GB/T36959-2018信息安全技術 網絡安全等級保護測評機構能力要求和評估規范4.5 Ⅲ級測評機構能力要求
4.5.1 基本條件
網絡安全等級保護測評機構(以下簡稱測評機構)應當具備以下基本條件:
a)在中華人民共和國境內注冊成立,由中國公民、法人投資或者國家投資的企事業單位;
b)產權關系明晰,注冊資金1000萬元以上,獨立經營核算,無違法違規記錄;
c)從事網絡安全服務兩年以上,具備一定的網絡安全檢測評估能力;
d)法人、主要負責人、測評人員僅限中華人民共和國境內的中國公民,且無犯罪記錄;
e)具有網絡安全相關工作經歷的技術和管理人員不少于50人,專職滲透測試人員不少于5人,崗位職責清晰,且人員相對穩定;
f)具有固定的辦公場所,配備滿足測評業務需要的檢測評估工具、實驗環境等;
g)具有完備的安全保密管理、項目管理、質量管理、人員管理、檔案管理和培訓教育等規章制度;
h)不涉及網絡安全產品開發、銷售或信息系統安全集成等可能影響測評結果公正性的業務(自用除外);
4.5.2 組織管理能力
4.5.2.1 測評機構管理者應掌握等級保護政策文件,熟悉相關的標準規范。
4.5.2.2 測評機構應明確設立開展等級測評業務的部門,確保測評活動的獨立性。
4.5.2.3 測評機構應具有勝任等級測評工作的專業技術人員和管理人員,大學本科(含)以上學歷所占比例不低于90%。
4.5.2.4 測評機構應設置滿足等級測評工作需要的崗位,如測評技術員、測評項目組長、技術主管、質量主管、保密安全員、設備管理員和檔案管理員等,上述崗位應為專職人員,不得兼任。
4.5.2.5 測評機構應制定完善的規章制度,包括但不限于以下內容:
a)保密管理制度
應根據國家有關保密規定制定保密管理制度,制度中應明確保密對象的范圍、人員保密職責、測評過程保密管理各項措施與要求,以及違反保密制度的罰則等內容。
b)項目管理制度
測評機構應依據GB/T 28449制定完備的、符合自身特點的測評項目管理程序,主要應包括測評工作的組織形式、工作職責,測評各階段的工作內容和管理要求等。
c)設備管理制度
應包括機構人員在儀器設備(含測評設備和工具)管理中的相關職責、儀器設備的購置、使用和運行維護的各項規定等。
d)文檔管理制度
應包括機構人員在測評文檔(含電子文檔)管理中的相關職責、檔案借閱、保管直至銷毀的各項規定等。
e)人員管理制度
應包括人員錄用、考核、日常管理以及離職等方面的內容和要求。
f)培訓教育制度
應包括培訓計劃的制定、培訓工作的實施、培訓的考核與上崗以及人員培訓檔案建立等內容和要求。
g)申訴、投訴及爭議處理制度
4.5.3 測評實施能力
4.5.3.1 人員能力
4.5.3.1.1 測評機構從事等級測評工作的專業技術人員(以下簡稱測評人員)應具有把握國家政策,理解和掌握相關技術標準,熟悉等級測評的方法、流程和工作規范等方面的知識及能力,并有依據測評結果做出專業判斷以及出具等級測評報告等任務的能力。
4.5.3.1.2 測評人員應參加由指定評估機構舉辦的專門培訓、考試并取得等級測評師證書。等級測評人員需持證上崗。
4.5.3.1.3 測評技術員、測評項目組長和技術主管崗位人員應分別取得初、中、高級等級測評師證書,測評師數量不應少于50人。
4.5.3.1.4 測評人員除具備等級測評師資格外,每年應參加多種形式的測評業務和技術培訓,測評師每年培訓時長累計不少于60學時。
4.5.3.2 測評能力
4.5.3.2.1 測評機構應具備每年開展等級測評的第三級(含)等級保護對象數量不應少于80個的實施能力。
4.5.3.2.2 測評機構應保證在其能力范圍內從事測評工作,并有足夠的資源來滿足測評工作要求,具體體現在以下方面:
a)安全技術測評實施能力,包括物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全等方面測評指導書的開發、使用、維護及獲取相關結果的專業判斷。測評指導書應覆蓋目前主流產品和相關技術;
b)安全管理測評實施能力,包括安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理等方面測評指導書的開發、使用、維護及獲取相關結果的專業判斷;
c)安全測試與分析驗證能力,指根據實際測評要求,開發與測試相關的工作指導書,借助專用測評設備和工具,實現漏洞發現、問題分析與驗證等方面的能力,并具備密碼分析測評能力;
d)整體測評實施能力,指根據測評報告單元測評的結果記錄部分、結果匯總部分和問題分析部分,從安全控制點間、層面間和區域間出發考慮,給出整體測評的具體結果的能力;
e)風險分析能力,指依據等級保護的相關規范和標準,建立一套統一的風險分析方法,科學合理地分析等級測評結果中存在的安全問題可能對被測評系統安全造成的影響的能力。
4.5.3.2.3 測評機構應建立信息化平臺,通過數據采集、處理和報告自動化生成等功能,提高測評工作效率和規模化實施能力。
4.5.3.2.4 測評機構應建立完善的測評方法研發、維護和更新機制,持續提高自身測評技術能力。
4.5.3.2.5 測評機構應針對被測系統的行業特點開展安全狀況分析,通過對安全問題的深入分析,提出全面的建設整改解決方案。
4.5.3.2.6 測評機構應依據測評工作流程有計劃、按步驟地開展測評工作,并保證測評活動的每個環節都得到有效的控制,具體要求如下:
a)測評準備階段,收集被測系統的相關資料信息,填寫規范的系統調查表,全面掌握被測評系統的詳細情況,為測評工作的開展打下基礎;
b)方案編制階段,正確合理地確定測評對象、測評指標及測評內容等,并依據現行有效的技術標準、規范開發測評方案、測評指導書、測評結果記錄表格等。測評方案應通過技術評審并有相關記錄,測評指導書應進行版本有效性維護,且滿足以下要求:
1)符合相關的等級測評標準;
2)提供足夠詳細的信息以確保測評數據獲取過程的規范性和可操作性。
c)現場測評階段,嚴格執行測評方案和測評指導書中的內容和要求,并依據操作規程熟練地使用測評設備和工具,規范、準確、完整的填寫測評結果記錄,獲取足夠證據,客觀、真實、科學地反映出系統的安全保護狀況,測評過程應予以監督并記錄;
4.5.4 設施和設備安全與保障能力
4.5.4.1 測評機構應具備完善的辦公環境、設備、設施和管理系統,使用的技術裝備、設施原則上應當符合以下條件:
a)產品研制、生產單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內具有獨立的法人資格;
b)產品的核心技術、關鍵部件具有我國自主知識產權;
c)產品研制、生產單位及其主要業務、技術人員無犯罪記錄;
d)產品研制、生產單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能;
e)對國家安全、社會秩序、公共利益不構成危害;
4.5.4.2 測評機構應配備滿足等級測評工作需要的測評設備和工具,如WEB安全檢測工具、惡意行為檢測工具、網絡協議分析工具、源代碼安全審計工具、滲透測試工具等,在測試過程中輔助驗證安全問題。測評設備和工具應通過權威機構的檢測并可提供檢測報告。
4.5.4.3 測評機構應具備符合相關要求的機房以及必要的軟、硬件設備,應搭建由主流網絡設備、安全設備、操作系統和數據庫系統組成的基礎環境,并能針對新技術新應用進行實驗部署,以滿足網絡仿真、技術培訓和模擬測試的需要。
4.5.4.4 測評機構應確保測評設備和工具運行狀態良好,并通過持續更新、升級等手段保證其提供準確的測評數據。
4.5.4.5 測評設備和工具均應有正確的標識。
4.5.4.6 測評機構應建立專門的制度,對用于測評數據處理的計算機進行有效的運行維護,并保證計算機中數據記錄的完整性、可控性。
4.5.5 質量管理能力
4.5.5.1 管理體系建設
