当前位置:文档之家 › 信息安全等级测评机构能力要求使用说明(试 行)

信息安全等级测评机构能力要求使用说明(试 行)

  • 格式:doc
  • 大小:137.00 KB
  • 文档页数:24

下载文档原格式

  / 24

合集下载

《信息安全等级保护测评机构管理办法》最新

《信息安全等级保护测评机构管理办法》最新

信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。

第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。

第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。

第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。

第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。

省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。

第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统安全相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(五)具有信息系统安全相关工作经验的技术人员,不少于10人;(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;(九)不涉及信息安全产品开发、销售或信息系统安全2集成等业务;(十)应具备的其他条件。

信息系统安全等级保护测评及服务要求

信息系统安全等级保护测评及服务要求

成都农业科技职业学院信息系统安全等级保护测评及服务要求一、投标人资质要求1.在中华人民共和国境内注册成立(港澳台地区除外),具有独立承担民事责任的能力;由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外)。

(提供营业执照副本、组织机构代码证副本、税务登记证副本复印件);2.测评机构应为成都市本地机构或在成都有常驻服务机构;3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》;4. 参选人必须具有近3年内1例以上,市级以上企事业单位信息安全等级保护测评项目的实施业绩(以合同或协议为准);5. 参选人须具有良好的商业信誉和健全的财务会计制度;具有履行合同所必需的设备和专业技术能力;具有依法缴纳税收和社会保障资金的良好记录;有良好的财务状况和商业信誉。

没有处于被责令停产、财产被接管、冻结或破产状态,有足够的流动资金来履行本项目合同。

6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。

7.本包不接受联合体参加。

二、信息系统安全等级保护测评目标本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》和有关规定及要求,对我单位的重要业务信息系统开展信息安全等级保护测评工作,通过开展测评,了解与《信息系统安全等级保护基本要求》的差距,出具相应的测评报告、整改建议,根据测评结果,协助招标方完成信息安全等级保护后期整改工作,落实等级保护的各项要求,提高信息安全水平和安全防范能力,并配合完成公安系统等级保护备案。

等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。

测评主要包括安全技术和安全管理两个方面的内容,其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容;安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容,配合相应等级的安全技术措施,提供相应的安全管理措施和安全保障。

信息安全技术信息系统安全等级保护测评要求

信息安全技术信息系统安全等级保护测评要求

信息安全技术信息系统安全等级保护基本要求引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)等有关文件要求,制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括:——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南;——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求;——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。

