信息安全等级保护测评体系建设与测评工作规范性文件
信息安全等级测评机构
能力要求使用说明
(试行)
200×-××-×× 发布 200×-××-×× 实施
公安部信息安全等级保护评估中心
信息安全等级测评机构能力要求使用说明
目 录
1 范围 ......................................................................... 3 2 名词解释 ..................................................................... 3 3 基本条件 ..................................................................... 3 4 组织管理能力 ................................................................. 4 5 测评实施能力 ................................................................. 6 6 设施和设备安全与保障能力 .................................................... 10 7 质量管理能力 ................................................................ 12 8 规范性保证能力 .............................................................. 13 9 风险控制能力 ................................................................ 16 10 可持续性发展能力 ............................................................ 17 11 测评机构能力约束性要求 ...................................................... 18
1
信息安全等级测评机构能力要求使用说明
前 言
公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号),决定加快等级保护测评体系建设工作。信息安全等级测评机构的建设是测评体系建设的重要内容,为确保有效指导测评机构的能力建设,规范其测评活动,满足信息安全等级保护工作要求,特制定本规范。
《信息安全等级测评机构能力要求》(以下简称《能力要求》)是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容,结合信息安全等级测评工作的特点,对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续性发展能力等提出基本能力要求,为规范等级测评机构的建设和管理,及其能力评估工作的开展提供依据。
2
信息安全等级测评机构能力要求使用说明
信息安全等级测评机构能力要求使用说明 1 范围
本规范规定了测评机构的能力要求。
本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。
2 名词解释
2.1 等级测评
等级测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 2.2 等级测评机构
等级测评机构,是指具备测评机构基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室推荐,从事等级测评工作的机构。
3 基本条件
依据《信息安全等级保护测评工作管理规范》(试行),信息安全等级测评机构(以下简称测评机构)应当具备以下基本条件:
a) 在中华人民共和国境内注册成立(港澳台地区除外);
b) 由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(具体要求参见8.2.1)
c) 产权关系明晰,注册资金100万元以上;(具体要求参见8.2.2) d) 从事信息系统检测评估相关工作两年以上,无违法记录;(具体要求参见5.2.1) e) 工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(具体要求参见8.2.1)
f) 具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人; g) 具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;(具体要求参见6.1)
h) 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全
管理制度
档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载
;(具体要求参见4.5)
i) 对国家安全、社会秩序、公共利益不构成威胁;
3
信息安全等级测评机构能力要求使用说明
j) 应当具备的其他条件。
4 组织管理能力
4.1 测评机构管理者应掌握等级保护政策文件,熟悉相关的标准规范。
说明:
1.测评机构管理者等级保护相关的政策法规~如《中华人民共和国计算机信息系统安全
保护条例》,147号令,、《信息安全等级保护工作的实施意见》,66号文)、《信息安全等
级保护管理办法》,43号文,、《信息安全等级保护测评工作管理规范》,公信安[2010]303
号,等。
2.应熟悉《定级指南》、《基本要求》、《测评要求》等技术标准。
4.2 测评机构应按一定方式组织并设立相关部门,明确其职责、权限和相互关系,保证各项工作的有序开展。
说明:
1.机构应建立适应等级测评工作的组织形式~设置如测评部、管理部、市场部、质量管
理部等部门。
2.通过组织结构图及文字说明来描述其组织形式~包括外部关系与内部关系两方面。
4.3 测评机构应具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以上学历所占比例不低于60%。其中测评技术人员不少于10人。
说明:
机构应保证技术和管理人员具备开展测评工作的基本素质~以及开展测评工作的基
本人力资源投入。
4.4 测评机构应设置满足等级测评工作需要的岗位,如测评技术员、测评项目组长、技术主管、质量主管、保密安全员和档案管理员等(不论称谓如何),并配备足够的、相对稳定并具备相应能力的工作人员。
说明:
1.机构应以文件化的形式明确其岗位名称和职责。
2.应保证行政管理人员,如人力资源、财务等,的数量~并满足岗位能力要求。
4
信息安全等级测评机构能力要求使用说明
4.5 测评机构应制定完善的规章制度,包括但不限于以下内容:
说明:
1.各管理制度文档内容应覆盖相关要求。
2.各管理制度应按规范的审批流程在机构内发布、实施。
3.各管理制度应有配套的工作表单和执行记录。
a) 保密管理制度
测评机构应根据国家有关保密规定制定保密管理制度,制度中应明确保密对象的范围、人员保密职责、各项保密措施与要求,以及违反保密制度的罚则等内容。 b) 项目管理制度
测评机构应依据《信息安全技术 信息系统安全等级保护测评过程指南》等技术标准制定符合自身特点的测评项目管理程序,主要应包括测评工作的组织形式、工作职责,测评各阶段的工作内容和管理要求等。
c) 质量管理制度(包含设备管理和文件档案管理等)
应以保证质量为前提对测评机构的设备、文件档案等提出各项要求。设备管理制度应包括对于仪器设备的购置、使用和维护的质量管理要求。文件档案管理制度应包括机构人员在文件档案管理中的相关职责、文件档案借阅、保管直至销毁的各项规定等。 d) 人员管理制度
应包括人员录用、考核、日常管理以及离职等方面的内容和要求。 e) 培训教育制度
应包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建立等的内容和要求。
f) 申诉、投诉及争议处理制度
应明确包括测评机构各岗位人员在申、投诉和争议处理活动中相应的职责,建立从受理、确认到处置、答复等环节的完整程序。
5
信息安全等级测评机构能力要求使用说明
5 测评实施能力
5.1 人员能力
5.1.1 测评机构从事等级测评工作的专业技术人员(以下简称测评人员)应具有把握国家政策,理解和掌握相关技术标准,熟悉等级测评的方法、流程和工作规范等方面的知识及能力,并有依据测评结果做出专业判断以及出具等级测评报告等任务的能力。
5.1.2 测评人员应参加由公安部信息安全等级保护评估中心举办的专门培训、考试并取得中心颁发的《等级测评师证书》(等级测评师分为初级、中级和高级)。等级测评人员需持证上岗。
说明:
机构应按等级测评师培训工作的要求~派遣测评人员参加培训。培训不合格的~不得从事等级测评工作。
5.1.3 初级、中级和高级等级测评师具体能力要求如下:
a) 初级等级测评师
, 了解信息安全等级保护的相关政策、标准;
, 熟悉信息安全基础知识;
, 熟悉信息安全产品分类,了解其功能、特点和操作方法;
, 掌握等级测评方法,能够根据测评指导书客观、准确、完整地获取各项测评
证据;
, 掌握测评工具的操作方法,能够合理设计测试用例获取所需测试数据;
, 能够按照报告编制要求整理测评数据。
b) 中级等级测评师
, 熟悉信息安全等级保护相关政策、法规;
, 正确理解信息安全等级保护标准体系和主要标准内容,能够跟踪国内、国际
信息安全相关标准的发展;
, 掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的
基础和实践经验;
, 具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理的方法,