4.5.5.1.1 測評機構應建立、實施和維護符合等級測評工作需要的文件化的管理體系,并確保測評機構各級人員能夠理解和執行,且必須取得國家規定的檢驗檢測機構資質。
4.5.5.1.2 測評機構應制定相應的質量目標,不斷提升自身的測評質量和管理水平。
4.5.5.2 管理體系維護
4.5.5.2.1 測評機構應保證管理體系的有效運行,發現問題及時反饋并采取糾正措施,確保其有效性。
4.5.5.2.2 測評機構應當嚴格遵守申訴、投訴及爭議處理制度,并應記錄采取的措施。
4.5.5.3 質量監督能力
測評機構應指定監督員對全體測評技術人員開展監督,監督內容包括現場測評活動、測評過程規范性和測評結論的準確性等。
4.5.6 規范性保證能力
4.5.6.1 公正性保證能力
4.5.6.1.1 測評機構及其測評人員應當嚴格執行有關管理規范和技術標準,開展客觀、公正、安全的測評服務。
4.5.6.1.2 測評機構的人員應不受可能影響其測評結果的來自于商業、財務和其他方面的壓力。
4.5.6.2 可靠與保密性保證能力
4.5.6.2.1 測評機構的單位法人及主要工作人員僅限于中華人民共和國境內的中國公民,且無犯罪記錄。
4.5.6.2.2 測評機構應通過提供單位性質、股權結構、出資情況、法人及股東身份等信息的文件材料,證明其機構合規、產權關系明晰,資金注冊達到要求。
4.5.6.2.3 測評機構應建立并保存工作人員的人員檔案,包括人員基本信息、社會背景、工作經歷、培訓記錄、專業資格、獎懲情況等,保障人員的穩定和可靠。
4.5.6.2.4 測評機構使用的測試設備和工具應具備全面的功能列表,且不存在功能列表之外的隱蔽功能。
4.5.6.2.5 測評機構應重視安全保密工作,指派安全保密工作的責任人。
4.5.6.2.6 測評機構應依據保密管理制度,定期對工作人員進行保密教育,測評機構和測評人員應當保守在測評活動中知悉的國家秘密、工作秘密、商業秘密、個人隱私等。。
4.5.6.2.7 測評機構應明確崗位保密要求,與全體人員簽訂《保密責任書》,規定其應當履行的安全保密義務和承擔的法律責任,并負責檢查落實。
4.5.6.2.8 測評機構應采取技術和管理措施來確保等級測評相關信息的安全、保密和可控,這些信息包括但不限于:
a)被測評單位提供的資料;
b)等級測評活動生成的數據和記錄;
c)依據上述信息做出的分析與專業判斷。
4.5.6.2.9 測評機構應借助有效的技術手段,確保等級測評相關信息的整個數據生命周期的安全和保密。
4.5.6.3 測評方法與程序的規范性
4.5.6.3.1 測評機構應制定程序,保證與等級測評工作相關的所有工作程序、指導書、標準規范、工作表格、核查記錄表等現行有效并便于測評人員獲得。
4.5.6.4 測評記錄的規范性
測評機構應保證測評記錄內容和管理的規范性:
a)測評記錄應當清晰規范,并獲得被測評方的書面確認。
b)應對所有通過計算機記錄或生成的數據的轉移、復制和傳送進行核查,以確保其準確性和完整性。
4.5.6.5 測評報告的規范性
測評機構應保證測評報告內容和出具過程管理的規范性:
a)測評機構應按照公安部統一制訂的網絡安全等級保護測評報告模版格式出具測評報告。
b)測評報告應包括所有測評結果、根據這些結果做出的專業判斷以及理解和解釋這些結果所需要的所有信息,以上信息均應正確、準確、清晰地表述。
c)測評報告由測評項目組長作為第一編制人,技術主管(或質量主管)負責審核,機構管理者或其授權人員簽發或批準。
4.5.6.6 安全管理能力
測評機構應當制定安全方針和目標,并在其指導下建立、實施和維護符合自身等級測評工作要求的安全管理體系,并確保體系的有效運行。
4.5.7 風險控制能力
4.5.7.1 測評機構應充分估計測評可能給被測系統帶來的風險,風險包括但不限于以下方面:
a)測評機構由于自身能力或資源不足造成的風險;
b)測試驗證活動可能對被測系統正常運行造成影響的風險;
c)測試設備和工具接入可能對被測系統正常運行造成影響的風險;
推薦文章: