1 范围

      本标准规定了网络安全等级保护测评机构的能力要求和评估规范。

      本标准适用于拟成为或晋级为更高级网络安全等级保护测评机构的能力建设、运营管理和资格评定等活动。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 28448 信息安全技术 信息系统安全等级保护测评要求

      GB/T 28449 信息安全技术 网络安全等级保护测评过程指南

3 术语和定义

      GB/T 28448界定的以及下列术语和定义适用于本文件。

3.1

      能力评估 capability evaluation

      依据标准和（或）其他规范性文件，对测评机构申请单位的能力进行评审、验证和评价的过程。

3.2

      评估机构 evaluation organization

      对申请成为测评机构的企事业单位进行能力评估的专业技术机构。

3.3

      初次评估 first-time evaluation

      评估机构依据本规范和相关文件，首次对测评机构能力进行核查、验证和评价的过程。

3.4

      期间评估 continuous evaluation

      为已经获得推荐证书的测评机构是否持续地符合能力要求而在证书有效期内安排的定期或不定期的评估、抽查等活动。

3.5

      能力复评 capability review

      测评机构推荐证书有效期结束前，由评估机构对其实施全面评估以确认其是否持续符合能力要求，为延续到下一个推荐有效期提供依据的活动。

3.6

      评估员 evaluator

      由评估机构委派，对测评机构实施能力评估的人员。

4 测评机构能力要求

4.1 测评机构的分级

      测评机构的级别代表了网络安全等级保护测评机构技术水平和业务服务能力的差异。测评机构按能力要求分为三级，级别由低到高依次是I级、II级和皿级，级差是通过增加新的能力要求条款或在原条款基础上提出增强要求来实现。各级能力增强要求的总结情况见附录A中表A.1。

4.2 等级测评人员的分级

      测评机构从事等级测评工作的人员按能力要求分为三级，级别由低到高依次是初级、中级、高级，具体要求见附录B。

4.3 I级测评机构能力要求

4.3.1 基本条件

      测评机构应当具备以下基本条件：

      a）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位；

      b）产权关系明晰，注册资金500万元以上，独立经营核算，无违法违规记录；

      c）从事网络安全服务两年以上，具备一定的网络安全检测评估能力；

      d）法定代表人、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录；

      e）具有网络安全相关工作经历的技术和管理人员不少于15人，专职渗透测试人员不少于2人，岗位职责清晰，且人员相对稳定；

      f）具有固定的办公场所，配备满足测评业务需要的检测评估工具、实验环境等；

      g）具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度；

      h）不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务（自用除外）；

      i）应具备的其他条件。

4.3.2 组织管理能力

4.3.2.1 测评机构管理者应掌握等级保护政策文件，熟悉相关的标准规范。

4.3.2.2 测评机构应按一定方式组织并设立相关部门，明确其职责、权限和相互关系，保证各项工作的有序开展。

4.3.2.3 测评机构应具有胜任等级测评工作的专业技术人员和管理人员，大学本科（含）以上学历所占比例不低于70％。

4.3.2.4 测评机构应设置满足等级测评工作需要的岗位，如测评技术员、测评项目组长、技术主管、质量主管、保密安全员、设备管理员和档案管理员等，岗位职责明确，人员稳定。

4.3.2.5 测评机构应制定完善的规章制度，包括但不限于以下内容：

      a）项目管理制度

      测评机构应依据GB/T28449制定完备的、符合自身特点的测评项目管理程序，主要应包括测评工作的组织形式、工作职责，测评各阶段的工作内容和管理要求等。

      b）设备管理制度

      应包括机构人员在仪器设备（含测评设备和工具）管理中的相关职责、仪器设备的购置、使用和运行维护的各项规定等。

      c）文档管理制度

      应包括机构人员在测评文档（含电子文档）管理中的相关职责、档案借阅、保管直至销毁的各项规定等。

      d）人员管理制度

      应包括人员录用、考核、日常管理以及离职等方面的内容和要求。

      e）培训教育制度

      应包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建立等内容和要求。

      f）申诉、投诉及争议处理制度

      应明确包括测评机构各岗位人员在申诉、投诉和争议处理活动中相应的职责，建立从受理、确认到处置、答复等环节的完整程序。

4.3.3 测评实施能力

4.3.3.1 人员能力

4.3.3.1.1 测评机构从事等级测评工作的专业技术人员（以下简称测评人员）应具有把握国家政策，理解和掌握相关技术标准，熟悉等级测评的方法、流程和工作规范等方面的知识及能力，并有依据测评结果做出专业判断以及出具等级测评报告等任务的能力。

4.3.3.1.2 测评人员应参加由指定评估机构举办的专门培训、考试并取得等级测评师证书。等级测评人员需持证上岗。

4.3.3.1.3 测评技术员、测评项目组长和技术主管岗位人员应分别取得初、中、高级等级测评师证书，测评师数量不应少于15人。

4.3.3.1.4 测评人员除具备等级测评师资格外，每年应参加多种形式的测评业务和技术培训，测评师每年培训时长累计不少于40学时。

4.3.3.1.5 测评机构应指定一名技术主管，全面负责等级测评方面的技术工作。

4.3.3.2 测评能力

4.3.3.2.1 测评机构应通过提供案例、过程记录等资料，证明其具有从事网络安全相关工作2年以上的工作经验。

4.3.3.2.2 测评机构应保证在其能力范围内从事测评工作，并有足够的资源来满足测评工作要求，具体体现在以下方面：

      a）安全技术测评实施能力，包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面测评指导书的开发、使用、维护及获取相关结果的专业判断；

      b）安全管理测评实施能力，包括安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理等方面测评指导书的开发、使用、维护及获取相关结果的专业判断；

      c）安全测试与分析能力，指根据实际测评要求，开发与测试相关的工作指导书，借助专用测评设备和工具，实现漏洞发现与问题分析等方面的能力；

      d）整体测评实施能力，指根据测评报告单元测评的结果记录部分、结果汇总部分和问题分析部分，从安全控制点间、层面间和区域间出发考虑，给出整体测评具体结果的能力；

      e）风险分析能力，指依据等级保护的相关规范和标准，采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测评系统安全造成的影响的能力。

4.3.3.2.3 测评机构应依据测评工作流程，有计划、按步骤地开展测评工作，并保证测评活动的每个环节都得到有效的控制，具体要求如下：

      a）测评准备阶段，收集被测系统的相关资料信息，填写规范的系统调查表，全面掌握被测评系统的详细情况，为测评工作的开展打下基础。

      b）方案编制阶段，正确合理地确定测评对象、测评指标及测评内容等，并依据现行有效的技术标

准、规范开发测评方案、测评指导书、测评结果记录表格等。测评方案应通过技术评审并有相关记录，测评指导书应进行版本有效性维护，且满足以下要求：

      1）符合相关的等级测评标准；

      2）提供足够详细的信息以确保测评数据获取过程的规范性和可操作性。

      c）现场测评阶段，严格执行测评方案和测评指导书中的内容和要求，并依据操作规程熟练地使用测评设备和工具，规范、准确、完整地填写测评结果记录，获取足够证据，客观、真实、科学地反映出系统的安全保护状况，测评过程应予以监督并记录。

      d）报告编制阶段，客观描述等级保护对象已采取的有效保护措施和存在的主要安全问题情况，指出等级保护对象安全保护现状与相应等级的保护要求之间的差距，分析差距可能导致被测评系统面临的风险，给出等级测评结论，形成测评报告，测评报告应依据公安行政主管部门统一制定的网络安全等级保护测评报告模版的格式和内容要求编写，测评报告应通过评审并有相关记录。

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 36959-2018 信息安全技术 网络安全等级保护测评机构能力要求和评估规范》