《网络安全等级保护测评服务规范》标准文本.pdfVIP

网络安全等级保护测评服务规范

1范围

本文件规定了提供网络安全等级测评服务的测评服务要求和测评服务流程。

本文件适用于网络安全等级保护测评机构（以下简称“测评机构”）开展网络安全保护等级保护测

评服务工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T1.1—2020标准化工作导则第1部分：标准化文件的结构和起草规则

GB/T28448—2019信息安全技术网络安全等级保护测评要求

GB/T28449—2018信息安全技术网络安全等级保护测评过程指南

GB/T36959—2018信息安全技术网络安全等级保护测评机构能力要求和评估规范

3术语和定义

GB/T28448—2019和GB/T36959—2018界定的以及下列术语定义适用于本文件。

3.1

等级测评testingandevaluationforclassifiedcybersecurityprotection

测评机构依据国家网络安全保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密的网

络安全等级保护状况进行检测评估的活动。

4基本要求

4.1机构

a)在安徽省提供网络安全等级保护测评服务者，应具有经公安部第三研究所（国家认证许可委员

会批准的认证机构）认证发放的《网络安全等级测评与检测评估机构服务认证证书》。测评机构证

书应在有效期内，未出现认证证书暂停、撤销或测评机构在整改期等情况；

b)测评机构的能力应符合GB/T36959规定的测评机构能力要求,并通过测评机构能力评估；

c)测评机构法定代表人、股东（若有）、主要负责人、测评人员仅限中华人民共和国境内的中国

公民，且无犯罪记录；

d)测评机构同一法人具有多个办公地址且分别独立提供测评服务的机构，应使用同一个认证证书；

e)测评机构应具有网络安全等级测评师（以下简称“测评师”）不少于15人（高级测评师不少于1

人，中级测评师不少于5人），专职渗透测试人员不少于2人；

1

f)测评机构不应从事对等级测评相关工作的公正性产生影响的业务，包括从事信息系统安全集成

或网络安全产品研发（自用除外）、生产、销售等；不应限定被测评单位购买、使用指定的网络安

全产品；

g)测评机构法定代表人、股东（若有）、主要负责人、测评相关人员不应投资或任职于信息系统

安全集成或网络安全产品研发、生产、销售企业。

4.2人员

a)测评机构从事等级测评工作的专业技术人员（以下简称测评人员）应需持证上岗，测评师上岗

前，测评机构应组织岗前培训；培训合格的，由测评机构配发上岗证，上岗证发放情况应于发放后

5个工作日报省级网安部门；

b)等级测评师的能力要求应符合GB/T36959附录B规定的要求,担任等级测评工作中不同岗位的测

评人员应分别取得初、中、高级等级测评师证书；

c)测评师每年测评业务和技术培训时长累计不少于40学时；

d)测评机构应对测评师开展等级测评业务情况进行考核，并留存相关记录；

e)测评师实行年度注册管理，测评机构应将本机构测评师情况报省级网安部门注册并进行年审，

测评机构不应采取挂靠或者聘用兼职测评师开展测评业务。

f)测评师离职前，测评机构应与其签订离职保密承诺书并收回上岗证，测评师发生变更的，测评

机构应在变更后10个工作日内在公安部“网络安全等级保护测评项目登记管理系统”（以下简称

“项目登记管理系统”）中登记，并提交相应的变更材料；

g)测评机构应监督测评师妥善保管测评师证书、上岗证，不应涂改、出借、出租和转让；

h)测评机构应对测评人员进行监督管理，定期组织开展安全保密教育培训，签订安全保密责任书，

规定其应当履行的安全保密义务和承担的法律责任，并负责检查落实。

4.3工具和场地

a)测评机构应具有固定的办公场所，注册地址、办公场所变更应在变更后10个工作日内向服务认

证中心