GB/T36959-2018信息安全技術 網絡安全等級保護測評機構能力要求和評估規范4.4 Ⅱ級測評機構能力要求
4.4.1 基本條件
測評機構應當具備以下基本條件:
a) 在中華人民共和國境內注冊成立,由中國公民、法人投資或者國家投資的企事業單位;
b) 產權關系明晰,注冊資金1000萬元以上,獨立經營核算,無違法違規記錄;
c) 從事網絡安全服務兩年以上,具備一定的網絡安全檢測評估能力;
d) 法人、主要負責人、測評人員僅限中華人民共和國境內的中國公民,且無犯罪記錄;
e) 具有網絡安全相關工作經歷的技術和管理人員不少于30人,專職滲透測試人員不少于3人,崗位職責清晰,且人員相對穩定;
f) 具有固定的辦公場所,配備滿足測評業務需要的檢測評估工具、實驗環境等;
g) 具有完備的安全保密管理、項目管理、質量管理、人員管理、檔案管理和培訓教育等規章制度;
h) 不涉及網絡安全產品開發、銷售或信息系統安全集成等可能影響測評結果公正性的業務(自用除外);
i) 應具備的其他條件。
4.4.2 組織管理能力
4.4.2.1 測評機構管理者應掌握等級保護政策文件,熟悉相關的標準規范。
4.4.2.2 測評機構應明確設立開展等級測評業務的部門,確保測評活動的獨立性。
4.4.2.3 測評機構應具有勝任等級測評工作的專業技術人員和管理人員,大學本科(含)以上學歷所占比例不低于80%。
4.4.2.4 測評機構應設置滿足等級測評工作需要的崗位,如測評技術員、測評項目組長、技術主管、質量主管、保密安全員、設備管理員和檔案管理員等,崗位職責明確,人員穩定,其中技術主管、質量主管應為專職人員,不得兼任。
4.4.2.5 測評機構應制定完善的規章制度,包括但不限于以下內容:
a) 保密管理制度
應根據國家有關保密規定制定保密管理制度,制度中應明確保密對象的范圍、人員保密職責、測評過程保密管理各項措施與要求,以及違反保密制度的罰則等內容。
b) 項目管理制度
測評機構應依據GB/T 28449制定完備的、符合自身特點的測評項目管理程序,主要應包括測評工作的組織形式、工作職責,測評各階段的工作內容和管理要求等。
c) 設備管理制度
應包括機構人員在儀器設備管理中的相關職責、儀器設備的購置、使用和維護的各項規定等。
d) 文檔管理制度
應包括機構人員在文件檔案管理中的相關職責、文件檔案借閱、保管直至銷毀的各項規定等。
e) 人員管理制度
應包括人員錄用、考核、日常管理以及離職等方面的內容和要求。
f) 培訓教育制度
應包括培訓計劃的制定、培訓工作的實施、培訓的考核與上崗以及人員培訓檔案建立等內容和要求。
g) 申訴、投訴及爭議處理制度
應明確包括測評機構各崗位人員在申訴、投訴和爭議處理活動中相應的職責,建立從受理、確認到處置、答復等環節的完整程序。
4.4.3 測評實施能力
4.4.3.1 人員能力
4.4.3.1.1 測評機構從事等級測評工作的專業技術人員(以下簡稱測評人員)應具有把握國家政策,理解和掌握相關技術標準,熟悉等級測評的方法、流程和工作規范等方面的知識及能力,并有依據測評結果做出專業判斷以及出具等級測評報告等任務的能力。
4.4.3.1.2 測評人員應參加由指定評估機構舉辦的專門培訓、考試并取得等級測評師證書。等級測評人員需持證上崗。
4.4.3.1.3 測評技術員、測評項目組長和技術主管崗位人員應分別取得初、中、高級等級測評師證書,測評師數量不應少于30人。
4.4.3.1.4 測評人員除具備等級測評師資格外,每年應參加多種形式的測評業務和技術培訓,測評師每年培訓時長累計不少于40學時。
4.4.3.1.5 測評機構應指定一名技術主管,全面負責等級測評方面的技術工作。測評機構技術主管應具備大學本科(含)以上學歷,應在近三年的信息安全專業刊物上發表兩篇及以上論文(或申請一項專利著作權),或主持一項地方(或行業)級科研課題項目。
4.4.3.2 測評能力
4.4.3.2.1 測評機構應具備每年開展等級測評的第三級(含)等級保護對象數量不應少于30個的實施能力。
4.4.3.2.2 測評機構應保證在其能力范圍內從事測評工作,并有足夠的資源來滿足測評工作要求,具體體現在以下方面:
a) 安全技術測評實施能力,包括物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全等方面測評指導書的開發、使用、維護及獲取相關結果的專業判斷。測評指導書應覆蓋目前主流產品和相關技術;
b) 安全管理測評實施能力,包括安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理等方面測評指導書的開發、使用、維護及獲取相關結果的專業判斷;
c) 安全測試與分析能力,指根據實際測評要求,開發與測試相關的工作指導書,借助專用測評設備和工具,實現漏洞發現與問題分析等方面的能力,并具備密碼分析測評能力;
d) 整體測評實施能力,指根據測評報告單元測評的結果記錄部分、結果匯總部分和問題分析部分,從安全控制點間、層面間和區域間出發考慮,給出整體測評的具體結果的能力;
e) 風險分析能力,指依據等級保護的相關規范和標準,建立一套統一的風險分析方法,科學合理地分析等級測評結果中存在的安全問題可能對被測評系統安全造成的影響的能力。
4.4.3.2.3 測評機構應加強信息技術在測評實施中的應用,借助自動化手段,規范測評流程,優化資源配置,減少人為因素可能造成的差錯,提高測評工作的效率。
4.4.3.2.4 測評機構應建立完善的測評方法研發、維護和更新機制,持續提高自身測評技術能力。
4.4.3.2.5 測評機構應結合被測系統的行業特點和業務類型,分析普遍存在的安全問題,并提出針對性的整改建議。
4.4.3.2.6 測評機構應依據測評工作流程,有計劃、按步驟地開展測評工作,并保證測評活動的每個環節都得到有效的控制,具體要求如下:
a) 測評準備階段,收集被測系統的相關資料信息,填寫規范的系統調查表,全面掌握被測評系統的詳細情況,為測評工作的開展打下基礎;
b) 方案編制階段,正確合理地確定測評對象、測評指標及測評內容等,并依據現行有效的技術標準、規范開發測評方案、測評指導書、測評結果記錄表格等。測評方案應通過技術評審并有相關記錄,測評指導書應進行版本有效性維護,且滿足以下要求:
1) 符合相關的等級測評標準;
2) 提供足夠詳細的信息以確保測評數據獲取過程的規范性和可操作性。
c) 現場測評階段,嚴格執行測評方案和測評指導書中的內容和要求,并依據操作規程熟練地使用測評設備和工具,規范、準確、完整的填寫測評結果記錄,獲取足夠證據,客觀、真實、科學地反映出系統的安全保護狀況,測評過程應予以監督并記錄;
d) 報告編制階段,客觀描述等級保護對象已采取的有效保護措施和存在的主要安全問題情況,指出等級保護對象安全保護現狀與相應等級的保護要求之間的差距,分析差距可能導致被測評系統面臨的風險,給出等級測評結論,形成測評報告,測評報告應依據公安部統一制訂的網絡安全等級保護測評報告模版的格式和內容要求編寫,測評報告應通過評審并有相關記錄。
4.4.4 設施和設備安全與保障能力
4.4.4.1 測評機構應具備必要的辦公環境、設備、設施和管理系統,使用的技術裝備、設施原則上應當符合以下條件:
a) 產品研制、生產單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內具有獨立的法人資格;
b) 產品的核心技術、關鍵部件具有我國自主知識產權;
c) 產品研制、生產單位及其主要業務、技術人員無犯罪記錄;
d) 產品研制、生產單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能;
e) 對國家安全、社會秩序、公共利益不構成危害;
f) 應配備經安全認證合格或者安全檢測符合要求的網絡關鍵設備和網絡安全專用產品。
4.4.4.2 測評機構應配備滿足等級測評工作需要的測評設備和工具,如WEB安全檢測工具、惡意行為檢測工具、網絡協議分析工具、源代碼安全審計工具等,在測試過程中輔助分析并定位安全問題。測評設備和工具應通過權威機構的檢測并可提供檢測報告。
4.4.4.3 測評機構應具備符合相關要求的機房以及必要的軟、硬件設備,應搭建由主流網絡設備、安全設備、操作系統和數據庫系統組成的基礎環境,以滿足網絡仿真、技術培訓和模擬測試的需要。
4.4.4.4 測評機構應確保測評設備和工具運行狀態良好,并通過持續更新、升級等手段保證其提供準確的測評數據。
4.4.4.5 測評設備和工具均應有正確的標識。
4.4.4.6 測評機構應建立專門的制度,對用于測評數據處理的計算機進行有效的運行維護,并保證計算機中數據記錄的完整性、可控性。
4.4.5 質量管理能力
4.4.5.1 管理體系建設
4.4.5.1.1 測評機構應建立、實施和維護符合等級測評工作需要的文件化的管理體系,并確保測評機構各級人員能夠理解和執行。
4.4.5.1.2 測評機構應當制定相應的質量目標,不斷提升自身的測評質量和管理水平。
4.4.5.1.3 測評機構應指定一名質量主管,明確其質量保證的職責。質量主管不應受可能有損工作質量的影響,并有權直接與測評機構最高管理層溝通。
4.4.5.2 管理體系維護
4.4.5.2.1 測評機構應保證管理體系的有效運行,發現問題及時反饋并采取糾正措施,確保其有效性。
4.4.5.2.2 測評機構應當嚴格遵守申訴、投訴及爭議處理制度,并應記錄采取的措施。
4.4.5.2.3 測評機構應建立并實施內部管理審核機制,以驗證管理體系的符合性及有效性,執行審核的人員應獨立于被審核部門。
4.4.5.3 質量監督能力
測評機構應指定監督員對測評活動實施質量監督。監督員應具備豐富的安全測評經驗、精通安全測評技術、并能對測評結果做出權威判斷。
4.4.6 規范性保證能力
4.4.6.1 公正性保證能力
4.4.6.1.1 測評機構及其測評人員應當嚴格執行有關管理規范和技術標準,開展客觀、公正、安全的測評服務。
4.4.6.1.2 測評機構的人員應不受可能影響其測評結果的來自于商業、財務和其他方面的壓力。
4.4.6.1.3 測評機構應以公開方式,向社會公布其開展網絡安全等級保護測評工作所依據的政策法規、標準和規范。
4.4.6.2 可靠與保密性保證能力
4.4.6.2.1 測評機構的單位法人及主要工作人員僅限于中華人民共和國境內的中國公民,且無犯罪記錄。
4.4.6.2.2 測評機構應通過提供單位性質、股權結構、出資情況、法人及股東身份等信息的文件材料,證明其機構合規、產權關系明晰,資金注冊達到要求。
4.4.6.2.3 測評機構應建立并保存工作人員的人員檔案,包括人員基本信息、社會背景、工作經歷、培訓記錄、專業資格、獎懲情況等,保障人員的穩定和可靠。
4.4.6.2.4 測評機構使用的測試設備和工具應具備全面的功能列表,且不存在功能列表之外的隱蔽功能。
4.4.6.2.5 測評機構應重視安全保密工作,指派安全保密工作的責任人。
4.4.6.2.6 測評機構應依據保密管理制度,定期對工作人員進行保密教育,測評機構和測評人員應當保守在測評活動中知悉的國家秘密、工作秘密、商業秘密、個人隱私等。
4.4.6.2.7 測評機構應明確崗位保密要求,與全體人員簽訂《保密責任書》,規定其應當履行的安全保密義務和承擔的法律責任,并負責檢查落實。
4.4.6.2.8 測評機構應采取技術和管理措施來確保等級測評相關信息的安全、保密和可控,這些信息包括但不限于:
a) 被測評單位提供的資料;
b) 等級測評活動生成的數據和記錄;
c) 依據上述信息做出的分析與專業判斷。
4.4.6.2.9 測評機構應借助有效的技術手段,確保等級測評相關信息的整個數據生命周期的安全和保密。
4.4.6.2.10 測評機構應建立專門的文檔存儲場所和數據加密環境,嚴格管理測評相關數據信息。
4.4.6.3 測評方法與程序的規范性保證能力
4.4.6.3.1 測評機構應制定程序,保證與等級測評工作相關的所有工作程序、指導書、標準規范、工作表格、核查記錄表等現行有效并便于測評人員獲得。
4.4.6.3.2 上述文件的發布實施應履行統一的審批程序,文件的變更和修訂應有授權并及時進行版本維護。
4.4.6.4 測評記錄的規范性
測評機構應保證測評記錄內容和管理的規范性:
a) 測評記錄應當清晰規范,并獲得被測評方的書面確認。
b) 應對所有通過計算機記錄或生成的數據的轉移、復制和傳送進行核查,以確保其準確性和完整性。
c) 測評機構應具有安全保管記錄的能力,所有的測評記錄應保存三年以上。
4.4.6.5 測評報告的規范性
測評機構應保證測評報告內容和出具過程管理的規范性:
a) 測評機構應按照公安部統一制訂的網絡安全等級保護測評報告模版格式出具測評報告。
b) 測評報告應包括所有測評結果、根據這些結果做出的專業判斷以及理解和解釋這些結果所需要的所有信息,以上信息均應正確、準確、清晰地表述。
c) 測評報告由測評項目組長作為第一編制人,技術主管(或質量主管)負責審核,機構管理者或其授權人員簽發或批準。
d) 能力評估合格的測評機構應對出具的等級測評報告統一加蓋測評機構能力合格專用標識并登記歸檔。
4.4.6.6 安全管理能力
測評機構應重視自身的安全,通過部署安全措施提高安全管理能力。
4.4.7 風險控制能力
4.4.7.1 測評機構應充分估計測評可能給被測系統帶來的風險,風險包括但不限于以下方面:
a) 測評機構由于自身能力或資源不足造成的風險;
b) 測試驗證活動可能對被測系統正常運行造成影響的風險;
c) 測試設備和工具接入可能對被測系統正常運行造成影響的風險;
e) 測評過程中可能發生的被測系統重要信息(如網絡拓撲、IP地址、業務流程、安全機制、安全隱患和有關文檔等)泄漏的風險等。
推薦文章: