信息安全等级测评机构能力要求使用说明试行.doc

信息安全等级保护测评体系建设与测评工作规范性文件 信息安全等级测评机构 能力要求使用说明 （试行） 200×-××-×× 发布 200×-××-×× 实施 公安部信息安全等级保护评估中心 目 录 1 范围 3 2 名词解释 3 3 基本条件 3 4 组织管理能力 4 5 测评实施能力 6 6 设施和设备安全与保障能力 10 7 质量管理能力 12 8 规范性保证能力 13 9 风险控制能力 16 10 可持续性发展能力 17 11 测评机构能力约束性要求 18 前 言 公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号），决定加快等级保护测评体系规范测评活动，满足信息安全等级，信息安全等级测评机构能力要求使用说明 范围 本规范规定了测评机构的能力要求。 本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。 名词解释 等级测评 等级测评是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 ，是指具备基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室推荐，从事等级测评工作的机构。信息安全等级保护测评工作管理规范应当具备以下基本条件： 在中华人民共和国境内注册成立（港澳台地区除外）；由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）； 产权关系明晰，注册资金100万元以上； 从事信息系统检测评估相关工作两年以上，无违法记录； 工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； 具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人； 具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求； 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； 对国家安全、社会秩序、公共利益不构成威胁; 应当具备的其他条件。保密管理项目管理质量管理培训教育测评人员参加由举办的专门培训、考试并取得中心颁发的《等级测评师证书》（等级测评师分为初级、中级和高级）。等级测评人员需持证上岗。 了解信息安全等级保护的相关政策、标准； 熟悉信息安全基础知识； 熟悉信息安全产品分类，了解其功能、特点和操作方法； 掌握等级测评方法，能够根据测评指导书客观、准确、完整地获取各项测评证据； 掌握测评工具的操作方法，能够合理设计测试用例获取所需测试数据； 能够按照报告编制要求整理测评数据。 中级等级测评师 熟悉信息安全等级保护相关政策、法规； 正确理解信息安全等级保护标准体系和主要标准内容，能够跟踪国内、国际信息安全相关标准的发展； 掌握信息安全基础知识，熟悉信息安全测评方法，具有信息安全技术研究的基础和实践经验； 具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理的方法，具有较强的组织协调和沟通能力； 能够独立开发测评指导书，熟悉测评指导书的开发、版本控制和评审流程； 能够根据信息系统的特点，编制测评方案，确定测评对象、测评指标和测评方法； 具有综合分析和判断的能力，能够依据测评报告模板要求编制测评报告，能够整体把握测评报告结论的客观性和准确性。具备较强的文字表达能力； 了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题，提出合理化的整改建议。 高级等级测评师 熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展； 对信息安全等级保护标准体系及主要标准有较为深入的理解； 具有信息安全理论研究的基础、实践经验和研究创新能力； 具有丰富的质量体系管理和项目管理经验,具有较强的组织协调和管理能力； 熟悉等级保护工作的全过程，熟悉定级、等级测评、建设整改各个工作环节的要求。 测评技术员、测评项目组长和技术主管岗位人员应分别取得初、中、高级等级测评师证书，其比例应满足等级测评工作需要。 说明： 1.机构应按照等级测评工作的需要设定初、中、高级等级测评师的人员比例。其中初级技术测评师与管理测评师比例不少于3：1。 2.测评技术员（包括安全呢技术测评和安全管理测评）、测评项目组长（或称项目负责人、项目经理等）和技术主管（或称技术总监、总工等）岗位人员应分别获得初、中、高级等级测评师资格。 测评机构应指定一名技术主管,全面负责等级测评方面的技术工作。 说明： 1.机构应以文件化的形式任命一名技术主管，并明确其在等级测评技术方面的职责。 2.该技术主管应在测评活动中相关环节履行其职责。 测评能力 测评机构应通过提供案例、过程记录等资料，证明其具有从事信息系统