《信息安全技術 網絡安全等級保護測評機構能力要求和評估規(guī)范-編制說明》

一、標準編制背景：

2007年6月，公安部會同國家保密局、國家密碼

管理局和國務院信息化工作辦公室聯合發(fā)布了《信息安

全等級保護管理辦法》（公通字[2007]43號）。文件第十四

條要求“信息系統(tǒng)建設完成后，運營、使用單位或者其主

管部門應當選擇符合本辦法規(guī)定條件的測評機構，依據《信

息系統(tǒng)安全等級保護測評要求》等技術標準，定期對信息系

統(tǒng)安全等級狀況開展等級測評”。

1.2009年9月，廣州、河南、浙江、重慶四個?。ㄖ?/p>

轄市）開展測評體系建設的試點工作。

2.2010年3月，公安部頒布《關于推動信息安全等級保

護測評體系建設和開展等級測評工作的通知》（公信安

[2010]303號），決定加快等級保護測評體系建設工作。

二、標準編制過程

1.2010年3月，制定了《信息安全等級測評機構能力規(guī)

范》（試行）初稿。

2.2010年4月，由部十一局組織專家對《信息安全等級

測評機構能力規(guī)范》進行評審，并更名為《信息安全等

級測評機構能力要求》（試行）（簡稱《能力要求》），評

估中心依據《能力要求》開展全國機構的能力評估。

3.2012年初，在完成80余家測評機構能力評估基礎上，

提出機構能力分級的思路并修訂。并以《信息安全等級

測評機構能力要求》和《信息安全等級測評機構評估規(guī)

范》兩個標準進行立項，并完成了初稿。

4.2012年7月13日，國標委對標準進行中期檢查，根據

專家意見合并形成《信息安全等級測評機構能力要求和

評估規(guī)范》。

5.2013年5月，十一局發(fā)布《信息安全等級保護測評機

構管理辦法》，第二十條“等級測評機構實行等級化管

理。

6.完成《信息安全等級測評機構能力要求和評估規(guī)范》（檢

查稿）

7.2014年3月，國標委對標準進行評審，要求盡快出臺。

8.2015年底，配合十一局以該文稿為主要依據，進行了

測評機構評優(yōu)，并為定級評星做好準備。

9.2016年8月12日，草案向國標部分WG5專家征求意見，

并進行了修訂。

10.2016年8月25日，國標委召開WG5工作組在研標

準推進會，對文稿進行評審后進行了再次修訂。

11.目前，除西藏外，全國31個省市自治區(qū)已經推薦等

級測評機構147家。

三、標準編制參考與借鑒

1.《檢測和校準實驗室能力的通用要求》（ISO/IEC

17025:2005）

2.《檢驗機構能力的通用要求》（ISO/IEC17020:2012）

3.ISO9001質量管理系統(tǒng)系列標準

4.《信息系統(tǒng)安全等級保護測評過程指南》（GB/T

28449-2012）等系列等級保護國家標準

5.《網絡與信息安全服務資質評估準則》（YDT1621—2007）

6.《信息安全服務資質認證技術規(guī)范》

……

四、標準主要內容

1.能力

測評實施能力

組織管理能力

設備實施安全保障能力

可持續(xù)發(fā)展能力能力要求

質量管理能力

風險控制能力

規(guī)范性保證能力

2.級別

等級測評機構按能力要求分為三級，級別由低到高依次是Ⅰ

級、Ⅱ級和Ⅲ級

高

中

低

Ⅱ級Ⅲ級

Ⅰ級

能力要求項級差一覽表

級別組織管測評實施設施和設質量管理能力規(guī)范性保證能力風險可持項數

理能力能力備安全與控制續(xù)性

保障能力能力發(fā)展

能力

人測管理管理質量公正性可信與保測評方法測評記測評報安全管

員評體系體系監(jiān)督保證能密性保證與程序的錄的規(guī)告的規(guī)理能力

能能建設維護能力力能力規(guī)范性范性范性

力力

第Ⅰ5項5項3項5項3項2項2項9項1項2項4項2項4項47項

級

第5項6項6項6項3項2項1項3項10項2項3項4項1項2項4項58項