信息安全技术 网络安全等级测评机构能力要求和评估规范.docx
《信息安全技术 网络安全等级测评机构能力要求和评估规范.docx》由会员分享,可在线阅读,更多相关《信息安全技术 网络安全等级测评机构能力要求和评估规范.docx(59页珍藏版)》请在冰点文库上搜索。
信息安全技术网络安全等级测评机构能力要求和评估规范
1范围
本标准规定了等级测评机构的术语和定义、能力要求、评估规范。
适用于等级测评机构能力建设、资格评定等活动。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T28449信息安全技术信息安全等级保护测评过程指南
《信息安全等级保护测评机构管理办法》
3术语与定义
3.1
等级测评ClassifiedCybersecurityProtectionAssessment
依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
3.2
等级测评机构AssessmentOrganizationofClassifiedCybersecurityProtection
依据国家网络安全等级保护制度规定,具备《信息安全等级保护测评机构管理办法》规定的基本条件,经能力评估和审核推荐,从事等级测评等信息安全服务的机构。
3.3
能力评估CapabilityEvaluation
依据标准和(或)其他规范性文件,对等级测评机构申请单位的能力进行评审、验证和评价的过程。
3.4
评估机构CapabilityEvaluation
对申请成为测评机构的企事业单位进行能力评估的专业技术机构。
3.5
被评估机构Evaluatee
具备《信息安全等级保护测评机构管理办法》中要求的基本条件,准备对其等级测评能力进行评估的企事业单位。
3.6
初次评估First-timeEvaluation
评估机构依据本规范和相关文件,首次对被评估机构能力进行核查、验证和评价的过程。
3.7
期间评估ContinuousEvaluation
为已经获得推荐证书的测评机构是否持续地符合能力要求而在证书有效期内安排的定期或不定期的评估、抽查等活动。
3.8
能力复评CapabilityReview
测评机构推荐证书有效期结束前,由评估机构对其实施全面评估以确认其是否持续符合能力要求,为延续到下一个推荐有效期提供依据的活动。
3.9
评估员Evaluator
由评估机构委派,对被评估机构实施能力评估的人员。
4等级测评机构能力要求
4.1等级测评机构的分级
等级测机构的分级反映了提供网络安全等级测评服务机构的能力和水平。
等级测评机构按能力要求分为三级,级别由低到高依次是Ⅰ级、Ⅱ级和Ⅲ级机构能力要求,每级要求是通过增加新的能力要求条款或在原条款基础上提出增强要求来实现。
4.2Ⅰ级机构能力要求
1.1.1基本条件
网络安全等级测评机构(以下简称测评机构)应当具备以下基本条件:
a)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
b)产权关系明晰,注册资金100万元以上;
c)从事信息系统安全相关工作两年以上,无违法记录;
d)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
e)具有信息系统安全相关工作经验的技术人员,不少于10人;
f)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;
g)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;
h)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;
i)不涉及信息安全产品开发、销售或信息系统安全集成等业务;
j)应具备的其他条件。
1.1.2组织管理能力
1.1.1.1测评机构管理者应掌握等级保护政策文件,熟悉相关的标准规范。
1.1.1.2测评机构应按一定方式组织并设立相关部门,明确其职责、权限和相互关系,保证各项工作的有序开展。
1.1.1.3测评机构应具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以上学历所占比例不低于60%。
1.1.1.4测评机构应设置满足等级测评工作需要的岗位,如测评技术员、测评项目组长、技术主管、质量主管、保密安全员、设备管理员和档案管理员等(不论称谓如何),岗位职责明确,人员稳定。
1.1.1.5测评机构应制定完善的规章制度,包括但不限于以下内容:
a)保密管理制度
应根据国家有关保密规定制定保密管理制度,制度中应明确保密对象的范围、人员保密职责、测评过程保密管理各项措施与要求,以及违反保密制度的罚则等内容。
b)项目管理制度
测评机构应依据GB/T28449制定完备的、符合自身特点的测评项目管理程序,主要应包括测评工作的组织形式、工作职责,测评各阶段的工作内容和管理要求等。
c)设备管理制度
应包括机构人员在仪器设备(含测评设备和工具)管理中的相关职责、仪器设备的购置、使用和运行维护的各项规定等。
d)文档管理制度
应包括机构人员在测评文档(含电子文档)管理中的相关职责、档案借阅、保管直至销毁的各项规定等。
e)人员管理制度
应包括人员录用、考核、日常管理以及离职等方面的内容和要求。
f)培训教育制度
应包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建立等内容和要求。
g)申诉、投诉及争议处理制度
应明确包括测评机构各岗位人员在申诉、投诉和争议处理活动中相应的职责,建立从受理、确认到处置、答复等环节的完整程序。
1.1.3测评实施能力
1.1.1.6人员能力
1.1.1.6.1测评机构从事等级测评工作的专业技术人员(以下简称测评人员)应具有把握国家政策,理解和掌握相关技术标准,熟悉等级测评的方法、流程和工作规范等方面的知识及能力,并有依据测评结果做出专业判断以及出具等级测评报告等任务的能力。
1.1.1.6.2测评人员应参加由指定评估机构举办的专门培训、考试并取得等级测评师证书。
等级测评人员需持证上岗。
1.1.1.6.3等级测评师分为初级、中级和高级,具体能力要求见附录A。
1.1.1.6.4测评技术员、测评项目组长和技术主管岗位人员应分别取得初、中、高级等级测评师证书。
1.1.1.6.5测评机构应指定一名技术主管,全面负责等级测评方面的技术工作。
1.1.1.7测评能力
1.1.1.7.1测评机构应通过提供案例、过程记录等资料,证明其具有从事信息系统安全相关工作两年以上的工作经验。
1.1.1.7.2测评机构应保证在其能力范围内从事测评工作,并有足够的资源来满足测评工作要求,具体体现在以下方面:
a)安全技术测评实施能力,包括物理安全测评、网络安全测评、主机安全测评、应用安全测评、数据安全及备份恢复测评等方面测评指导书的开发、使用、维护及获取相关结果的专业判断;
b)安全管理测评实施能力,包括安全管理制度测评、安全管理机构测评、人员安全管理测评、系统建设管理测评、系统运维管理测评等方面测评指导书的开发、使用、维护及获取相关结果的专业判断;
c)安全测试与分析能力,指根据实际测评要求,开发与测试相关的工作指导书,借助专用测评设备和工具,实现漏洞发现与问题分析等方面的能力;
d)整体测评实施能力,指根据测评报告单元测评的结果记录部分、结果汇总部分和问题分析部分,从安全控制点间、层面间和区域间出发考虑,给出整体测评具体结果的能力;
e)风险分析能力,指依据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测评系统安全造成的影响的能力。
1.1.1.7.3测评机构应依据测评工作流程,有计划、按步骤地开展测评工作,并保证测评活动的每个环节都得到有效的控制。
a)测评准备阶段,收集被测系统的相关资料信息,填写规范的系统调查表,全面掌握被测评系统的详细情况,为测评工作的开展打下基础;
b)方案编制阶段,正确合理地确定测评对象、测评指标及测评内容等,并依据现行有效的技术标准、规范开发测评方案、测评指导书、测评结果记录表格等。
测评方案应通过技术评审并有相关记录,测评指导书应进行版本有效性维护,且满足以下要求:
1)符合相关的等级测评标准;
2)提供足够详细的信息以确保测评数据获取过程的规范性和可操作性。
c)现场测评阶段,严格执行测评方案和测评指导书中的内容和要求,并依据操作规程熟练地使用测评设备和工具,规范、准确、完整的填写测评结果记录,获取足够证据,客观、真实、科学地反映出系统的安全保护状况,测评过程应予以监督并记录;
d)报告编制阶段,客观描述信息系统已采取的有效保护措施和存在的主要安全问题情况,指出信息系统安全保护现状与相应等级的保护要求之间的差距,分析差距可能导致被测评系统面临的风险,给出等级测评结论,形成测评报告,测评报告应依据公安部统一制订的网络安全等级测评报告模版的格式和内容要求编写,测评报告应通过评审并有相关记录。
1.1.4设施和设备安全与保障能力
1.1.1.8测评机构应具备必要的办公环境、设备、设施和管理系统,使用的技术装备、设施原则上应当符合以下条件:
a)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
b)产品的核心技术、关键部件具有我国自主知识产权;
c)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
d)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
e)对国家安全、社会秩序、公共利益不构成危害;
f)信息安全产品应获得公安部计算机信息安全产品销售许可证。
1.1.1.9测评机构应配备满足等级测评工作需要的测评设备和工具,如WEB安全检测工具、恶意行为检测工具等,在测试过程中辅助发现安全问题。
测评设备和工具应通过权威机构的检测并可提供检测报告。
1.1.1.10测评机构应具备符合相关要求的机房以及必要的软、硬件设备,用于满足信息系统仿真、技术培训和模拟测试的需要。
1.1.1.11测评机构应确保测评设备和工具运行状态良好,并通过校准或比对等手段保证其提供准确的测评数据。
1.1.1.12测评设备和工具均应有正确的标识。
1.1.5质量管理能力
1.1.1.13管理体系建设
1.1.1.13.1测评机构应建立、实施和维护符合等级测评工作需要的文件化的管理体系,并确保测评机构各级人员能够理解和执行。
1.1.1.13.2测评机构应当制定相应的质量目标,不断提升自身的测评质量和管理水平。
1.1.1.13.3测评机构应指定一名质量主管,明确其质量保证的职责。
质量主管不应受可能有损工作质量的影响或利益冲突,并有权直接与测评机构最高管理层沟通。
1.1.1.14管理体系维护
1.1.1.14.1测评机构应保证管理体系的有效运行,发现问题及时反馈并采取纠正措施,确保其有效性。
1.1.1.14.2测评机构应当严格遵守申诉、投诉及争议处理制度,并应记录采取的措施。
1.1.6规范性保证能力
1.1.1.15公正性保证能力
1.1.1.15.1测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。
1.1.1.15.2测评机构的人员应不受可能影响其测评结果的来自于商业、财务和其他方面的压力。
1.1.1.16可信与保密性保证能力
1.1.1.16.1测评机构的单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录。
1.1.1.16.2测评机构应通过提供单位性质、股权结构、出资情况、法人及股东身份等信息的文件材料,证明其机构合规、产权关系明晰,资金注册达到要求(100万元)。
1.1.1.16.3测评机构应建立并保存工作人员的人员档案,包括人员基本信息、社会背景、工作经历、培训记录、专业资格、奖惩情况等,保障人员的稳定和可靠。
1.1.1.16.4测评机构使用的测试设备和工具应具备全面的功能列表,且不存在功能列表之外的隐蔽功能。
1.1.1.16.5测评机构应重视安全保密工作,指派安全保密工作的责任人。
1.1.1.16.6测评机构应依据保密管理制度,定期对工作人员进行保密教育,测评机构和测评人员应当保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等。
1.1.1.16.7测评机构应明确岗位保密要求,与全体人员签订《保密责任书》,规定其应当履行的安全保密义务和承担的法律责任,并负责检查落实。
1.1.1.16.8测评机构应采取技术和管理措施来确保等级测评相关信息的安全、保密和可控,这些信息包括但不限于:
a)被测评单位提供的资料;
b)等级测评活动生成的数据和记录;
c)依据上述信息做出的分析与专业判断。
1.1.1.16.9测评机构应借助有效的技术手段,确保等级测评相关信息的整个数据生命周期的安全和保密。
1.1.1.17测评方法与程序的规范性
测评机构应保证与等级测评工作有关的所有工作程序、指导书、标准规范、工作表格、核查记录表等现行有效并便于测评人员获得。
1.1.1.18测评记录的规范性
a)测评记录应当清晰规范,并获得被测评方的书面确认;
b)测评机构应具有安全保管记录的能力,所有的测评记录应保存三年以上。
1.1.1.19测评报告的规范性
a)测评机构应按照公安部统一制订的信息系统安全等级测评报告模版格式出具测评报告;
b)测评报告应包括所有测评结果、根据这些结果做出的专业判断以及理解和解释这些结果所需要的所有信息,以上信息均应正确、准确、清晰地表述;
c)测评报告由测评项目组长作为第一编制人,技术主管(或质量主管)负责审核,机构管理者或其授权人员签发或批准;
d)能力评估合格的测评机构应依据《信息安全等级保护测评机构管理办法》,对出具的等级测评报告统一加盖等级测评机构能力合格专用标识并登记归档。
1.1.7风险控制能力
1.1.1.20测评机构应充分估计测评可能给被测系统带来的风险,风险包括但不限于以下方面:
a)测评机构由于自身能力或资源不足造成的风险;
b)测试验证活动可能对被测系统正常运行造成影响的风险;
c)测试设备和工具接入可能对被测系统正常运行造成影响的风险;
d)测评过程中可能发生的被测系统重要信息(如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档等)泄漏的风险等。
1.1.1.21测评机构应通过多种措施对上述被测系统可能面临的风险加以规避和控制。
1.1.8可持续性发展能力
1.1.1.22测评机构应根据自身情况制定战略规划,通过不断的投入保证测评机构的持续建设和发展。
1.1.1.23测评机构应定期对管理体系进行评审并持续改进,不断提高管理要求。
设定中、远期目标,通过目标的实现,逐步提升质量管理能力。
1.1.1.24测评机构应根据培训制度做好培训工作,并保存培训和考核记录。
1.1.1.25测评机构应投入专门的力量来从事测评实践总结和测评技术研究工作,测评机构间应进行经验交流和技术研讨,保持与测评技术发展的同步性。
4.3Ⅱ级机构要求
1.1.9基本条件
网络安全等级测评机构(以下简称测评机构)应当具备以下基本条件:
a)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
b)产权关系明晰,注册资金500万元以上;
c)从事信息系统安全相关工作两年以上,无违法记录;
d)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
e)具有信息系统安全相关工作经验的技术人员,不少于30人;
f)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;
g)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;
h)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;
i)不涉及信息安全产品开发、销售或信息系统安全集成等业务;
j)应具备的其他条件。
1.1.10组织管理能力
1.1.1.26测评机构管理者应掌握等级保护政策文件,熟悉相关的标准规范。
1.1.1.27测评机构应明确设立开展等级测评业务的部门,确保测评活动的独立性。
1.1.1.28测评机构应具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以上学历所占比例不低于70%。
1.1.1.29测评机构应设置满足等级测评工作需要的岗位,如测评技术员、测评项目组长、技术主管、质量主管、保密安全员、设备管理员和档案管理员等(不论称谓如何),岗位职责明确,人员稳定,其中技术主管、质量主管应为专职人员,不得兼任。
1.1.1.30测评机构应制定完善的规章制度,包括但不限于以下内容:
a)保密管理制度
应根据国家有关保密规定制定保密管理制度,制度中应明确保密对象的范围、人员保密职责、测评过程保密管理各项措施与要求,以及违反保密制度的罚则等内容。
b)项目管理制度
测评机构应依据GB/T28449制定完备的、符合自身特点的测评项目管理程序,主要应包括测评工作的组织形式、工作职责,测评各阶段的工作内容和管理要求等。
c)设备管理制度
应包括机构人员在仪器设备管理中的相关职责、仪器设备的购置、使用和维护的各项规定等。
d)文档管理制度
应包括机构人员在文件档案管理中的相关职责、文件档案借阅、保管直至销毁的各项规定等。
e)人员管理制度
应包括人员录用、考核、日常管理以及离职等方面的内容和要求。
f)培训教育制度
应包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建立等内容和要求。
g)申诉、投诉及争议处理制度
应明确包括测评机构各岗位人员在申诉、投诉和争议处理活动中相应的职责,建立从受理、确认到处置、答复等环节的完整程序。
1.1.11测评实施能力
1.1.1.31人员能力
1.1.1.31.1测评机构从事等级测评工作的专业技术人员(以下简称测评人员)应具有把握国家政策,理解和掌握相关技术标准,熟悉等级测评的方法、流程和工作规范等方面的知识及能力,并有依据测评结果做出专业判断以及出具等级测评报告等任务的能力。
1.1.1.31.2测评人员应参加全国网络安全等级测评师培训、考试并取得等级测评师证书。
等级测评人员需持证上岗。
1.1.1.31.3等级测评师分为初级、中级和高级,具体能力要求见附录A。
1.1.1.31.4测评技术员、测评项目组长和技术主管岗位人员应分别取得初、中、高级等级测评师证书,测评师数量不少于30人。
1.1.1.31.5测评人员除具备等级测评师资格外,每年应参加信息技术(安全)专业领域的相关培训或持续教育活动,参加活动人员覆盖率不少于30%。
1.1.1.31.6测评机构应指定一名技术主管,全面负责等级测评方面的技术工作。
测评机构技术主管应具备大学本科(含)以上学历,应在近三年的信息安全专业刊物上发表两篇以上论文(或申请一项专利著作权),或主持一项地方(或行业)级科研课题项目。
1.1.1.32测评能力
1.1.1.32.1测评机构应持续保持安全测评项目的实施能力,每年开展等级测评的第三级(含)信息系统数量不少于三十个。
1.1.1.32.2测评机构应保证在其能力范围内从事测评工作,并有足够的资源来满足测评工作要求,具体体现在以下方面:
a)安全技术测评实施能力,包括物理安全测评、网络安全测评、主机安全测评、应用安全测评、数据安全及备份恢复测评等方面测评指导书的开发、使用、维护及获取相关结果的专业判断。
测评指导书应覆盖目前主流产品和相关技术;
b)安全管理测评实施能力,包括安全管理制度测评、安全管理机构测评、人员安全管理测评、系统建设管理测评、系统运维管理测评等方面测评指导书的开发、使用、维护及获取相关结果的专业判断;
c)安全测试与分析能力,指根据实际测评要求,开发与测试相关的工作指导书,借助专用测评设备和工具,实现漏洞发现与问题分析等方面的能力;
d)整体测评实施能力,指根据测评报告单元测评的结果记录部分、结果汇总部分和问题分析部分,从安全控制点间、层面间和区域间出发考虑,给出整体测评的具体结果的能力。
e)风险分析能力,指依据等级保护的相关规范和标准,建立一套统一的风险分析方法,科学合理地分析等级测评结果中存在的安全问题可能对被测评系统安全造成的影响的能力。
1.1.1.32.3测评机构应加强信息技术在测评实施中的应用,借助自动化手段,规范测评流程,优化资源配置,减少人为因素可能造成的差错,提高测评工作的效率。
1.1.1.32.4测评机构应建立完善的测评方法研发、维护和更新机制,持续提高自身测评技术能力。
1.1.1.32.5测评机构应结合已测评信息系统的行业特点和业务类型,分析普遍存在的安全问题,并提出针对性的整改建议。
1.1.1.32.6测评机构应依据测评工作流程,有计划、按步骤地开展测评工作,并保证测评活动的每个环节都得到有效的控制。
a)测评准备阶段,收集被测系统的相关资料信息,填写规范的系统调查表,全面掌握被测评系统的详细情况,为测评工作的开展打下基础;
b)方案编制阶段,正确合理地确定测评对象、测评指标及测评内容等,并依据现行有效的技术标准、规范开发测评方案、测评指导书、测评结果记录表格等。
测评方案应通过技术评审并有相关记录,测评指导书应进行版本有效性维护,且满足以下要求:
1)符合相关的等级测评标准;
2)提供足够详细的信息以确保测评数据获取过程的规范性和可操作性。
c)现场测评阶段,严格执行测评方案和测评指导书中的内容和要求,并依据操作规程熟练地使用测评设备和工具,规范、准确、完整的填写测评结果记录,获取足够证据,客观、真实、科学地反映出系统的安全保护状况,测评过程应予以监督并记录;
d)报告编制阶段,客观描述信息系统已采取的有效保护措施和存在的主要安全问题情况,指出信息系统安全保护现状与相应等级的保护要求之间的差距,分析差距可能导致被测评系统面临的风险,给出等级测评结论,形成测评报告,测评报告应依据公安部统一制订的信息系统安全等级测评报告模版的格式和内容要求编写,测评报告应通过评审并有相关记录。
1.1.12设施和设备安全与保障能力
1.1.1.33测评机构应具备必要的办公环境、设备、设施和管理系统,使用的技术装备、设施原则上应当符合以下条件:
a)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
b)产品的核心技术、关键部件具有我国自主知识产权;
c)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
d)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
e)对国家安全、社会秩序、公共利益不构成危害;
f)信息安全产品应获得公安部计算机信息安全产品销售许可证。
1.1.1.34测评机构应配备满足等级测评工作需要的测评设备和工具,如WEB安全检测工具、恶意行为检测工具、网络协议分析工具、源代码安全审计工具等,在测试过程中辅助分析并定位安全问题。
测评设备和工具应通过权威机构的检测并可提供检测报告。
1.1.1.35测评机构应具备符合相关要求的机房以及必要的软、硬件设备,应搭建由主流交换设备、安全设备、操作系统和数据库系统组成的基础环境,以满足信息系统仿真、技术培训和模拟测试的需要。
1.1.1.36测评机构应确保测评设备和工具运行状态良好,并通过校准或比对等手段保证其提供准确的测评数据。
1.1.1.37测评设备和工具均应有正确的标识。
1.1.1.38测评机构应建立专门的制度,对用于测评数据处理的计算机进行有效的运行维护,并保证计算机中数据记录的完整性、可控性。
1.1.13质量管理能力
1.1.1.39管理体系建设
1.1.1.39.1测评机构应建立、实施和维护符合等级测评工作需要的文件化的管理体系,并确保测评机构各级人员能够理解和执行。
1.1.1.
升级会员 