一般来说,信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。

本标准针对信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。

单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。

整体测评根据安全控制点间、层面间和区域间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。

本标准给出了等级测评结论中应包括的主要内容,未规定给出测评结论的具体方法和量化指标。

如果没有特殊指定,本标准中的信息系统主要指计算机信息系统。

在本标准文本中,黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。

信息系统安全等级保护测评要求1 范围本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测评要求。

本标准略去对第五级信息系统进行单元测评的具体内容要求。

本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。

信息安全技术—网络安全等级保护测评要求

信息安全技术—网络安全等级保护测评要求
《信息安全技术—网络安全等级保护测评要求》(GB/T 28448-2019)在网络安全等级保护测评工作中发挥 重要作用,助力中国网络安全等级保护工作再上新台阶。
谢谢观看
2014年11月19日,国家标准计划《信息安全技术—网络安全等级保护测评要求》(-T-469)下达,项目周期 12个月,由TC260(全国信息安全标准化技术委员会)归口上报及执行,主管部门为国家标准化管理委员会。全 国标准信息公共服务平台显示,该计划已完成网上公示、起草、征求意见、审查、批准、发布工作。
2019年5月10日,国家标准《信息安全技术—网络安全等级保护测评要求》(GB/T 28448-2019)由中华人 民共和国国家市场监督管理总局、中国国家标准化管理委员会发布。
2019年12月1日,国家标准《信息安全技术—网络安全等级保护测评要求》(GB/T 28448-2019)实施,全 部代替国家标准《信息安全技术—信息系统安全等级保护测评要求》(GB/T28448-2012)。
国家标准《信息安全技术—网络安全等级保护测评要求》(GB/T 28448-2019)依据中国国家标准《标准化 工作导则第1部分:标准的结构和编写规则》(GB/T 1.1-2009)规则起草。
《信息安全技术—网络安全等级保护测评要求》(GB/T 28448-2019)与《信息安全技术—信息系统安全等 级保护测评要求》(GB/T28448-2012)相比,主要变化如下:
主要起草单位:公安部第三研究所(公安部信息安全等级保护评估中心、国家信息中心、北京大学、成都科 来软件有限公司、北京鼎普科技股份有限公司、北京梆梆安全科技有限公司、中国电子科技集团公司第十五研究 所(信息产业信息安全测评中心)、北京信息安全测评中心、全球能源互联网研究院、中国电力科学研究院、国 电南京自动化股份有限公司、中国电子信息产业集团公司第六研究所、启明星辰信息技术集团股份有限公司、华 普科工(北京)有限公司、中国电子技术标准化研究院、中国科学院信息工程研究所(信息安全国家重点实验 室)、新华三技术有限公司、中国移动通信集团有限公司、北京微步在线科技有限公司、北京迅达云成科技有限 公司、公安部第一研究所、国家能源局信息中心(电力行业信息安全等级保护测评中心)、北京卓识网安技术股 份有限公司、南京南瑞集团公司、南方电网科学研究院、工业和信息化部计算机与微电子发展研究中心(中国软 件评测中心)、北京烽云互联科技有限公司。

等级保护测评机构基本介绍

等级保护测评机构基本介绍

测评机构义务
测评机构应按照国家有关网络安全法律法规规定和标准 规范要求,为用户提供科学、安全、客观、公正的等级 测评服务。
测评机构 测评要求
为什么要修订《网络安全等级保护测评要求》
国家标准GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》在我国网络安 全等级保护工作开展过程中发挥了重要的指导作用,被广泛应用于等级保护测评机构、各个行业 和领域开展网络安全等级保护的等级测评和安全自查等相关工作。GB/T 28448自2012年发布 以来,随着信息技术的发展,在标准应用过程中特别是云计算、移动互联、物联网、工业控制和 大数据等新技术、新应用环境下也遇到了一些新的问题,GB/T 28448-2012在适用性、时效 性、易用性、可操作性上需要进一步完善。此外,作为测评指标进行引用的GB/T 22239- 2008也启动了修订工作。为适应我国网络安全等级保护工作发展的需要,进一步与新版的GB/T 22239相协调,有必要对GB/T 28448-2012进行修订。
《测评要求第1部分:安全通用要求》主要修订内容
根据全国信息安全标准化技术委员会2013年10月下达的国家标准制修订计划,公安部第三研究所(公安 部信息安全等级保护评估中心)牵头组织了对GB/T 28448-2012的修订工作。
在前期先对GB/T 22239进行修订的同时,研究确定了《测评要求》修订技术思路。待GB/T22239形成 草案后,同步开始修订《测评要求》。修订经历了调查研究、草案形成、征求意见稿、送审稿等过程, 也收到了许多专家、各行业用户及七大部委的许多宝贵意见。为便于大家更好地理解和使用新标准体系 ,提前向大家介绍以下对原国家标准GB/T 28448-2012修订的一些主要内容。
申请时,申请单位应向等保办提交以下材料:

信息安全等级保护基本要求使用介绍

信息安全等级保护基本要求使用介绍

《基本要求》的定位
基本要求 保护 特殊需求 补充措施 基本保护 测评 基本要求
某级信息系统
精确保护 基本保护
补充的安全措施 GB17859-1999 通用技术要求 安全管理要求 高级别的基本要求 等级保护其他标准 安全方面相关标准 等等
二、保护要求分级描述的主要思想
《基本要求》基本思路
应对不同威胁的能力 (威胁\弱点)
系 统 建 设 管 理
系 统 运 维 管 理
基本要求-组织方式
物理安全(四级)
物 理 位 置 选 择
物 理 访 问 控 制
防 盗 窃 和 防 破 坏
防 雷 击
防 火
防 水 和 防 潮
温 湿 度 控 制
电 力 供 应
电 磁 防 护
基本要求-组织方式
网络安全(四级)
结 构 安 全 和 网 段 划 分
第二级安全保护能力
• 应能够防护系统免受来自外部小型组织的(如自发的三两 人组成的黑客组织)、拥有少量资源(如个别人员能力、 公开可获或特定开发的工具等)的威胁源发起的恶意攻击、 一般的自然灾难(灾难发生的强度一般、持续时间短、覆 盖范围小等)以及其他相当危害程度的威胁(无意失误、 技术故障等)所造成的重要资源损害,能够发现重要的安 全漏洞和安全事件,在系统遭到损害后,能够在一段时间 内恢复部分功能。
安 全 管 理 制 度
人 员 安 全 管 理
系 统 建 设 管 理
系 统 运 维 管 理
三、各级系统保护的主要内容
各级系统的安全保护的核心
某级系统 基本要求 技术要求 管理要求
建立安全技术体系
建立安全管理体系
具有某级安全保护能力的系统
基本要求的主要内容

中国证券监督管理委员会公告[2011]38号――证券期货业信息系统安全等级保护基本要求(试行)

中国证券监督管理委员会公告[2011]38号――证券期货业信息系统安全等级保护基本要求(试行)文章属性•【制定机关】中国证券监督管理委员会•【公布日期】2011.12.22•【文号】中国证券监督管理委员会公告[2011]38号•【施行日期】2011.12.22•【效力等级】部门规范性文件•【时效性】失效•【主题分类】证券,期货正文中国证券监督管理委员会公告(〔2011〕38号)现公布金融行业推荐性标准《证券期货业信息系统安全等级保护基本要求(试行)》(JR/T 0060-2010),自公布之日起施行。

中国证券监督管理委员会二○一一年十二月二十二日ICS 03.060A11JR备案号中华人民共和国金融行业标准JR/T 0060-2010 证券期货业信息系统安全等级保护基本要求(试行)Securities and futures industry-Baseline for classified protection of information system(Trial basis)2011-12-22发布2011-12-22实施中国证券监督管理委员会发布目次前言引言1 范围2 规范性引用文件3 术语和定义4 证券期货业信息系统安全等级保护概述4.1 证券期货业信息系统安全保护等级4.2 不同等级的安全保护能力4.3 基本技术要求和基本管理要求4.4 基本技术要求的三种类型5 第一级基本要求5.1 技术要求5.1.1 物理安全5.1.2 网络安全5.1.3 主机安全5.1.4 应用安全5.1.5 数据安全及备份恢复5.2 管理要求5.2.1 安全管理制度5.2.2 安全管理机构5.2.3 人员安全管理5.2.4 系统建设管理5.2.5 系统运维管理6 第二级基本要求6.1 技术要求6.1.1 物理安全6.1.2 网络安全6.1.3 主机安全6.1.4 应用安全6.1.5 数据安全及备份恢复6.2 管理要求6.2.1 安全管理制度6.2.2 安全管理机构6.2.3 人员安全管理6.2.4 系统建设管理6.2.5 系统运维管理7 三级基本要求7.1 技术要求7.1.1 物理安全7.1.2 网络安全7.1.3 主机安全7.1.4 应用安全7.1.5 数据安全及备份恢复7.2 管理要求7.2.1 安全管理制度7.2.2 安全管理机构7.2.3 人员安全管理7.2.4 系统建设管理7.2.5 系统运维管理8 第四级基本要求8.1 技术要求8.1.1 物理安全8.1.2 网络安全8.1.3 主机安全8.1.4 应用安全8.1.5 数据安全及备份恢复8.2 管理要求8.2.1 安全管理制度8.2.2 安全管理机构8.2.3 人员安全管理8.2.4 系统建设管理8.2.5 系统运维管理9 第五级基本要求附录A(规范性附录)关于证券期货业信息系统整体安全保护能力的要求附录B(规范性附录)证券期货业重要信息系统安全要求的选择和使用前言本标准附录A和附录B是规范性附录。

江苏等级保护测评机构管理办法-江苏信息安全等级保护网

等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、风险评估、应急保障、安全运维、安全监理等服务。
第三条在江苏省行政区划内开展等级测评活动的测评机构,适用本办法。
第二章监管机构职责
第四条按照“统筹规划、合理布局、安全规范”的原则,省、市信息安全等级保护工作协调小组办公室(以下简称“等保办”)对测评机构实行“备案审核推荐制度”,对测评机构及其工作人员、测评活动进行监督、检查和指导。
第二十六条抽样检查按照正常等级测评工作流程开展。若抽检符合度不低于原测评符合度,则抽检合格;若抽检符合度低于原测评符合度,则抽检不合格。
第二十七条测评机构有下列情形之一,省、市等保办向其下发《等级保护测评机构限期整改通知书》,责令其限期改正;情形严重的,予以通报。整改期内,不得从事测评活动。
(一)未按照有关标准规范开展测评或未按规定出具信息系统安全等级测评报告的;
各市信息安全等级保护工作协调小组办公室(以下简称“市等保办”)承担指导属地除省等保办监管范围外的单位、行业的信息安全等级保护工作,对推荐从事上述单位、行业信息系统等级测评活动的测评机构和工商注册地在本地的测评机构进行监督管理。上述单位、行业信息系统定级备案工作由市级公安机关受理。
省等保办应定期发布公告,在《江苏信息安全等级保护网》发布在我省符合备案条件的、能够开展测评活动的测评机构目录,并通报测评机构活动及被抽检情况。
第十九条测评机构应根据《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》等标准规范,编制《项目实施计划书》、《现场测评实施指导书》和《测评方案》等,确保测评活动客观、公正、安全。
第二十条测评项目实施人员必须持证上岗。等级测评项目启动后,测评机构应将《等级测评活动监督表》交给被测评单位。项目完成后,被测评单位应将填写好的《等级测评活动监督表》加盖公章后提交受理备案的等保办。

《信息安全等级保护管理办法》

《信息安全等级保护管理办法》各省、自治区、直辖市公安厅(局)、保密局、国家密码管理局(国家密码管理委员会办公室)、信息化领导小组办公室,xx生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室,各人民团体保密委员会办公室:为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》。

现印发给你们,请认真贯彻执行。

公安部国家保密局国家密码管理局国务院信息工作办公室xx年六月二十二日第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。

第二章等级划分与保护2第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

信息安全等级保护测评体系建设与测评工作规范性文件

说明:
1.测评人员应严格按照《信息系统安全等级测评报告模版(试行)》编制测评报告。
2.应通过评审、论证等手段对测评报告中的结果判断、问题分析、测评结论等内容的正确性进行确认。
6
6.1
a)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
b)产品的核心技术、关键部件具有我国自主知识产权;
说明:
测评人员在作出测评结论时,应具备测评结果汇总统计、问题分析、整体综合判断的能力。
e)风险分析能力,指依据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测评系统安全造成的影响的能力;
说明:
测评人员应能采用风险分析的方法,分析信息系统等级测评结果中存在的安全问题可能被威胁利用的可能性和后果,综合判定给出信息系统面临的风险值。
b)方案编制阶段,正确合理地确定测评对象、测评指标及测评内容等,并依据现行有效的技术标准、规范开发测评方案、测评指导书、测评结果记录表格等。测评方案应通过技术评审并有相关记录,测评指导书应进行版本有效性维护,且满足以下要求:
符合相关的等级测评标准;
提供足够详细的信息以确保测评数据获取过程的规范性和可操作性。
《信息安全等级测评机构能力要求》(以下简称《能力要求》)是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容,结合信息安全等级测评工作的特点,对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续性发展能力等提出基本能力要求,为规范等级测评机构的建设和管理,及其能力评估工作的开展提供依据。
机构应能在测评实施中根据安全管理测评的工作需求配备相应的人员,可设置管理测评工作组,保证测评工作的专业化。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
掌握测评工具的操作方法,能够合理设计测试用例获取所需测试数据;
能够按照报告编制要求整理测评数据。
b)中级等级测评师
熟悉信息安全等级保护相关政策、法规;
正确理解信息安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展;
掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的基础和实践经验;
说明:
1.测评人员应能正确的确定测评对象、测评指标、测评内容、工具测试方案等。
2.应通过评审、论证、验证等手段对测评方案进行技术确认,保证测评方法和实施方案的正确性和可行性。
3.测评指导书应具备可操作性,指导书应进行版本维护。
c)现场测评阶段,严格执行测评方案和测评指导书中的内容和要求,并依据操作规程熟练地使用测评设备和工具,规范、准确、完整的填写测评结果记录,获取足够证据,客观、真实、科学地反映出系统的安全保护状况,测评过程应予以监督并记录;
2.应能根据测评项目的具体情况开发相应的测试工作指导书,测评设备和工具应有操作规程、手册。
3.测试人员应能熟练使用测评设备和工具获取数据,并通过对数据结果的分析发现或验证信息系统存在的问题。
d)整体测评实施能力,指根据测评报告的单元测评的结果记录部分、结果汇总部分和问题分析部分,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果的能力。
4.4
说明:
1.机构应以文件化的形式明确其岗位名称和职责。
2.应保证行政管理人员(如人力资源、财务等)的数量,并满足岗位能力要求。
4.5
说明:
1.各管理制度文档内容应覆盖相关要求。
2.各管理制度应按规范的审批流程在机构内发布、实施。
3.各管理制度应有配套的工作表单和执行记录。
a)保密管理制度
测评机构应根据国家有关保密规定制定保密管理制度,制度中应明确保密对象的范围、人员保密职责、各项保密措施与要求,以及违反保密制度的罚则等内容。
2.应熟悉《定级指南》、《基本要求》、《测评要求》等技术标准。
4.2
说明:
1.机构应建立适应等级测评工作的组织形式,设置如测评部、管理部、市场部、质量管理部等部门。
2.通过组织结构图及文字说明来描述其组织形式,包括外部关系与内部关系两方面。
4.3
说明:
机构应保证技术和管理人员具备开展测评工作的基本素质,以及开展测评工作的基本人力资源投入。
c)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
d)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
e)对国家安全、社会秩序、公共利益不构成危害。
f)信息安全产品应获得公安部计算机信息安全产品销售许可证。
说明:
机构应保证其所配备的防火墙、IDS等安全产品获得销售许可证。
5
5.1
5.1.1
5.1.2
说明:
机构应按等级测评师培训工作的要求,派遣测评人员参加培训。培训不合格的,不得从事等级测评工作。
5.1.3
a)初级等级测评师
了解信息安全等级保护的相关政策、标准;
熟悉信息安全基础知识;
熟悉信息安全产品分类,了解其功能、特点和操作方法;
掌握等级测评方法,能够根据测评指导书客观、准确、完整地获取各项测评证据;
5.1.5
说明:
1.机构应以文件化的形式任命一名技术主管,并明确其在等级测评技术方面的职责。
2.该技术主管应在测评活动中相关环节履行其职责。
5.2
5.2.1
说明:
机构应提供完整的等级测评项目归档文件,证明其从事等级测评工作的年限和行业经验。
5.2.2
a)安全技术测评实施能力,包括物理安全测评、网络安全测评、主机安全测评、应用安全测评、数据安全及备份恢复测评等方面测评指导书的开发、使用、维护及获取相关结果的专业判断;
熟悉等级保护工作的全过程,熟悉定级、等级测评、建设整改各个工作环节的要求。
5.1.4
说明:
1.机构应按照等级测评工作的需要设定初、中、高级等级测评师的人员比例。其中初级技术测评师与管理测评师比例不少于3:1。
2.测评技术员(包括安全呢技术测评和安全管理测评)、测评项目组长(或称项目负责人、项目经理等)和技术主管(或称技术总监、总工等)岗位人员应分别获得初、中、高级等级测评师资格。
b)方案编制阶段,正确合理地确定测评对象、测评指标及测评内容等,并依据现行有效的技术标准、规范开发测评方案、测评指导书、测评结果记录表格等。测评方案应通过技术评审并有相关记录,测评指导书应进行版本有效性维护,且满足以下要求:
符合相关的等级测评标准;
提供足够详细的信息以确保测评数据获取过程的规范性和可操作性。
说明:
1.测评人员应严格按照《信息系统安全等级测评报告模版(试行)》编制测评报告。
2.应通过评审、论证等手段对测评报告中的结果判断、问题分析、测评结论等内容的正确性进行确认。
6
6.1
a)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
b)产品的核心技术、关键部件具有我国自主知识产权;
5.2.3
说明:
机构应建立完善的测评项目管理制度,划分测评各阶段,明确各阶段的工作内容。
a)测评准备阶段,收集被测系统的相关资料信息,填写规范的系统调查表,全面掌握被测评系统的详细情况,为测评工作的开展打下基础;
说明:
对每个被测评信息系统,应有详细、准确的调查记录。调查记录的填写应规范严谨,通过信息收集和分析为正确选择测评对象提供依据。
说明:
1.机构应能在测评实施中根据物理安全测评、网络安全测评、主机系统安全测评、应用安全和数据安全测评等方面的工作需求进行人员配置和工作分工,如成立主机测评、网络测评、应用测评等工作组,保证测评工作的专业化。
2.安全技术测评指导书是机构从事等级测评的最重要的文件,指导书应内容完备,可支持等级测评的全部工作。
说明:
测评人员在作出测评结论时,应具备测评结果汇总统计、问题分析、整体综合判断的能力。
e)风险分析能力,指依据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测评系统安全造成的影响的能力;
说明:
测评人员应能采用风险分析的方法,分析信息系统等级测评结果中存在的安全问题可能被威胁利用的可能性和后果,综合判定给出信息系统面临的风险值。
3.测评指导书应严格依据等级测评技术标准,完全覆盖测评要点,步骤详尽、文字严谨,并保证测评结果判定标准的科学、可靠。
b)安全管理测评实施能力,包括安全管理制度测评、安全管理机构测评、人员安全管理测评、系统建设管理测评、系统运维管理测评等方面测评指导书的开发、使用、维护及获取相关结果的专业判断;
说明:
《信息安全等级测评机构能力要求》(以下简称《能力要求》)是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容,结合信息安全等级测评工作的特点,对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续性发展能力等提出基本能力要求,为规范等级测评机构的建设和管理,及其能力评估工作的开展提供依据。
d)人员管理制度
应包括人员录用、考核、日常管理以及离职等方面的内容和要求。
e)培训教育制度
应包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建立等的内容和要求。
f)申诉、投诉及争议处理制度
应明确包括测评机构各岗位人员在申、投诉和争议处理活动中相应的职责,建立从受理、确认到处置、答复等环节的完整程序。
b)项目管理制度
测评机构应依据《信息安全技术信息系统安全等级保护测评过程指南》等技术标准制定符合自身特点的测评项目管理程序,主要应包括测评工作的组织形式、工作职责,测评各阶段的工作内容和管理要求等。
c)质量管理制度(包含设备管理和文件档案管理等)
应以保证质量为前提对测评机构的设备、文件档案等提出各项要求。设备管理制度应包括对于仪器设备的购置、使用和维护的质量管理要求。文件档案管理制度应包括机构人员在文件档案管理中的相关职责、文件档案借阅、保管直至销毁的各项规定等。
h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;(具体要求参见4.5)
i)对国家安全、社会秩序、公共利益不构成威胁;
j)应当具备的其他条件。
4
4.1
说明:
1.测评机构管理者等级保护相关的政策法规,如《中华人民共和国计算机信息系统安全保护条例》(147号令)、《信息安全等级保护工作的实施意见》(66号文)、《信息安全等级保护管理办法》(43号文)、《信息安全等级保护测评工作管理规范》(公信安[2010]303号)等。
信息安全等级测评机构能力要求使用说明
1
本规范规定了测评机构的能力要求。
本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。
2
2.1
等级测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
2.2
等级测评机构,是指具备测评机构基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室推荐,从事等级测评工作的机构。
d)从事信息系统检测评估相关工作两年以上,无违法记录;(具体要求参见5.2.1)
e)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(具体求参见8.2.1)
f)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人;
g)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;(具体要求参见6.1)
信息安全等级保护测评体系建设与测评工作规范性文件