《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)機(jī)構(gòu)能力要求和評(píng)估規(guī)范-編制說明》

一、標(biāo)準(zhǔn)編制背景：

2007年6月，公安部會(huì)同國家保密局、國家密碼

管理局和國務(wù)院信息化工作辦公室聯(lián)合發(fā)布了《信息安

全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）。文件第十四

條要求“信息系統(tǒng)建設(shè)完成后，運(yùn)營、使用單位或者其主

管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評(píng)機(jī)構(gòu)，依據(jù)《信

息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系

統(tǒng)安全等級(jí)狀況開展等級(jí)測評(píng)”。

1.2009年9月，廣州、河南、浙江、重慶四個(gè)?。ㄖ?/p>

轄市）開展測評(píng)體系建設(shè)的試點(diǎn)工作。

2.2010年3月，公安部頒布《關(guān)于推動(dòng)信息安全等級(jí)保

護(hù)測評(píng)體系建設(shè)和開展等級(jí)測評(píng)工作的通知》（公信安

[2010]303號(hào)），決定加快等級(jí)保護(hù)測評(píng)體系建設(shè)工作。

二、標(biāo)準(zhǔn)編制過程

1.2010年3月，制定了《信息安全等級(jí)測評(píng)機(jī)構(gòu)能力規(guī)

范》（試行）初稿。

2.2010年4月，由部十一局組織專家對(duì)《信息安全等級(jí)

測評(píng)機(jī)構(gòu)能力規(guī)范》進(jìn)行評(píng)審，并更名為《信息安全等

級(jí)測評(píng)機(jī)構(gòu)能力要求》（試行）（簡稱《能力要求》），評(píng)

估中心依據(jù)《能力要求》開展全國機(jī)構(gòu)的能力評(píng)估。

3.2012年初，在完成80余家測評(píng)機(jī)構(gòu)能力評(píng)估基礎(chǔ)上，

提出機(jī)構(gòu)能力分級(jí)的思路并修訂。并以《信息安全等級(jí)

測評(píng)機(jī)構(gòu)能力要求》和《信息安全等級(jí)測評(píng)機(jī)構(gòu)評(píng)估規(guī)

范》兩個(gè)標(biāo)準(zhǔn)進(jìn)行立項(xiàng)，并完成了初稿。

4.2012年7月13日，國標(biāo)委對(duì)標(biāo)準(zhǔn)進(jìn)行中期檢查，根據(jù)

專家意見合并形成《信息安全等級(jí)測評(píng)機(jī)構(gòu)能力要求和

評(píng)估規(guī)范》。

5.2013年5月，十一局發(fā)布《信息安全等級(jí)保護(hù)測評(píng)機(jī)

構(gòu)管理辦法》，第二十條“等級(jí)測評(píng)機(jī)構(gòu)實(shí)行等級(jí)化管

理。

6.完成《信息安全等級(jí)測評(píng)機(jī)構(gòu)能力要求和評(píng)估規(guī)范》（檢

查稿）

7.2014年3月，國標(biāo)委對(duì)標(biāo)準(zhǔn)進(jìn)行評(píng)審，要求盡快出臺(tái)。

8.2015年底，配合十一局以該文稿為主要依據(jù)，進(jìn)行了

測評(píng)機(jī)構(gòu)評(píng)優(yōu)，并為定級(jí)評(píng)星做好準(zhǔn)備。

9.2016年8月12日，草案向國標(biāo)部分WG5專家征求意見，

并進(jìn)行了修訂。

10.2016年8月25日，國標(biāo)委召開WG5工作組在研標(biāo)

準(zhǔn)推進(jìn)會(huì)，對(duì)文稿進(jìn)行評(píng)審后進(jìn)行了再次修訂。

11.目前，除西藏外，全國31個(gè)省市自治區(qū)已經(jīng)推薦等

級(jí)測評(píng)機(jī)構(gòu)147家。

三、標(biāo)準(zhǔn)編制參考與借鑒

1.《檢測和校準(zhǔn)實(shí)驗(yàn)室能力的通用要求》（ISO/IEC

17025:2005）

2.《檢驗(yàn)機(jī)構(gòu)能力的通用要求》（ISO/IEC17020:2012）

3.ISO9001質(zhì)量管理系統(tǒng)系列標(biāo)準(zhǔn)

4.《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南》（GB/T

28449-2012）等系列等級(jí)保護(hù)國家標(biāo)準(zhǔn)

5.《網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)評(píng)估準(zhǔn)則》（YDT1621—2007）

6.《信息安全服務(wù)資質(zhì)認(rèn)證技術(shù)規(guī)范》

……

四、標(biāo)準(zhǔn)主要內(nèi)容

1.能力

測評(píng)實(shí)施能力

組織管理能力

設(shè)備實(shí)施安全保障能力

可持續(xù)發(fā)展能力能力要求

質(zhì)量管理能力

風(fēng)險(xiǎn)控制能力

規(guī)范性保證能力

2.級(jí)別

等級(jí)測評(píng)機(jī)構(gòu)按能力要求分為三級(jí)，級(jí)別由低到高依次是Ⅰ

級(jí)、Ⅱ級(jí)和Ⅲ級(jí)

高

中

低

Ⅱ級(jí)Ⅲ級(jí)

Ⅰ級(jí)

能力要求項(xiàng)級(jí)差一覽表

級(jí)別組織管測評(píng)實(shí)施設(shè)施和設(shè)質(zhì)量管理能力規(guī)范性保證能力風(fēng)險(xiǎn)可持項(xiàng)數(shù)

理能力能力備安全與控制續(xù)性

保障能力能力發(fā)展

能力

人測管理管理質(zhì)量公正性可信與保測評(píng)方法測評(píng)記測評(píng)報(bào)安全管

員評(píng)體系體系監(jiān)督保證能密性保證與程序的錄的規(guī)告的規(guī)理能力

能能建設(shè)維護(hù)能力力能力規(guī)范性范性范性

力力

第Ⅰ5項(xiàng)5項(xiàng)3項(xiàng)5項(xiàng)3項(xiàng)2項(xiàng)2項(xiàng)9項(xiàng)1項(xiàng)2項(xiàng)4項(xiàng)2項(xiàng)4項(xiàng)47項(xiàng)

級(jí)

第5項(xiàng)6項(xiàng)6項(xiàng)6項(xiàng)3項(xiàng)2項(xiàng)1項(xiàng)3項(xiàng)10項(xiàng)2項(xiàng)3項(xiàng)4項(xiàng)1項(xiàng)2項(xiàng)4項(xiàng)58項(xiàng)