信息安全等級保護測評機構(gòu)評優(yōu)標(biāo)準(zhǔn)(試行)(共7頁)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上附件2：信息安全等級保護測評機構(gòu)評優(yōu)標(biāo)準(zhǔn)（試行）一、編制目的本標(biāo)準(zhǔn)的編制目的是通過統(tǒng)一的評價標(biāo)準(zhǔn)，以打分評價的方式選出工作表現(xiàn)和能力優(yōu)秀的測評機構(gòu)，從而鼓勵先進(jìn)、指引測評機構(gòu)的發(fā)展方向。二、指標(biāo)設(shè)定對測評機構(gòu)的評價指標(biāo)共設(shè)為8項：系統(tǒng)測評數(shù)量、測評師數(shù)量、工具配備、測評技術(shù)能力、業(yè)務(wù)經(jīng)營能力、測評管理規(guī)范化、省級等保辦對機構(gòu)工作評價、國家等保辦對機構(gòu)工作評價。三、各項指標(biāo)打分標(biāo)準(zhǔn)指標(biāo)項前七項滿分100分，其中系統(tǒng)測評數(shù)量20分、測評師數(shù)量10分、工具配備10分、測評技術(shù)能力30分、業(yè)務(wù)經(jīng)營能力10分、測評管理規(guī)范化10分、省級等保辦對機構(gòu)工作評價10分，國家等保辦對機

2、構(gòu)工作評價作為加分項，滿分10分。各項指標(biāo)的打分標(biāo)準(zhǔn)如下：（1）系統(tǒng)測評數(shù)量打分標(biāo)準(zhǔn)根據(jù)測評系統(tǒng)數(shù)量計分，每個二級系統(tǒng)計0.05分，每個三級系統(tǒng)計0.2分，每個四級系統(tǒng)計0.3分，滿分20分。測評系統(tǒng)數(shù)量依據(jù)測評機構(gòu)當(dāng)年度1月1日至12月31日期間所完成的第二級以上信息系統(tǒng)測評數(shù)量，以測評報告計數(shù)，以每個測評報告首頁復(fù)印件作為證據(jù)（2）測評師數(shù)量打分標(biāo)準(zhǔn)A. 測評師人數(shù)10-15人，中、高級人員少于4人，得1分。B. 測評師人數(shù)10-15人且中、高級人員不少于4人，得3分。C. 測評師人數(shù)16-20人且中、高級人員不少于5人，得5分。D. 測評師人數(shù)21-25人且中、高級人員不少于7人，得6分

3、。E. 測評師人數(shù)26-30人且中高、級人員不少于9人，得7分。F. 測評師人數(shù)31-35人且中高、級人員不少于11人，得8分。G. 測評師人數(shù)36-40人且中高、級人員不少于13人，得9分。H. 測評師人數(shù)40人以上且中高、級人員不少于15人，得10分。備注：根據(jù)測評師證書和社保證明等材料為證據(jù)，若機構(gòu)不同時滿足高一級別兩個要求，得低一級別分值。（3）工具配備打分標(biāo)準(zhǔn)A. 機構(gòu)具備安全問題發(fā)現(xiàn)類工具：漏洞掃描工具（網(wǎng)絡(luò)和主機）1分WEB安全檢測工具1分惡意行為檢測工具1分?jǐn)?shù)據(jù)庫管理系統(tǒng)安全檢測工具1分B. 機構(gòu)具備安全問題分析與定位類工具：網(wǎng)絡(luò)協(xié)議分析工具2分源代碼安全審計工具2分C. 機構(gòu)

4、具備安全問題驗證類工具：滲透測試工具2分。注意：根據(jù)A-C得分相加，得出工具配備項最后得分。（4）測評技術(shù)能力打分標(biāo)準(zhǔn)此項采用能力驗證和抽查打分的結(jié)果。A. 參加CNAS能力驗證活動，得分能力驗證分值3/20。B. 對所有機構(gòu)根據(jù)測評項目文檔抽查情況評價，得分項如下：a) 測評項目調(diào)查表信息收集全面、準(zhǔn)確，最高2分；b) 測評方案內(nèi)容完整，測評對象、指標(biāo)和工具接入點準(zhǔn)確合理，最高3分；c) 測評原始記錄內(nèi)容翔實、客觀、準(zhǔn)確，最高3分；d) 測評報告內(nèi)容完整，測評結(jié)果（單項/單元）準(zhǔn)確、整體分析和風(fēng)險分析方法正確，最高7分。注意：根據(jù)a）-d）得分相加，得出B得分。根據(jù)A-B得分相加，得出測評技

