CNAS-CI01-A018-2022 檢驗機構(gòu)能力認可準則在網(wǎng)絡(luò)安全等級保護測評領(lǐng)域的應(yīng)用說明

1、2022 年 6 月 30 日 發(fā)布2022 年 7 月 1 日 實施CNAS-CI01-A018檢驗機構(gòu)能力認可準則在網(wǎng)絡(luò)安全等級測評領(lǐng)域的應(yīng)用說明Guidance on the Application of Inspection Body Competence Accreditation Criteria in the Field of Classified Cybersecurity Protection中國合格評定國家認可委員會CNAS-CI01-A018:2022第 PAGE 7 頁共 7 頁2022 年 6 月 30 日 發(fā)布2022 年 7 月 1 日 實施目 次 HYPERLI

2、NK l _bookmark0 前言2 HYPERLINK l _bookmark1 范圍3 HYPERLINK l _bookmark2 規(guī)范性引用文件3 HYPERLINK l _bookmark3 術(shù)語和定義3 HYPERLINK l _bookmark4 通用要求4 HYPERLINK l _bookmark5 公正性和獨立性4 HYPERLINK l _bookmark6 保密性4 HYPERLINK l _bookmark7 結(jié)構(gòu)要求4 HYPERLINK l _bookmark8 行政管理要求4 HYPERLINK l _bookmark9 組織和管理4 HYPERLINK l

3、_bookmark10 資源要求5 HYPERLINK l _bookmark11 人員5 HYPERLINK l _bookmark12 設(shè)施與設(shè)備5 HYPERLINK l _bookmark13 分包6 HYPERLINK l _bookmark14 過程要求6 HYPERLINK l _bookmark15 檢驗方法和程序6 HYPERLINK l _bookmark16 檢驗項目和樣品的處置6 HYPERLINK l _bookmark17 檢驗記錄6 HYPERLINK l _bookmark18 檢驗報告和檢驗證書6 HYPERLINK l _TOC_250001 投訴和申訴6

4、HYPERLINK l _TOC_250000 投訴和申訴過程6 HYPERLINK l _bookmark19 管理體系要求7 HYPERLINK l _bookmark20 方式7 HYPERLINK l _bookmark21 管理體系文件（方式 A）7 HYPERLINK l _bookmark22 文件控制（方式 A）7 HYPERLINK l _bookmark23 記錄控制（方式 A）7 HYPERLINK l _bookmark24 管理評審（方式 A）7 HYPERLINK l _bookmark25 內(nèi)部審核（方式 A）7 HYPERLINK l _bookmark26 糾

5、正措施（方式 A）7 HYPERLINK l _bookmark27 預(yù)防措施（方式 A）7前言本文件由中國合格評定國家認可委員會（CNAS）制定，是CNAS根據(jù)網(wǎng)絡(luò)安全等級測評領(lǐng)域的特殊性而對CNAS-CI01:2012檢驗機構(gòu)能力認可準則所作的進一步說明，并不增加或減少該準則的要求。因此，本文件依照CNAS-CI01:2012檢驗機構(gòu)能力認可準則的具體條款提出應(yīng)用說明的編排方式，故章節(jié)號不連續(xù)。本文件中網(wǎng)絡(luò)安全等級測評的定義應(yīng)符合中華人民共和國網(wǎng)絡(luò)安全法及相關(guān)管理部門的要求。本文需與CNAS-CI01:2012檢驗機構(gòu)能力認可準則及CNAS-CI01-G001:2021檢驗機構(gòu)能力認可準則

6、的應(yīng)用說明同時使用。本文件為初次制訂。檢驗機構(gòu)認可準則在網(wǎng)絡(luò)安全等級測評領(lǐng)域的應(yīng)用說明范圍本文件適用于對從事網(wǎng)絡(luò)安全等級測評活動的檢驗機構(gòu)認可，該類機構(gòu)統(tǒng)稱為網(wǎng)絡(luò)安全等級測評機構(gòu)。規(guī)范性引用文件下列參考文件對于本文件的應(yīng)用不可缺少。對注明日期的參考文件，只采用所引用的版本；對沒有注明日期的參考文件，采用最新的版本(包括任何的修訂)。中華人民共和國網(wǎng)絡(luò)安全法CNAS-CI01 檢驗機構(gòu)能力認可準則CNAS-CI01-G001 檢驗機構(gòu)能力認可準則的應(yīng)用說明GB/T 25069 信息安全技術(shù) 術(shù)語GB/T 28449 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評過程指南GB/T 36959 信息安全技術(shù) 網(wǎng)

7、絡(luò)安全等級保護測評機構(gòu)能力要求和評估規(guī)范GB/T 28448 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求GB/T 22239 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求GB/T 22240 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護定級指南術(shù)語和定義3.1等 級 測 評 師Evaluation professional of classifiedprotection ofcybersecurity經(jīng)過行業(yè)公認的機構(gòu)考核，依據(jù)國家網(wǎng)絡(luò)安全等級保護制度，按照有關(guān)管理規(guī)范和技術(shù)，對已定級備案的非涉及國家秘密的網(wǎng)絡(luò)（含信息系統(tǒng)、數(shù)據(jù)資源等）的安全保護狀況進行檢驗評估的專業(yè)人員。注：GB/T 25069、GB/T 2844

8、8、GB/T 28449、GB/T 22239、GB/T 22240中的術(shù)語適用于本文件。通用要求公正性和獨立性4.1.6 網(wǎng)絡(luò)安全等級測評機構(gòu)及其人員應(yīng)嚴格執(zhí)行有關(guān)管理規(guī)范和技術(shù)開展客觀、公正的測評活動，不得從事網(wǎng)絡(luò)安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成等可能影響測評結(jié)果公正性的活動（自用除外）。保密性網(wǎng)絡(luò)安全等級測評機構(gòu)應(yīng)建立數(shù)據(jù)和信息保密程序，并與全體人員簽訂保密責(zé)任書，規(guī)定其應(yīng)當(dāng)履行的對機構(gòu)自身和委托方的安全保密義務(wù)和承擔(dān)的法律責(zé)任。檢驗機構(gòu)應(yīng)指派保密管理工作責(zé)任人，負責(zé)采取管理和技術(shù)措施保護測評活動中相關(guān)數(shù)據(jù)和信息在整個數(shù)據(jù)生命周期中的安全、保密和可控，不得泄露在測評活動中知悉的國家秘

9、密、工作秘密、商業(yè)秘密、重要敏感信息和個人隱私信息；未經(jīng)監(jiān)管部門同意， 不得發(fā)布、披露在測評活動中收集掌握的相關(guān)的數(shù)據(jù)和信息。注：測評活動中相關(guān)的數(shù)據(jù)和信息包括但不限于：被測單位提供的資料、等級測評活動生成的數(shù)據(jù)和記錄、網(wǎng)絡(luò)拓撲信息、系統(tǒng)漏洞、網(wǎng)絡(luò)攻擊事件以及依據(jù)上述信息做出的分析與專業(yè)判斷。結(jié)構(gòu)要求行政管理要求網(wǎng)絡(luò)安全等級測評機構(gòu)的基本條件應(yīng)符合監(jiān)管部門的要求。網(wǎng)絡(luò)安全等級測評機構(gòu)應(yīng)充分識別測評活動中可能產(chǎn)生的風(fēng)險，并通過多種措施對可能面臨的風(fēng)險加以規(guī)避和控制，保留風(fēng)險識別和對應(yīng)措施的評審記錄，風(fēng)險包括但不限于以下方面：由于自身能力或資源不足造成的風(fēng)險；測評活動可能對被測系統(tǒng)正常運行造成影響

10、的風(fēng)險；測試設(shè)備和工具接入可能對被測系統(tǒng)正常運行造成影響的風(fēng)險；被測系統(tǒng)重要信息（如網(wǎng)絡(luò)拓撲、IP 地址、業(yè)務(wù)流程、安全機制、安全隱患和有關(guān)文檔等）泄漏的風(fēng)險等。組織和管理5.2.2 網(wǎng)絡(luò)安全等級測評機構(gòu)應(yīng)參加獲得認可的能力驗證提供者（PTP）組織的測評機構(gòu)能力驗證計劃。初次申請認可的檢驗機構(gòu)，應(yīng)至少參加過1次能力驗證并獲得滿意結(jié)果。對于已獲認可的檢驗機構(gòu)，應(yīng)至少滿足CNAS該領(lǐng)域能力驗證頻次的要求， 監(jiān)管部門有要求時也應(yīng)滿足。5.2.5 網(wǎng)絡(luò)安全等級測評機構(gòu)應(yīng)指定至少一名技術(shù)主管，技術(shù)主管應(yīng)具備高級測評師資格，全面負責(zé)網(wǎng)絡(luò)安全等級測評方面的技術(shù)工作。資源要求人員網(wǎng)絡(luò)安全等級測評機構(gòu)應(yīng)具有勝任

11、等級測評活動的測評人員和管理人員，大學(xué) 本科及以上學(xué)歷所占比例不低于70%。檢驗機構(gòu)應(yīng)設(shè)置滿足等級測評活動需要的崗位， 包括測評項目組長、測評項目組員、滲透測試工程師、保密安全員等，崗位職責(zé)明確。注：測評人員包括測評項目組員、測評項目組長、滲透測試工程師和技術(shù)主管等崗位人員。網(wǎng)絡(luò)安全等級測評機構(gòu)中測評項目組員、測評項目組長和技術(shù)主管崗位人員應(yīng)分別取得初、中、高級等級測評師證書，數(shù)量不應(yīng)少于15人，滲透測試工程師應(yīng)取得行業(yè)認可的技術(shù)能力證明，滲透測試工程師數(shù)量不應(yīng)少于2人。網(wǎng)絡(luò)安全等級測評機構(gòu)測評人員應(yīng)理解和掌握相關(guān)技術(shù)，熟悉等級測評的方法、流程和工作規(guī)范等方面的知識及能力，應(yīng)取得等級測評師資格

12、并有依據(jù)測評結(jié)果做出專業(yè)判斷以及出具等級測評報告等任務(wù)的能力，授權(quán)簽字人應(yīng)取得高級測評師資格。6.1.5 網(wǎng)絡(luò)安全等級測評機構(gòu)應(yīng)保留測評人員能力考核、授權(quán)記錄，等級測評師證書應(yīng)作為測評人員授權(quán)上崗的必要條件之一，未取得等級測評師證書的測評人員，不得授權(quán)上崗承擔(dān)等級測評項目。6.1.7測評人員上崗前，網(wǎng)絡(luò)安全等級測評機構(gòu)應(yīng)組織崗前培訓(xùn)。同時檢驗機構(gòu)應(yīng)組織測評人員參加多種形式的測評業(yè)務(wù)和技術(shù)培訓(xùn)，根據(jù)每個測評人員的測評活動領(lǐng)域制訂培訓(xùn)計劃，測評人員每年培訓(xùn)時長累計不少于40學(xué)時，或按照監(jiān)管部門的要求進行培訓(xùn)。6.1.10 網(wǎng)絡(luò)安全等級測評機構(gòu)應(yīng)建立并保存測評人員的人員技術(shù)檔案，包括人員基本信息、工

13、作經(jīng)歷、培訓(xùn)記錄、項目經(jīng)歷、監(jiān)督記錄、專業(yè)資格等。6.1.13 網(wǎng)絡(luò)安全等級測評機構(gòu)中的測評人員離職前，檢驗機構(gòu)應(yīng)與其簽訂離職保密承諾書。檢驗機構(gòu)應(yīng)加強對測評人員的監(jiān)督管理，每年至少一次組織開展安全保密教育培訓(xùn)。設(shè)施與設(shè)備網(wǎng)絡(luò)安全等級測評機構(gòu)應(yīng)具有固定的辦公場所和機房，配備滿足測評業(yè)務(wù)需要的網(wǎng)絡(luò)協(xié)議分析、漏洞掃描（至少包括Web漏洞、主機漏洞）、滲透測試等必要的軟硬件安全測評工具，商業(yè)化工具需要得到正版授權(quán)，所有檢驗活動涉及到的工具應(yīng)納入設(shè)備管理。注：如果軟硬件安全測評工具是租賃（相關(guān)軟硬件安全測評工具不允許從最終用戶租賃）或由其他機構(gòu)（如設(shè)備的制造者或安裝者）提供的，所用設(shè)備的自身安全性、持

14、續(xù)適用性應(yīng)由檢驗 機構(gòu)獨立承擔(dān)。6.2.13 網(wǎng)絡(luò)安全等級測評機構(gòu)應(yīng)在安全測評工具投入使用前進行核驗，且在每次項目使用前檢查確認測評工具升級到最新版本（包括漏洞庫、規(guī)則庫等），以保證安全測評工具自身的安全性、持續(xù)適用性。當(dāng)安全測評工具有重大版本變更時，要重新進行驗證。機構(gòu)自行研發(fā)的工具需要經(jīng)過功能性、安全性和結(jié)果準確性驗證，并保留驗證材料。分包網(wǎng)絡(luò)安全等級測評機構(gòu)不應(yīng)將網(wǎng)絡(luò)安全等級測評業(yè)務(wù)分包。過程要求檢驗方法和程序網(wǎng)絡(luò)安全等級測評機構(gòu)應(yīng)制定符合等級測評活動方面要求的測評過程管理程序。網(wǎng)絡(luò)安全等級測評活動的檢驗對象抽取原則需要符合GB/T 28449信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評過程指南附

15、錄B的要求。7.1.9 如果檢驗機構(gòu)的檢驗活動現(xiàn)場涉及安全作業(yè)要求，如能源、化工、工業(yè)生產(chǎn)控制等涉及生產(chǎn)安全的環(huán)境，應(yīng)制訂安全實施測評的文件化指導(dǎo)書。檢驗項目和樣品的處置7.2.2 網(wǎng)絡(luò)安全等級測評機構(gòu)應(yīng)通過調(diào)研系統(tǒng)構(gòu)成情況、制訂測評方案、取得被測評方書面授權(quán)、告知被測評方測評產(chǎn)生的風(fēng)險、與被測評方確認被測系統(tǒng)數(shù)據(jù)已備份等方式確認檢驗項目已做好了準備，上述內(nèi)容應(yīng)經(jīng)過被測評方書面確認。7.2.4 網(wǎng)絡(luò)安全等級測評機構(gòu)應(yīng)在避免被測系統(tǒng)由于測評損壞的控制措施中包括安全事件應(yīng)急處置機制和糾紛處理機制，防范測評風(fēng)險，妥善處理糾紛。應(yīng)采取措施避免被測系統(tǒng)在測評期間出現(xiàn)數(shù)據(jù)和服務(wù)破壞，離場時應(yīng)與被測評方一起對被測系統(tǒng)的運行狀態(tài)進行確認，并保存系統(tǒng)狀態(tài)確認記錄和文檔交接記錄。檢驗記錄網(wǎng)絡(luò)安全等級測評機構(gòu)應(yīng)提供漏洞掃描工具的升級和掃描記錄，至少應(yīng)包括工具名稱、工具版本、升級后的最新漏洞庫版本、升級日期和升級人員等。檢驗報告和檢驗證書7.4.2 網(wǎng)絡(luò)安全等級測評機構(gòu)應(yīng)按照行業(yè)統(tǒng)一規(guī)范的網(wǎng)絡(luò)安全等級測評報告模板格式出具測評報告。7.4.4 測評報告應(yīng)包括所有測評結(jié)果、根據(jù)這些結(jié)果做出的專業(yè)判斷以及理解和解釋這些結(jié)果所需要的所有信息，以上信息均應(yīng)正確