信息安全等级测评机构能力要求使用说明-中国网络安全等级保护网.PDFVIP

信息安全等级保护测评体系建设与测评工作规范性文件 信息安全等级测评机构 能力要求使用说明 （试行） 200 - - 发布 200 - - 实施 公安部 息安全等级保护评估中心 信息安全等级测评机构能力要求使用说明 目 录 1 范围 3 2 名词解释 3 3 基本条件 3 4 组织管理能力 4 5 测评实施能力 6 6 设施和设备安全与保障能力 10 7 质量管理能力 12 8 规范性保证能力 13 9 风险控制能力 16 10 可持续性发展能力 17 11 测评机构能力约束性要求 18 1 信息安全等级测评机构能力要求使用说明 前 言 公安部颁布《关于推动 息安全等级保护测评体系建设和开展等级测评工作的通知》（公 信安[2010]303 号），决定加快等级保护测评体系建设工作。 息安全等级测评机构的建设是 测评体系建设的重要内容，为确保有效指导测评机构的能力建设，规范 测评活动，满足 息安全等级保护工作要求，特制定本规范。 《 息安全等级测评机构能力要求》（以下简称 《能力要求》）是等级保护测评体系建设 指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容，结合 息安 全等级测评工作的特点，对测评机构的组织管理能力、测评实施能力、设施和设备安全与保 障能力、质量管理能力、规范性保证能力、风险控制能力、可持续性发展能力等提出基本能 力要求，为规范等级测评机构的建设和管理，及 能力评估工作的开展提供依据。 2 信息安全等级测评机构能力要求使用说明 信息安全等级测评机构能力要求使用说明 1 范围 本规范规定了测评机构的能力要求。 本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。 2 名词解释 2.1 等级测评 等级测评是指测评机构依据国家 息安全等级保护制度规定，按照有关管理规范和技术 标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 2.2 等级测评机构 等级测评机构，是指具备测评机构基本条件，经能力评估和审核，由省级以上 息安全 等级保护工作协调 （领导）小组办公室推荐，从事等级测评工作的机构。 3 基本条件 依据 《 息安全等级保护测评工作管理规范》（试行）， 息安全等级测评机构（以下简 称测评机构）应当具备以下基本条件： a) 在中华人民共和国境内注册成立 （港澳台地区除外）； b) 由中国公民投资、中国法人投资或者国家投资的企事业单 （港澳台地区除外）；（具 体要求参见8.2.1） c) 产权关系明晰，注册资金100 万元以上；（具体要求参见8.2.2） d) 从事 息系统检测评估相关工作两年以上，无违法记录；（具体要求参见5.2.1） e) 工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（具体要求参见 8.2.1） f) 具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10 人； g) 具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合 《信息安全等 级保护管理办法》对 息安全产品的要求；（具体要求参见6.1） h) 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； （具体要求参见4.5） i) 对国家安全、社会秩序、公共利益不构成威胁; 3 信息安全等级测评机构能力要求使用说明 j) 应当具备的 他条件。 4 组织管理能力 4.1 测评机构管理者应掌握等级保护政策文件，熟悉相关的标准规范。 说明： 1.测评机构管理者等级保护相关的政策法规，如《中华人民共和国计算机信息系统安全 保护条例