网络安全等级保护测评服务规范.docxVIP

网络安全等级保护测评服务规范

范围

本文件规定了提供网络安全等级测评服务的测评服务要求和测评服务流程。

本文件适用于网络安全等级保护测评机构（以下简称“测评机构”）开展网络安全保护等级保护测评服务工作。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T1.1—2020标准化工作导则第1部分：标准化文件的结构和起草规则

GB/T28448—2019信息安全技术网络安全等级保护测评要求

GB/T28449—2018信息安全技术网络安全等级保护测评过程指南

GB/T36959—2018信息安全技术网络安全等级保护测评机构能力要求和评估规范

术语和定义

GB/T28448—2019和GB/T36959—2018界定的以及下列术语定义适用于本文件。

等级测评testingandevaluationforclassifiedcybersecurityprotection

测评机构依据国家网络安全保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。

基本要求

机构

在安徽省提供网络安全等级保护测评服务者，应具有经公安部第三研究所（国家认证许可委员会批准的认证机构）认证发放的《网络安全等级测评与检测评估机构服务认证证书》。测评机构证书应在有效期内，未出现认证证书暂停、撤销或测评机构在整改期等情况；

测评机构的能力应符合GB/T36959规定的测评机构能力要求,并通过测评机构能力评估；

测评机构法定代表人、股东（若有）、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录；

测评机构同一法人具有多个办公地址且分别独立提供测评服务的机构，应使用同一个认证证书；

测评机构应具有网络安全等级测评师（以下简称“测评师”）不少于15人（高级测评师不少于1人，中级测评师不少于5人），专职渗透测试人员不少于2人；

测评机构不应从事对等级测评相关工作的公正性产生影响的业务，包括从事信息系统安全集成或网络安全产品研发（自用除外）、生产、销售等；不应限定被测评单位购买、使用指定的网络安全产品；

测评机构法定代表人、股东（若有）、主要负责人、测评相关人员不应投资或任职于信息系统安全集成或网络安全产品研发、生产、销售企业。

人员

测评机构从事等级测评工作的专业技术人员（以下简称测评人员）应需持证上岗，测评师上岗前，测评机构应组织岗前培训；培训合格的，由测评机构配发上岗证，上岗证发放情况应于发放后5个工作日报省级网安部门；

等级测评师的能力要求应符合GB/T36959附录B规定的要求,担任等级测评工作中不同岗位的测评人员应分别取得初、中、高级等级测评师证书；

测评师每年测评业务和技术培训时长累计不少于40学时；

测评机构应对测评师开展等级测评业务情况进行考核，并留存相关记录；

测评师实行年度注册管理，测评机构应将本机构测评师情况报省级网安部门注册并进行年审，测评机构不应采取挂靠或者聘用兼职测评师开展测评业务。

测评师离职前，测评机构应与其签订离职保密承诺书并收回上岗证，测评师发生变更的，测评机构应在变更后10个工作日内在公安部“网络安全等级保护测评项目登记管理系统”（以下简称“项目登记管理系统”）中登记，并提交相应的变更材料；

测评机构应监督测评师妥善保管测评师证书、上岗证，不应涂改、出借、出租和转让；

测评机构应对测评人员进行监督管理，定期组织开展安全保密教育培训，签订安全保密责任书，规定其应当履行的安全保密义务和承担的法律责任，并负责检查落实。

工具和场地

测评机构应具有固定的办公场所，注册地址、办公场所变更应在变更后10个工作日内向服务认证中心和省级网安部门登记；

测评机构应配备满足测评业务需要的检测评估工具，应在开展测评工作前保证工具的特征库已升级至最新；

测评机构应具备符合相关要求的机房以及必要的软、硬件设备，应能针对新技术新应用进行实验部署，以满足网络仿真、技术培训和模拟测试的需要；

测评机构应对测评数据、以及对测评数据进行处理的设备进行管理，并保证测评数据记录的完整性、可控性。

管理制度

测评机构应建立符合等级测评工作需要的网络安全管理体系；

测评机构应依据GB/T28449制定测评项目管理程序；

测评机构应建立设备管理制度；

测评机构应建立文档管理制度，保证与等级测评有关的所有工作程序、指导书、标准规范、工作表格、核查记录表等现行有效并便于测评人员获得；

测评机构应建立人员管理制度，规定测评人员的能力要求和职责；

测评机构应建立培训教育制度，保证测评师接收测评业务和技术培训，并保存培训和