具有较强的组织协调和沟通能力;
6
信息安全等级测评机构能力要求使用说明
, 能够独立开发测评指导书,熟悉测评指导书的开发、版本控制和评审流程;
, 能够根据信息系统的特点,编制测评
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
,确定测评对象、测评指标和测评
方法;
, 具有综合分析和判断的能力,能够依据测评报告模板要求编制测评报告,能
够整体把握测评报告结论的客观性和准确性。具备较强的文字表达能力;
, 了解等级保护各个工作环节的相关要求。能够针对测评中发现的问
题
快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题
,提出
合理化的整改建议。
c) 高级等级测评师
, 熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展;
, 对信息安全等级保护标准体系及主要标准有较为深入的理解;
, 具有信息安全理论研究的基础、实践经验和研究创新能力;
, 具有丰富的质量体系管理和项目管理经验,具有较强的组织协调和管理能
力;
, 熟悉等级保护工作的全过程,熟悉定级、等级测评、建设整改各个工作环节
的要求。
5.1.4 测评技术员、测评项目组长和技术主管岗位人员应分别取得初、中、高级等级测评师证书,其比例应满足等级测评工作需要。
说明:
1.机构应按照等级测评工作的需要设定初、中、高级等级测评师的人员比例。其中初级技术测评师与管理测评师比例不少于3:1。
2.测评技术员,包括安全呢技术测评和安全管理测评,、测评项目组长,或称项目负责人、
项目经理等,和技术主管,或称技术总监、总工等,岗位人员应分别获得初、中、高级
等级测评师资格。
5.1.5 测评机构应指定一名技术主管,全面负责等级测评方面的技术工作。 说明:
1.机构应以文件化的形式任命一名技术主管~并明确其在等级测评技术方面的职责。 2.该技术主管应在测评活动中相关环节履行其职责。
7
信息安全等级测评机构能力要求使用说明
5.2 测评能力
5.2.1 测评机构应通过提供案例、过程记录等资料,证明其具有从事信息系统检测评估相关工作两年以上的工作经验。
说明:
机构应提供完整的等级测评项目归档文件~证明其从事等级测评工作的年限和行业
经验。
5.2.2 测评机构应保证在其能力范围内从事测评工作,并有足够的资源来满足测评工作要求,具体体现在以下方面:
a) 安全技术测评实施能力,包括物理安全测评、网络安全测评、主机安全测评、
应用安全测评、数据安全及备份恢复测评等方面测评指导书的开发、使用、维护及
获取相关结果的专业判断;
说明:
1.机构应能在测评实施中根据物理安全测评、网络安全测评、主机系统安全测评、应用
安全和数据安全测评等方面的工作需求进行人员配置和工作分工~如成立主机测评、网
络测评、应用测评等工作组~保证测评工作的专业化。
2.安全技术测评指导书是机构从事等级测评的最重要的文件~指导书应内容完备~可支
持等级测评的全部工作。
3.测评指导书应严格依据等级测评技术标准~完全覆盖测评要点~步骤详尽、文字严谨~
并保证测评结果判定标准的科学、可靠。
b) 安全管理测评实施能力,包括安全管理制度测评、安全管理机构测评、人员安
全管理测评、系统建设管理测评、系统运维管理测评等方面测评指导书的开发、使
用、维护及获取相关结果的专业判断;
说明:
机构应能在测评实施中根据安全管理测评的工作需求配备相应的人员~可设置管理
测评工作组~保证测评工作的专业化。
c) 安全测试与分析能力,指根据实际测评要求,开发与测试相关的工作指导书,
借助专用测评设备和工具,实现主流协议分析、漏洞发现与验证等方面的能力; 说明:
1.机构应有从事信息系统的安全测试的专业人员、小组或部门~保证安全测试与分析工
8
信息安全等级测评机构能力要求使用说明
作的开展。
2.应能根据测评项目的具体情况开发相应的测试工作指导书~测评设备和工具应有操作
规程、手册。
3.测试人员应能熟练使用测评设备和工具获取数据~并通过对数据结果的分析发现或验
证信息系统存在的问题。
d) 整体测评实施能力,指根据测评报告的单元测评的结果记录部分、结果汇总部
分和问题分析部分,从安全控制间、层面间和区域间出发考虑,给出整体测评的具
体结果的能力。
说明:
测评人员在作出测评结论时~应具备测评结果汇总统计、问题分析、整体综合判断
的能力。
e) 风险分析能力,指依据等级保护的相关规范和标准,采用风险分析的方法分析
等级测评结果中存在的安全问题可能对被测评系统安全造成的影响的能力; 说明:
测评人员应能采用风险分析的方法~分析信息系统等级测评结果中存在的安全问题
可能被威胁利用的可能性和后果~综合判定给出信息系统面临的风险值。
5.2.3 测评机构应依据测评工作流程,有计划、按步骤地开展测评工作,并保证测评活动的每个环节都得到有效的控制。
说明:
