中益信云南科技有限公司

浏览量:

2023最新《全国网络安全等级测评与检测评估机构目录》及​GB/T 36959-2018 测评机构要求【等保测评】【标准规范】

行业新闻 / 2023-05-11 15:20:58 政策趋势

2023年2月10日中关村信息安全测评联盟发布了最新一期的《全国网络安全等级测评与检测评估机构目录》(本文后附最新等保机构目录),此次新增了认证证书编号从SC202327130010232-SC202327130010236共5家等级保护测评机构:

  1. 甘肃电力科学研究院技术中心有限公司(SC202327130010232)

  2. 江苏翔信信息安全技术有限公司(SC202327130010233)

  3. 广东中科实数科技有限公司(SC202327130010234)

  4. 四川中成基业安全技术有限公司(SC202327130010235)

  5. 黑龙江智泽测评科技有限公司(SC202327130010236)

作为等级保护测评机构需要满足GB/T 36959-2018 《信息安全技术  网络安全等级保护测评机构能力要求和评估规范》的相关要求。测评机构的级别代表了网络安全等级保护测评机构技术水平和业务服务能力的差异。测评机构按能力要求分为三级,级别由低到高依次是I级、II级和III级,级差是通过增加新的能力要求条款或在原条款基础上提出增强要求来实现。
以I级测评机构按能力要求为例,分别在1.基本条件2.组织管理能力3.测评实施能力(人员能力、测评能力)4.设施和设备安全与保障能力5.质量管理能力(管理体系建设、管理体系维护)6.保证能力(公正性保证能力、可靠与保密性保证能力、测评方法与程序的规范性、测评记录的规范性、测评报告的规范性)7.风险控制能力8.可持续发展能力共8个部分规定了相关要求,列举以上要求的部分内容,详细的要求见规范内容。
一、基本条件
测评机构应当具备的基本条件:
a)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
b)产权关系明晰,注册资金500万元以上,独立经营核算,无违法违规记录;
c)从事网络安全服务两年以上,具备一定的网络安全检测评估能力;
d)法定代表人、主要负责人、测评人员仅限中华人民共和国境内的中国公民,且无犯罪记录;
e)具有网络安全相关工作经历的技术和管理人员不少于15人,专职渗透测试人员不少于2人,岗位职责清晰,且人员相对稳定;
f)具有固定的办公场所,配备满足测评业务需要的检测评估工具、实验环境等;
g)具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度;
h)不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务(自用除外);

i)应具备的其他条件。

二、组织管理能力

1)测评机构管理者应掌握等级保护政策文件,熟悉相关的标准规范。

2)测评机构应按一定方式组织并设立相关部门,明确其职责、权限和相互关系,保证各项工作的有序开展。

3)测评机构应具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以上学历所占比例不低于70%。

4)测评机构应设置满足等级测评工作需要的岗位,如测评技术员、测评项目组长、技术主管、质量主管、保密安全员、设备管理员和档案管理员等,岗位职责明确,人员稳定。

5)测评机构应制定完善的规章制度,包括但不限于以下内容:

a)项目管理制度:测评机构应依据GB/T28449制定完备的、符合自身特点的测评项目管理程序,主要应包括测评工作的组织形式、工作职责,测评各阶段的工作内容和管理要求等。
b) 设备管理制度:应包括机构人员在仪器设备(含测评设备和工具)管理中的相关职责、仪器设备的购置、使用和运行维护的各项规定等。
c) 文档管理制度:应包括机构人员在测评文档(含电子文档)管理中的相关职责、档案借阅、保管直至销毁的各项规定等。
d)人员管理制度:应包括人员录用、考核、日常管理以及离职等方面的内容和要求。
e) 培训教育制度:应包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建立等内容和要求。
f)申诉、投诉及争议处理制度:应明确包括测评机构各岗位人员在申诉、投诉和争议处理活动中相应的职责,建立从受理、确认到处置、答复等环节的完整程序。
三、测评实施能力
1)测评机构从事等级测评工作的专业技术人员(以下简称测评人员)应具有把握国家政策,理解和掌握相关技术标准,熟悉等级测评的方法、流程和工作规范等方面的知识及能力,并有依据测评结果做出专业判断以及出具等级测评报告等任务的能力。
2)测评人员应参加由指定评估机构举办的专门培训、考试并取得等级测评师证书。等级测评人员需持证上岗。
3)测评技术员、测评项目组长和技术主管岗位人员应分别取得初、中、高级等级测评师证书,测评师数量不应少于15人。
4)测评人员除具备等级测评师资格外,每年应参加多种形式的测评业务和技术培训,测评师每年培训时长累计不少于40学时。
5)测评机构应指定一名技术主管,全面负责等级测评方面的技术工作。
四、设施和设备安全与保障能力
1)测评机构应具备必要的办公环境、设备、设施和管理系统。

2)测评机构应配备满足等级测评工作需要的测评设备和工具,如WEB安全检测工具、恶意行为检测工具等,在测试过程中辅助发现安全问题。测评设备和工具应通过权威机构的检测并可提供检测报告。

3)测评机构应具备符合相关要求的机房以及必要的软、硬件设备,用于满足网络安全仿真、技术培训和模拟测试的需要。

4)测评机构应确保测评设备和工具运行状态良好,并通过持续更新、升级等手段保证其提供准确的测评数据。

5)测评设备和工具均应有正确的标识。

五、质量管理能力(管理体系建设、管理体系维护)

1)测评机构应建立、实施和维护符合等级测评工作需要的文件化的管理体系,并确保测评机构各级人员能够理解和执行。

2)测评机构应当制定相应的质量目标,不断提升自身的测评质量和管理水平。

3)测评机构应指定一名质量主管,明确其质量保证的职责。质量主管不应受可能有损工作质量的影响或利益冲突,并有权直接与测评机构最高管理层沟通。

六、保证能力
1)公正性保证能力
2)可靠与保密性保证能力
3)测评方法与程序的规范性
4)测评记录的规范性
5)测评报告的规范性
七、风险控制能力

1)测评机构由于自身能力或资源不足造成的风险;

2)测试验证活动可能对被测系统正常运行造成影响的风险;

3)测试设备和工具接入可能对被测系统正常运行造成影响的风险;

4)测评过程中可能发生的被测系统重要信息(如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档等)泄漏的风险等。

八、可持续发展能力

1)测评机构应根据自身情况制定战略规划,通过不断的投入保证测评机构的持续建设和发展。

2)测评机构应定期对管理体系进行评审并持续改进,不断提高管理要求。设定中、远期目标,通过目标的实现,逐步提升质量管理能力。

3)测评机构应根据培训制度做好培训工作,并保存培训和考核记录。

4)测评机构应投入专门的力量从事测评实践总结和测评技术研究工作,测评机构间应进行经验交流和技术研讨,保持与测评技术发展的同步性。

网络安全等级保护测评师能力要求

一、初级等级测评师应具备以下条件或能力:

a)了解网络安全等级保护的相关政策、标准;

b)熟悉信息安全基础知识;

c)熟悉信息安全产品分类,了解其功能、特点和操作方法;

d)掌握等级测评方法,能够根据测评指导书客观、准确、完整地获取各项测评证据;

e)掌握测评工具的操作方法,能够合理设计测试用例获取所需测试数据;

f)能够按照报告编制要求整理测评数据。

二、中级等级测评师应具备以下条件或能力:

a)熟悉网络安全等级保护相关政策、法规;

b)正确理解网络安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展;

c)掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的基础和实践经验;

d)具有较丰富的项目管理经验,熟悉测评项目的工作流程和质量管理的方法,具有较强的组织协调和沟通能力;

e)能够独立开发测评指导书,熟悉测评指导书的开发、版本控制和评审流程;

f)能够根据等级保护对象的特点,编制测评方案,确定测评对象、测评指标和测评方法;

g)具有综合分析和判断的能力,能够依据测评报告模板要求编制测评报告,能够整体把握测评报告结论的客观性和准确性。具备较强的文字表达能力;

h)了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题,提出合理化的整改建议。

三、高级等级测评师应具备以下条件或能力:

a)熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展;

b)对网络安全等级保护标准体系及主要标准有较为深入的理解;

c)具有信息安全理论研究的基础、实践经验和研究创新能力;

d)具有丰富的质量体系管理和项目管理经验,具有较强的组织协调和管理能力;

e)熟悉等级保护工作的全过程,熟悉定级、等级测评、建设整改各个工作环节的要求。

全国网络安全等级测评与检测评估机构目录

来源:信创纵横

最新动态

点击阅读更多内容
滇ICP备2023004162号-1