：a） 初级等级测评师• 了解信息安全等级保护的相关政策、标准；•熟悉信息安全基础知识；•熟悉信息安全产品分类，了解其功能、特点和操作方法；•掌握等级测评方法，能够根据测评指导书客观、准确、完整地获取各项测评 证据；•掌握测评工具的操作方法，能够合理设计测试用例获取所需测试数据；•能够按照报告编制要求整理测评数据。

b） 中级等级测评师•熟悉信息安全等级保护相关政策、法规；•熟悉信息安全等级保护相关政策、法规；•正确理解信息安全等级保护标准体系和主要标准内容，能够跟踪国内、国际 信息安全相关标准的发展；•掌握信息安全基础知识，熟悉信息安全测评方法，具有信息安全技术研究的 基础和实践经验：•具有较丰富的项目管理经验，熟悉测评项目的工作流程和质量管理的方法， 具有较强的组织协调和沟通能力；•能够独立开发测评指导书，熟悉测评指导书的开发、版本控制和评审流程； •能够根据信息系统的特点，编制测评方案，确定测评对彖、测评指标和测评方法；•具有综合分析和判断的能力，能够依据测评报告模板要求编制测评报告，能 够整体把握测评报告结论的客观性和准确性具备较强的文字表达能力；• 了解等级保护各个工作环节的相关要求能够针对测评中发现的问题，提出 合理化的整改建议C）高级等级测评师•熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展；•对信息安全等级保护标准体系及主要标准有较为深入的理解；•具有信息安全理论研究的基础、实践经验和研究创新能力：•具有丰富的质量体系管理和项目管理经验，具有较强的组织协调和管理能 力；•熟悉等级保护工作的全过程，熟悉定级、等级测评、建设整改各个工作坏节 的要求。

5.1.4测评技术员、测评项目组长和技术主管岗位人员应分别取得初、中、高级等 级测评师证书，其比例应满足等级测评工作需要5.1.5 测评机构应指定一名技术主管，全面负贵等级测评方面的技术工作5. 2测评能力5. 2.1测评机构应通过提供案例、过程记录等资料，证明其具有从事信息系统检测 评估相关工作两年以上的工作经验5.2.2测评机构应保证在其能力范闱内从事测评工作，并有足够的资源来满足测评 工作要求，具体体现在以下方面：a） 安全技术测评实施能力，包括物理安全测评、网络安全测评、主机系统安全测 评、应用安全和数据安全测评等方面测评指导书的开发、使用、维护及获取相关结 果的专业判断；b） 安全管理测评实施能力，包括安全管理机构测评、安全管理制度测评、人员安 全管理测评、系统建设管理测评、系统运维管理测评等方面测评指导书的开发、使 用、维护及获取相关结果的专业判断；c） 安全测试与分析能力，指根据实际测评要求，开发与测试相关的工作指导书， 借助专用测评设备和工具，实现主流协议分析、漏洞发现与验证等方面的能力；d） 整体测评实施能力，指根据测评报告的单元测评的结呆记录部分、结果汇总部 分和问题分析部分，从安全控制间、层面间和区域间出发考虑，给出整体测评的具 体结呆的能力。

e）风险分析能力，指依据等级保护的相关规范和标准，采用风险分析的方法分析 等级测评结果中存在的安全问题町能对被测评系统安全造成的影响的能力；5. 2.3测评机构应有完备的测评工作流程，有计划、按步骤地开展测评工作，并保 证测评活动的每个环节都得到有效的控制a） 测评准备阶段，收集被测系统的相关资料信息，填写规范的系统调查表，全面 掌握被测评系统的详细情况，为测评工作的开展打卜•基础：b） 方案编制阶段，正确合理地确定测评对彖、测评指标及测评内容等，并依据现 行有效的技术标准、规范开发测评方案、测评指导书、测评结果记录表格等测评 方案应通过技术评审并有相关记录，测评指导书应进行版本有效性维护，且满足以 下要求：•符合相关的等级测评标准；•提供足够详细的信息以确保测评数据获取过程的规范性和可操作性c） 现场测评阶段，严格执行测评方案和测评指导书中的内容和要求，并依据操作 规程熟练地使用测评设备和工具，规范、准确、完整的填写测评结果记录，获取足 够证据，客观、真实、科学地反映出系统的安全保护状况，测评过程应予以监督并 记录；d） 报告编制阶段，找出整个信息系统安全保护现状与相应等级的保护要求之间的 差距，分析差距可能导致被测评系统面临的风险，给出等级测评结论，形成测评报 告，测评报告应依据公安部统一制订的《信息系统安全等级测评报告模版（试行）》 的格式和内容要求编写，测评报告应通过评审并有相关记录。

6设施和设备安全与保障能力6.1测评机构应具备必要的办公环境、设备、设施和管理系统，使用的技术装备、设施 原则上应当符合以下条件：a） 产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华 人民共和国境内具有独立的法人资格；b） 产品的核心技术、关键部件具有我国自主知识产权；C）产品研制、生产单位及其主要业务、技术人员无犯罪记录；d） 产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;e） 对国家安全、社会秩序、公共利益不构成危害f） 信息安全产品应获得公安部计算机信息安全产品销售许可证6.2测评机构应配备满足等级测评工作需要的测评设备和工具，如漏洞打描器、协议分 析仪、渗透测试工具等测评设备和工具应通过权威机构的检测并可提供检测报告（见 附录《信息安全等级测评设备和工具指引》）6.3测评机构应具备符合相关要求的机房以及必要的软、硬件设备，用于满足信息系统 仿真、技术培训和模拟测试的需要6.4测评机构应确保测评设备和工具运行状态良好，并通过校准或比对等手段保证其提 供准确的测评数据6.5测评设备和工具均应有正确的标识7质■管理能力7.1管理体系建设7.1.1测评机构应建立、实施和维护符合等级测评工作需要的文件化的管理体系， 并确保测评机构各级人员能够理解和执行。

7.1.2 测评机构应当制定相应的质量目标，不断提升自身的测评质量和管理水平7.1.3 测评机构应指定一名质量主管，明确其质量保证的职责。