机构应建立完善的测评项目管理制度~划分测评各阶段~明确各阶段的工作内容。
a) 测评准备阶段,收集被测系统的相关资料信息,填写规范的系统调查表,全面
掌握被测评系统的详细情况,为测评工作的开展打下基础;
说明:
对每个被测评信息系统~应有详细、准确的调查记录。调查记录的填写应规范严谨~
通过信息收集和分析为正确选择测评对象提供依据。
b) 方案编制阶段,正确合理地确定测评对象、测评指标及测评内容等,并依据现
行有效的技术标准、规范开发测评方案、测评指导书、测评结果记录表格等。测评
9
信息安全等级测评机构能力要求使用说明
方案应通过技术评审并有相关记录,测评指导书应进行版本有效性维护,且满足以
下要求:
, 符合相关的等级测评标准;
, 提供足够详细的信息以确保测评数据获取过程的规范性和可操作性。 说明:
1.测评人员应能正确的确定测评对象、测评指标、测评内容、工具测试方案等。
2.应通过评审、论证、验证等手段对测评方案进行技术确认~保证测评方法和实施方案
的正确性和可行性。
3.测评指导书应具备可操作性~指导书应进行版本维护。
c) 现场测评阶段,严格执行测评方案和测评指导书中的内容和要求,并依据操作
规程熟练地使用测评设备和工具,规范、准确、完整的填写测评结果记录,获取足
够证据,客观、真实、科学地反映出系统的安全保护状况,测评过程应予以监督并
记录;
说明:
测评人员应保证现场测评工作的规范~不得擅自简化测评步骤、编造修改测评数据
和记录。测评过程应有必要的监督、见证措施。
d) 报告编制阶段,找出整个信息系统安全保护现状与相应等级的保护要求之间的
差距,分析差距可能导致被测评系统面临的风险,给出等级测评结论,形成测评报
告,测评报告应依据公安部统一制订的《信息系统安全等级测评报告模版(试行)》
的格式和内容要求编写,测评报告应通过评审并有相关记录。
说明:
1.测评人员应严格按照《信息系统安全等级测评报告模版,试行,》编制测评报告。
2.应通过评审、论证等手段对测评报告中的结果判断、问题分析、测评结论等内容的正
确性进行确认。
6 设施和设备安全与保障能力
6.1 测评机构应具备必要的办公环境、设备、设施和管理系统,使用的技术装备、设施原则上应当符合以下条件:
a) 产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华
10
信息安全等级测评机构能力要求使用说明
人民共和国境内具有独立的法人资格;
b) 产品的核心技术、关键部件具有我国自主知识产权;
c) 产品研制、生产单位及其主要业务、技术人员无犯罪记录; d) 产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能; e) 对国家安全、社会秩序、公共利益不构成危害。
f) 信息安全产品应获得公安部计算机信息安全产品销售许可证。 说明:
机构应保证其所配备的防火墙、IDS等安全产品获得销售许可证。
6.2 测评机构应配备满足等级测评工作需要的测评设备和工具,如漏洞扫描器、协议分析仪、渗透测试工具等。测评设备和工具应通过权威机构的检测并可提供检测报告(见附录《信息安全等级测评设备和工具指引》)。
说明:
1.机构可参考《信息安全等级测评设备和工具指引》~并结合自身的工作要求配备测评设
备和工具~以保证测评工作的开展。
2.设备和工具应通过检测或比对、校准等手段证明其满足测评要求。
6.3 测评机构应具备符合相关要求的机房以及必要的软、硬件设备,用于满足信息系统仿真、技术培训和模拟测试的需要。
说明:
机构应建设满足办公信息化运营和测评需要的计算机房~机房软硬件设备支持搭建
仿真、模拟环境~满足测评验证和人员培训等工作的要求。
6.4 测评机构应确保测评设备和工具运行状态良好,并通过校准或比对等手段保证其提供准确的测评数据。
说明:
1.机构应制定测评设备和工具的管理制度或程序~并通过日常维护保证设备和工具始终
处于良好的运行状态。
2.机构应定期对测评设备和工具进行比对或校准~对于扫描器等网络测试设备~还可通
过标准版本库的同步更新~保证设备和工具的准确有效。
11
信息安全等级测评机构能力要求使用说明
6.5 测评设备和工具均应有正确的标识。
说明:
机构测评设备和工具管理制度中应明确设备档案和标识管理的要求。对测评设备和
工具应统一登记~统一标识~对于有故障的设备和工具应通过标识加以区分~并及时告
知测评人员。
7 质量管理能力
7.1 管理体系建设
7.1.1 测评机构应建立、实施和维护符合等级测评工作需要的文件化的管理体系,并确保测评机构各级人员能够理解和执行。
说明:
1.机构应建立一套完善的管理体系文件~该体系文件应能覆盖机构日常工作和测评活动
的各个方面。体系文件可以制度、手册、程序等形式发布执行~并应建立执行记录。
2.管理体系文件应在内部通过宣贯、培训、座谈等形式帮助机构人员理解和执行。
7.1.2 测评机构应当制定相应的质量目标,不断提升自身的测评质量和管理水平。 说明:
机构应将质量管理的思想、理念和追求~通过精练的文字为全体工作人员所熟记~
并贯彻于日常质量活动当中。
7.1.3 测评机构应指定一名质量主管,明确其质量保证的职责。质量主管不应受可能有损工作质量的影响或利益冲突,并有权直接与测评机构最高管理层沟通。 说明:
1.机构应任命一名质量主管~明确其职责~如负责质量管理体系的建立、运行和维护~
处理投、申诉等。
2.在职责中还应赋予其有权直接向机构管理层报告质量管理中存在的问题的权力。
7.2 管理体系维护
7.2.1 测评机构应保证管理体系的有效运行,发现问题及时反馈并采取纠正措施,确保其有效性。
说明:
机构应建立质量管理问题反馈处理机制~发现日常管理和测评活动中的问题~及时
12
信息安全等级测评机构能力要求使用说明
纠正~并予以记录作为机构管理体系改进的输入。
7.2.2 测评机构应当严格遵守申诉、投诉及争议处理制度,并应记录采取的措施。 说明:
建立申诉、投诉及争议处理机制的目的~是为了提高机构信誉和服务质量、维护客户利益。在制度中应明确申诉、投诉及争议的受理、处理和答复等各个环节的职责和工
作要求~并对处理过程予以记录。
8 规范性保证能力
8.1 公正性保证能力
8.1.1 测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。
说明:
机构应制定保证其公正性、客观性、诚实性的制度、程序或行为规范~并向客户和社会作出公正性声明或承诺~接受行为监督。
8.1.2 测评机构的人员应不受可能影响其测评结果的来自于商业、财务和其他方面的压力。
说明:
机构应制定制度、程序或行为规范~也可通过声明或承诺保证其测评工作的独立性。
8.2 可信与保密性保证能力
8.2.1 测评机构的单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录。
说明:
机构应保证其单位法人及主要工作人员身份的可信性~并可提供用于证明的机构注册资料和人员档案信息。
8.2.2 测评机构应通过提供单位性质、股权结构、出资情况、法人及股东身份等信息的文件材料,证明其机构合规、产权关系明晰,资金注册达到要求(100万元)。 说明:
1.机构应保证其资金投入足以完成基本运营和风险担保。
13
信息安全等级测评机构能力要求使用说明
2.机构应建立清晰的产权关系~防止可能发生的投机行为或利益关联等问题。
8.2.3 测评机构应建立并保存工作人员的人员档案,包括人员基本信息、社会背景、工作经历、培训记录、专业资格、奖惩情况等,保障人员的稳定和可靠。 说明:
机构应建立完善的人员管理制度和人事档案信息库。
8.2.4 测评机构使用的测试设备和工具应具备全面的功能列表,且不存在功能列表之外的隐蔽功能。
说明:
机构应防止由于不可信的测试设备和工具接入信息系统而带来的风险~应使用经过权威检测的市场通用的商用设备和工具。
8.2.5 测评机构应重视安全保密工作,指派安全保密工作的责任人。 说明:
机构应从管理层就高度重视保密工作~并任命机构保密责任人。
8.2.6 测评机构应依据保密管理制度,定期对工作人员进行保密教育,测评机构和测评人员应当保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等。
说明:
1.机构应制度保密管理制度~明确保密范围、各岗位的保密职责和保密要求。 2.应定期开展保密教育~并有相关的过程记录。
8.2.7 测评机构应明确岗位保密要求,与全体人员签订《保密责任书》,规定其应当履行的安全保密义务和承担的法律责任,并负责检查落实。
说明:
机构应与每个工作人员签订《保密责任书》。
8.2.8 测评机构应采取技术和管理措施来确保等级测评相关信息的安全、保密和可控,这些信息包括但不限于:
a) 被测评单位提供的资料;
14
信息安全等级测评机构能力要求使用说明
b) 等级测评活动生成的数据和记录;
c) 依据上述信息做出的分析与专业判断。
说明:
机构应着重对被测单位的技术资料、测评数据、测评报告等信息进行保护。对上述信息资料应专门保管~对数据信息存储和借阅应严格控制。
8.2.9 测评机构应借助有效的技术手段,确保等级测评相关信息的整个数据生命周期的安全和保密。
说明:
机构应借助技术手段~如数据加密存储、传输、处理方式~保证数据的安全。同时防止存储测评数据信息的计算机非法外联、非受控移动存储设备接入、重要信息的互联
网传输等问题的发生。
8.3 测评方法与程序的规范性
测评机构应保证与等级测评工作有关的所有工作程序、指导书、标准规范、工作表格、核查记录表等现行有效并便于测评人员获得。
说明:
1.机构测评工作相关的规范性文件~应有严格的审批发布手续。 2.对于文件的修订~也应履行审批手续。
3.测评规范性文件应按统一规则进行标识~建立发放回收清单~使其始终处于受控并保
持版本有效。
8.4 测评记录的规范性
a) 测评记录应当清晰规范,并获得被测评方的书面确认;
说明:
1.测评过程中的记录应按规定的格式填写~字迹要求清晰。
2.数据结果应当现场记录~不得漏记、补记、追记。
3.记录的更正应有规范性要求。
4。测评记录应获得被测评方的确认。
b) 测评机构应具有安全保管记录的能力,所有的测评记录应保存三年以上。 说明:
15
信息安全等级测评机构能力要求使用说明
为规避可能的对于测评结果的质疑或未知的责任风险~要求机构应妥善保管测评相关记录一段期限。
8.5 测评报告的规范性
a) 测评机构应按照公安部统一制订的《信息系统安全等级测评报告模版(试行)》格式出具测评报告;(参见5.2.3 d))
b) 测评报告应包括所有测评结果、根据这些结果做出的专业判断以及理解和解释这些结果所需要的所有信息,以上信息均应正确、准确、清晰地表述;(参见)) 5.2.3 dc) 测评报告由测评项目组长作为第一编制人,技术主管(或质量主管)负责审核,机构管理者或其授权人员签发或批准;
说明:
机构应明确编制、审核和批准人的签字权限和签发流程。
d) 能力评估合格的测评机构应依据《信息安全等级保护测评工作管理规范》第六条,对出具的等级测评报告统一加盖等级测评机构能力合格专用标识并登记归档。 说明:
1.机构依据等级测评技术标准开展测评活动~所出具的测评报告应加盖等级测评机构能力合格专用标识。
2.等级测评报告有统一的登记记录。
3.依据非等级测评技术标准测评出具的报告不得加盖专用标识。
9 风险控制能力
9.1 测评机构应充分估计测评可能给被测系统带来的风险,风险包括但不限于以下方面:
a) 测评机构由于自身能力或资源不足造成的风险;
b) 测试验证活动可能对被测系统正常运行造成影响的风险;
c) 测试设备和工具接入可能对被测系统正常运行造成影响的风险; d) 测评过程中可能发生的被测系统重要信息(如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档等)泄漏的风险等。
说明:
人员能力、设备使用、测评方法、流程各环节以及安全保密意识等任何一个方面出现问题~都有可能给被测系统带来隐患~机构应全面分析评估~并做好防范和控制工作~
16
信息安全等级测评机构能力要求使用说明
避免为自身带来额外风险。
9.2 测评机构应通过多种措施对上述被测系统可能面临的风险加以规避和控制。 说明:
针对不同风险~采取不同的规避和控制措施。包括
合同
劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载
评审、签署保密协议、风险告知确认、现场测评授权、系统备份、制定应急预案以及邀请全程监督等。
10 可持续性发展能力
10.1 测评机构应根据自身情况制定战略规划,通过不断的投入保证测评机构的持续建设和发展。
说明:
机构应制定整体战略发展规划~从基础建设、人员与资金投入、技术能力提高等各方面提出发展目标、工作任务等。
10.2 测评机构应定期对管理体系进行评审并持续改进,不断提高管理要求。设定中、远期目标(如获得相应管理体系资质认可),通过目标的实现,逐步提升质量管理能力。 说明:
1.机构应始终保持管理体系运行的有效性~对日常工作、测评活动中的问题和建议及时总结~作为管理体系改进的依据~逐步提高管理水平。
2.机构应建立质量管理体系方面的中、远期目标~如获得中国合格评定国家认可委员会
的检查机构,实验室,认可~获得该类认可标志着机构在管理体系建设方面已具备较高
水平。
10.3 测评机构应建立文件化的培训制度,以确保其工作人员在专业技术和管理方面持续满足等级测评工作的需要。
说明:
机构应建立完善的培训制度~通过外部培训、内容培训、岗位专题培训、讲座等多种形式~不断提高人员的能力~以满足等级测评工作的需要~培训范围应覆盖所有测评
相关工作人员。
17
信息安全等级测评机构能力要求使用说明
10.4 测评机构应投入专门的力量来从事测评实践总结和测评技术研究工作,测评机构间应进行经验交流和技术研讨,保持与测评技术发展的同步性。
说明:
机构应设立专门的部门或工作组~负责跟踪先进技术、总结测评经验、开展专业课题研究等工作~并通过技术研讨会、论坛等形式开展技术交流~共同促进等级测评技术
水平的提高。
11 测评机构能力约束性要求
测评机构不得从事下列活动:
a) 影响被测评信息系统正常运行,危害被测评信息系统安全;
b) 泄露知悉的被测评单位及被测信息系统的国家秘密和工作秘密; c) 故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告;
d) 未按规定格式出具等级测评报告;
e) 非授权占有、使用等级测评相关资料及数据文件;
f) 分包或转包等级测评项目;
g) 信息安全产品(专用测评设备和工具以外)开发、销售和信息系统安全集成; h) 限定被测评单位购买、使用其指定的信息安全产品;
i) 其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。
18