5、術(shù)能力得分，如果機構(gòu)未參加CNAS能力驗證活動，則B）中各項分值加一倍，滿分30分。（5）業(yè)務(wù)經(jīng)營能力打分標(biāo)準(zhǔn)A. 根據(jù)機構(gòu)本年度的合同額（包括安全測評之外的安全服務(wù)等合同）打分：a) 未達(dá)到100萬的，得0分。b) 達(dá)到100萬的，得1分；c) 達(dá)到200萬的，得2分；d) 達(dá)到300萬的，得3分；e) 達(dá)到500萬的，得4分；f) 達(dá)到700萬的，得5分；g) 達(dá)到800萬的，得6分；h) 達(dá)到1000萬的，得7分。B. 根據(jù)機構(gòu)滲透測試人員數(shù)量打分：a) 有1人的，得1分；b) 有2人的，得2分；c) 有3人及以上的，得3分。注意：機構(gòu)年度合同額應(yīng)以本年度安全服務(wù)合同復(fù)印件為證據(jù)。滲透測

6、試人員應(yīng)提交名單和詳細(xì)信息。根據(jù)A-B得分相加，得出此項最后得分。（6）測評管理規(guī)范化打分標(biāo)準(zhǔn)由省級等保辦核查機構(gòu)年度遵守信息安全等級保護測評機構(gòu)管理辦法情況。A. 核實機構(gòu)根據(jù)測評機構(gòu)管理辦法第十一條規(guī)定，是否及時進(jìn)行變更報告情況，符合規(guī)定的；得2分，基本符合的，得1分，不符合的，得0分；B. 核實機構(gòu)根據(jù)測評機構(gòu)管理辦法第十三條、第十四條和第十五條規(guī)定，規(guī)范測評師管理、保密管理及持續(xù)培訓(xùn)情況；符合規(guī)定的，得2分，基本符合的，得1分，不符合的，得0分；C. 核實機構(gòu)根據(jù)測評機構(gòu)管理辦法第十七條規(guī)定，及時提交等級測評項目報告表情況；符合規(guī)定的，得2分，基本符合的，得1分，不符合的，得0分；D.

7、 核實機構(gòu)根據(jù)信息安全等級保護測評機構(gòu)管理辦法第十九條規(guī)定，及時報送測評機構(gòu)開展情況和信息系統(tǒng)安全狀況分析報告的情況；符合規(guī)定的，得2分，基本符合的，得1分，不符合的，得0分；E. 核實機構(gòu)等級測評綜合管理平臺具備及使用情況；機構(gòu)具備等級測評綜合管理平臺，能夠使用平臺規(guī)范測評管理流程、自動處理測評數(shù)據(jù)、自動生成報告的；得2分，基本符合的，得1分，不符合的，得0分。注意：根據(jù)A-E得分相加，得出此項最后得分。（7）省級等保辦對測評機構(gòu)工作評價打分標(biāo)準(zhǔn)A. 根據(jù)機構(gòu)積極對外開展等級保護的法規(guī)政策宣貫、培訓(xùn)情況，根據(jù)年度內(nèi)對外培訓(xùn)人數(shù)打分：a) 累計培訓(xùn)人數(shù)9人以內(nèi)的，得0分；b) 累計培訓(xùn)人數(shù)10

8、-19人的，得1分；c) 累計培訓(xùn)人數(shù)達(dá)到20人的，得2分；d) 累計培訓(xùn)人數(shù)達(dá)到60人的，得3分；e) 累計培訓(xùn)人數(shù)達(dá)到80人的，得4分；f) 累計培訓(xùn)人數(shù)達(dá)到100人的，得5分。B. 根據(jù)機構(gòu)對公安機關(guān)安全檢查、事件處置、網(wǎng)絡(luò)安全專項、應(yīng)急職守工作的技術(shù)支持情況，根據(jù)年度支持次數(shù)打分:a) 支持1次的，得1分；b) 累計支持2次的，得2分；c) 累計支持3次的，得3分；d) 累計支持4次的，得4分；e) 累計支持5次及以上的，得5分。注意：根據(jù)A-B得分相加，得出此項最后得分。（8）國家等保辦對測評機構(gòu)工作評價打分標(biāo)準(zhǔn)A. 根據(jù)機構(gòu)組織/支持部十一局或國家重要行業(yè)部門開展大型等級保護宣貫、培訓(xùn)、技術(shù)交流、論壇等活動的支持次數(shù)打分：a) 支持1次的，得1分；b) 累計支持2次及以上的，得2分。B. 機構(gòu)組織/參與制定等級保護相關(guān)的國家標(biāo)準(zhǔn)/行業(yè)標(biāo)準(zhǔn)/地方標(biāo)準(zhǔn)或規(guī)范性文件的項目數(shù)量打分：a) 組織一項的，得1分；b) 組織一項的，得2分；c) 組織三項及以上的，得3分。僅僅參與的，得分減半；C. 機構(gòu)組織/參與等級保護工具（系統(tǒng)）研發(fā)，或者積極支持部十一局專項工作的，根據(jù)支持配合次數(shù)打分：a) 支持1次的，得1分；b) 支持2次的，得2分；c) 支持3次及以上的，得3分。D. 根據(jù)機構(gòu)