發(fā)布日期:2023-03-26 20:06 瀏覽次數(shù):
本標準規(guī)定了網(wǎng)絡(luò)安全等級保護測評機構(gòu)的能力要求和評估規(guī)范。
本標準適用于擬成為或晉級為更高級網(wǎng)絡(luò)安全等級保護測評機構(gòu)的能力建設(shè)、運營管理和資格評定等活動。
下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 28448 信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求
GB/T 28449 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評過程指南
GB/T 28448界定的以及下列術(shù)語和定義適用于本文件。
3.1
能力評估 capability evaluation
依據(jù)標準和(或)其他規(guī)范性文件,對測評機構(gòu)申請單位的能力進行評審、驗證和評價的過程。
3.2
評估機構(gòu) evaluation organization
對申請成為測評機構(gòu)的企事業(yè)單位進行能力評估的專業(yè)技術(shù)機構(gòu)。
3.3
初次評估 first-time evaluation
評估機構(gòu)依據(jù)本規(guī)范和相關(guān)文件,首次對測評機構(gòu)能力進行核查、驗證和評價的過程。
3.4
期間評估 continuous evaluation
為已經(jīng)獲得推薦證書的測評機構(gòu)是否持續(xù)地符合能力要求而在證書有效期內(nèi)安排的定期或不定期的評估、抽查等活動。
3.5
能力復(fù)評 capability review
測評機構(gòu)推薦證書有效期結(jié)束前,由評估機構(gòu)對其實施全面評估以確認其是否持續(xù)符合能力要求,為延續(xù)到下一個推薦有效期提供依據(jù)的活動。
3.6
評估員 evaluator
由評估機構(gòu)委派,對測評機構(gòu)實施能力評估的人員。
4.1 測評機構(gòu)的分級
測評機構(gòu)的級別代表了網(wǎng)絡(luò)安全等級保護測評機構(gòu)技術(shù)水平和業(yè)務(wù)服務(wù)能力的差異。測評機構(gòu)按能力要求分為三級,級別由低到高依次是I級、II級和皿級,級差是通過增加新的能力要求條款或在原條款基礎(chǔ)上提出增強要求來實現(xiàn)。各級能力增強要求的總結(jié)情況見附錄A中表A.1。
4.2 等級測評人員的分級
測評機構(gòu)從事等級測評工作的人員按能力要求分為三級,級別由低到高依次是初級、中級、高級,具體要求見附錄B。
4.3 I級測評機構(gòu)能力要求
4.3.1 基本條件
測評機構(gòu)應(yīng)當具備以下基本條件:
a)在中華人民共和國境內(nèi)注冊成立,由中國公民、法人投資或者國家投資的企事業(yè)單位;
b)產(chǎn)權(quán)關(guān)系明晰,注冊資金500萬元以上,獨立經(jīng)營核算,無違法違規(guī)記錄;
c)從事網(wǎng)絡(luò)安全服務(wù)兩年以上,具備一定的網(wǎng)絡(luò)安全檢測評估能力;
d)法定代表人、主要負責人、測評人員僅限中華人民共和國境內(nèi)的中國公民,且無犯罪記錄;
e)具有網(wǎng)絡(luò)安全相關(guān)工作經(jīng)歷的技術(shù)和管理人員不少于15人,專職滲透測試人員不少于2人,崗位職責清晰,且人員相對穩(wěn)定;
f)具有固定的辦公場所,配備滿足測評業(yè)務(wù)需要的檢測評估工具、實驗環(huán)境等;
g)具有完備的安全保密管理、項目管理、質(zhì)量管理、人員管理、檔案管理和培訓(xùn)教育等規(guī)章制度;
h)不涉及網(wǎng)絡(luò)安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成等可能影響測評結(jié)果公正性的業(yè)務(wù)(自用除外);
i)應(yīng)具備的其他條件。
4.3.2 組織管理能力
4.3.2.1 測評機構(gòu)管理者應(yīng)掌握等級保護政策文件,熟悉相關(guān)的標準規(guī)范。
4.3.2.2 測評機構(gòu)應(yīng)按一定方式組織并設(shè)立相關(guān)部門,明確其職責、權(quán)限和相互關(guān)系,保證各項工作的有序開展。
4.3.2.3 測評機構(gòu)應(yīng)具有勝任等級測評工作的專業(yè)技術(shù)人員和管理人員,大學(xué)本科(含)以上學(xué)歷所占比例不低于70%。
4.3.2.4 測評機構(gòu)應(yīng)設(shè)置滿足等級測評工作需要的崗位,如測評技術(shù)員、測評項目組長、技術(shù)主管、質(zhì)量主管、保密安全員、設(shè)備管理員和檔案管理員等,崗位職責明確,人員穩(wěn)定。
4.3.2.5 測評機構(gòu)應(yīng)制定完善的規(guī)章制度,包括但不限于以下內(nèi)容:
a)項目管理制度
測評機構(gòu)應(yīng)依據(jù)GB/T28449制定完備的、符合自身特點的測評項目管理程序,主要應(yīng)包括測評工作的組織形式、工作職責,測評各階段的工作內(nèi)容和管理要求等。
b)設(shè)備管理制度
應(yīng)包括機構(gòu)人員在儀器設(shè)備(含測評設(shè)備和工具)管理中的相關(guān)職責、儀器設(shè)備的購置、使用和運行維護的各項規(guī)定等。
c)文檔管理制度
應(yīng)包括機構(gòu)人員在測評文檔(含電子文檔)管理中的相關(guān)職責、檔案借閱、保管直至銷毀的各項規(guī)定等。
d)人員管理制度
應(yīng)包括人員錄用、考核、日常管理以及離職等方面的內(nèi)容和要求。
e)培訓(xùn)教育制度
應(yīng)包括培訓(xùn)計劃的制定、培訓(xùn)工作的實施、培訓(xùn)的考核與上崗以及人員培訓(xùn)檔案建立等內(nèi)容和要求。
f)申訴、投訴及爭議處理制度
應(yīng)明確包括測評機構(gòu)各崗位人員在申訴、投訴和爭議處理活動中相應(yīng)的職責,建立從受理、確認到處置、答復(fù)等環(huán)節(jié)的完整程序。
4.3.3 測評實施能力
4.3.3.1 人員能力
4.3.3.1.1 測評機構(gòu)從事等級測評工作的專業(yè)技術(shù)人員(以下簡稱測評人員)應(yīng)具有把握國家政策,理解和掌握相關(guān)技術(shù)標準,熟悉等級測評的方法、流程和工作規(guī)范等方面的知識及能力,并有依據(jù)測評結(jié)果做出專業(yè)判斷以及出具等級測評報告等任務(wù)的能力。
4.3.3.1.2 測評人員應(yīng)參加由指定評估機構(gòu)舉辦的專門培訓(xùn)、考試并取得等級測評師證書。等級測評人員需持證上崗。
4.3.3.1.3 測評技術(shù)員、測評項目組長和技術(shù)主管崗位人員應(yīng)分別取得初、中、高級等級測評師證書,測評師數(shù)量不應(yīng)少于15人。
4.3.3.1.4 測評人員除具備等級測評師資格外,每年應(yīng)參加多種形式的測評業(yè)務(wù)和技術(shù)培訓(xùn),測評師每年培訓(xùn)時長累計不少于40學(xué)時。
4.3.3.1.5 測評機構(gòu)應(yīng)指定一名技術(shù)主管,全面負責等級測評方面的技術(shù)工作。
4.3.3.2 測評能力
4.3.3.2.1 測評機構(gòu)應(yīng)通過提供案例、過程記錄等資料,證明其具有從事網(wǎng)絡(luò)安全相關(guān)工作2年以上的工作經(jīng)驗。
4.3.3.2.2 測評機構(gòu)應(yīng)保證在其能力范圍內(nèi)從事測評工作,并有足夠的資源來滿足測評工作要求,具體體現(xiàn)在以下方面:
a)安全技術(shù)測評實施能力,包括物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全等方面測評指導(dǎo)書的開發(fā)、使用、維護及獲取相關(guān)結(jié)果的專業(yè)判斷;
b)安全管理測評實施能力,包括安全策略和管理制度、安全管理機構(gòu)和人員、安全建設(shè)管理、安全運維管理等方面測評指導(dǎo)書的開發(fā)、使用、維護及獲取相關(guān)結(jié)果的專業(yè)判斷;
c)安全測試與分析能力,指根據(jù)實際測評要求,開發(fā)與測試相關(guān)的工作指導(dǎo)書,借助專用測評設(shè)備和工具,實現(xiàn)漏洞發(fā)現(xiàn)與問題分析等方面的能力;
d)整體測評實施能力,指根據(jù)測評報告單元測評的結(jié)果記錄部分、結(jié)果匯總部分和問題分析部分,從安全控制點間、層面間和區(qū)域間出發(fā)考慮,給出整體測評具體結(jié)果的能力;
e)風險分析能力,指依據(jù)等級保護的相關(guān)規(guī)范和標準,采用風險分析的方法分析等級測評結(jié)果中存在的安全問題可能對被測評系統(tǒng)安全造成的影響的能力。
4.3.3.2.3 測評機構(gòu)應(yīng)依據(jù)測評工作流程,有計劃、按步驟地開展測評工作,并保證測評活動的每個環(huán)節(jié)都得到有效的控制,具體要求如下:
a)測評準備階段,收集被測系統(tǒng)的相關(guān)資料信息,填寫規(guī)范的系統(tǒng)調(diào)查表,全面掌握被測評系統(tǒng)的詳細情況,為測評工作的開展打下基礎(chǔ)。
b)方案編制階段,正確合理地確定測評對象、測評指標及測評內(nèi)容等,并依據(jù)現(xiàn)行有效的技術(shù)標
準、規(guī)范開發(fā)測評方案、測評指導(dǎo)書、測評結(jié)果記錄表格等。測評方案應(yīng)通過技術(shù)評審并有相關(guān)記錄,測評指導(dǎo)書應(yīng)進行版本有效性維護,且滿足以下要求:
1)符合相關(guān)的等級測評標準;
2)提供足夠詳細的信息以確保測評數(shù)據(jù)獲取過程的規(guī)范性和可操作性。
c)現(xiàn)場測評階段,嚴格執(zhí)行測評方案和測評指導(dǎo)書中的內(nèi)容和要求,并依據(jù)操作規(guī)程熟練地使用測評設(shè)備和工具,規(guī)范、準確、完整地填寫測評結(jié)果記錄,獲取足夠證據(jù),客觀、真實、科學(xué)地反映出系統(tǒng)的安全保護狀況,測評過程應(yīng)予以監(jiān)督并記錄。
d)報告編制階段,客觀描述等級保護對象已采取的有效保護措施和存在的主要安全問題情況,指出等級保護對象安全保護現(xiàn)狀與相應(yīng)等級的保護要求之間的差距,分析差距可能導(dǎo)致被測評系統(tǒng)面臨的風險,給出等級測評結(jié)論,形成測評報告,測評報告應(yīng)依據(jù)公安行政主管部門統(tǒng)一制定的網(wǎng)絡(luò)安全等級保護測評報告模版的格式和內(nèi)容要求編寫,測評報告應(yīng)通過評審并有相關(guān)記錄。
以上為標準部分內(nèi)容,如需看標準全文,請到相關(guān)授權(quán)網(wǎng)站購買標準正版。
