信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力規(guī)范征求意見稿

1、GA 中華人民共和國公共安全行業(yè)標(biāo)準(zhǔn) GA ×××× ×××× 信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力規(guī)范Criteria for operation of bodies performing testing and evaluation of classified protection of information system security（征求意見稿）200×-××-×× 發(fā)布 200×-××-×× 實(shí)施中華人民共和

2、國公安部 發(fā) 布前 言本標(biāo)準(zhǔn)由中華人民共和國公安部網(wǎng)絡(luò)安全保衛(wèi)局提出。本標(biāo)準(zhǔn)起草單位：公安部信息安全等級(jí)保護(hù)評(píng)估中心。本標(biāo)準(zhǔn)主要起草人： 公安部信息安全等級(jí)保護(hù)評(píng)估中心負(fù)責(zé)對(duì)本標(biāo)準(zhǔn)的解釋。信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力規(guī)范1 范圍本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全等級(jí)測(cè)評(píng)機(jī)構(gòu)的能力要求。本標(biāo)準(zhǔn)適用于對(duì)等級(jí)測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)能力進(jìn)行確認(rèn)的活動(dòng)。2 術(shù)語和定義2.1 等級(jí)測(cè)評(píng) classified security testing and evaluation等級(jí)測(cè)評(píng)是測(cè)評(píng)機(jī)構(gòu)依據(jù)國家信息安全等級(jí)保護(hù)制度規(guī)定,受有關(guān)單位委托,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。2.2 等級(jí)測(cè)評(píng)機(jī)

3、構(gòu) bodies performing classified security testing and evaluation等級(jí)測(cè)評(píng)機(jī)構(gòu)是經(jīng)有關(guān)部門能力認(rèn)可，經(jīng)有關(guān)部門推薦，在一定范圍內(nèi)從事信息系統(tǒng)安全等級(jí)測(cè)評(píng)等工作的專業(yè)技術(shù)機(jī)構(gòu)。3 機(jī)構(gòu)資質(zhì)要求3.1 等級(jí)測(cè)評(píng)機(jī)構(gòu)或其母體應(yīng)具有明確的法律地位，且應(yīng)滿足以下條件： a) 在中華人民共和國境內(nèi)注冊(cè)成立（港澳臺(tái)地區(qū)除外）； b) 由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺(tái)地區(qū)除外）； c) 產(chǎn)權(quán)關(guān)系明晰，注冊(cè)資金100萬元以上。3.2 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)從事信息系統(tǒng)檢測(cè)評(píng)估相關(guān)工作2年以上。3.3 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)按照有關(guān)規(guī)定和統(tǒng)一

4、標(biāo)準(zhǔn)提供“客觀、公正、安全”的測(cè)評(píng)服務(wù)，按照統(tǒng)一的測(cè)評(píng)報(bào)告模板出具測(cè)評(píng)報(bào)告。3.4 測(cè)評(píng)機(jī)構(gòu)不得從事下列活動(dòng)： a) 承擔(dān)信息系統(tǒng)安全建設(shè)整改工作； b) 將等級(jí)測(cè)評(píng)任務(wù)分包、外包；c) 從事信息安全產(chǎn)品開發(fā)、營銷和信息系統(tǒng)集成活動(dòng)；d) 限定被測(cè)評(píng)單位購買、使用其指定的信息安全產(chǎn)品； d) 未經(jīng)許可占有、使用有關(guān)測(cè)評(píng)信息、資料及數(shù)據(jù)文件。 f) 其他可能影響測(cè)評(píng)客觀、公正的活動(dòng)。4可信性4.1 等級(jí)測(cè)評(píng)機(jī)構(gòu)的單位法人及主要工作人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪記錄。4.2 等級(jí)測(cè)評(píng)機(jī)構(gòu)的工作人員應(yīng)當(dāng)提供真實(shí)的本人社會(huì)背景、工作經(jīng)歷和獎(jiǎng)懲情況的證明材料，聲明相關(guān)材料的真實(shí)性并承擔(dān)

5、法律責(zé)任。4.3 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)對(duì)工作人員的證明材料進(jìn)行審查，確保工作人員符合等級(jí)測(cè)評(píng)工作的需要。4.4 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)提供技術(shù)和管理措施來確保等級(jí)測(cè)評(píng)相關(guān)信息的安全、可控，這些信息包括但不限于： a) 被測(cè)評(píng)單位提供的資料； b) 等級(jí)測(cè)評(píng)活動(dòng)生成的數(shù)據(jù)； c) 依據(jù)上述信息做出的分析與專業(yè)判斷。4.5 等級(jí)測(cè)評(píng)機(jī)構(gòu)使用的工具應(yīng)具備全面的功能列表，且不存在功能列表之外的隱蔽功能。4.6 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)針對(duì)等級(jí)測(cè)評(píng)工作制定保密管理規(guī)范，明確保密崗位與職責(zé)，定期對(duì)工作人員進(jìn)行保密教育，與其簽訂保密責(zé)任書，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負(fù)責(zé)檢查落實(shí)。4.7 等級(jí)測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員應(yīng)

6、遵守國家保密法的規(guī)定，保守在測(cè)評(píng)活動(dòng)中知悉的國家秘密、商業(yè)秘密、敏感信息和個(gè)人隱私等，防范測(cè)評(píng)風(fēng)險(xiǎn)。4.8 對(duì)國家安全、社會(huì)秩序、公共利益不構(gòu)成威脅。5 組織和人員5.1 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)具有勝任等級(jí)測(cè)評(píng)工作的專業(yè)技術(shù)人員和管理人員，大學(xué)本科（含）以上學(xué)歷所占比例不低于80%。其中測(cè)評(píng)技術(shù)人員不少于10人。5.1 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)設(shè)立滿足等級(jí)測(cè)評(píng)工作需要的工作崗位，如技術(shù)主管、等級(jí)測(cè)評(píng)師、管理主管、保密安全員和檔案管理員，并配備足夠、相對(duì)穩(wěn)定并具備相應(yīng)能力的工作人員。5.2 等級(jí)測(cè)評(píng)師應(yīng)當(dāng)具備相應(yīng)的技術(shù)能力來完成開發(fā)等級(jí)測(cè)評(píng)指導(dǎo)書、獲取測(cè)評(píng)結(jié)果、依據(jù)測(cè)評(píng)結(jié)果做出專業(yè)判斷以及出具等級(jí)測(cè)評(píng)報(bào)告等任務(wù)，

7、具備不同技術(shù)能力的人員比例應(yīng)滿足等級(jí)測(cè)評(píng)工作的需要。5.3 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)建立文件化的培訓(xùn)制度，以確保其工作人員在專業(yè)技術(shù)和管理方面持續(xù)滿足等級(jí)測(cè)評(píng)工作的需要。5.4 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)建立并保存工作人員的人員檔案，包括社會(huì)背景、工作經(jīng)歷、專業(yè)資格、獎(jiǎng)懲情況等。5.5 測(cè)評(píng)人員上崗前應(yīng)接受國家信息安全等級(jí)保護(hù)協(xié)調(diào)小組辦公室指定的專門培訓(xùn)機(jī)構(gòu)的培訓(xùn)和考核，并獲得等級(jí)測(cè)評(píng)師證書后方可上崗。6 質(zhì)量體系6.1 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)依據(jù)相關(guān)質(zhì)量體系標(biāo)準(zhǔn)建立、實(shí)施和保持適應(yīng)等級(jí)測(cè)評(píng)工作開展的管理制度體系。6.2 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)不斷提升自身的測(cè)評(píng)質(zhì)量和管理水平，制定相應(yīng)的質(zhì)量目標(biāo)。6.3 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)定期評(píng)審并持續(xù)改進(jìn)管理制度體系。7 設(shè)施和設(shè)備7.1 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)具備必要的辦公環(huán)境、設(shè)備、設(shè)施和管理系統(tǒng)。7.2 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)具備滿足等級(jí)測(cè)評(píng)工作需要的工具，如漏洞掃描器、協(xié)議分析儀、性能測(cè)試儀和滲透測(cè)試工具等。7.3 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)具備符合相關(guān)要求的機(jī)房以及必要的軟、硬件設(shè)備，用于滿足信息系統(tǒng)仿真、技術(shù)培訓(xùn)和模擬測(cè)試的需要。8 測(cè)評(píng)方法、程序和記錄8.1 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)具備文檔化的測(cè)評(píng)方法（如測(cè)評(píng)指導(dǎo)書），且滿