信息安全技术网络安全等级保护测评机构能力要求和评估规范(GB-T 36959-2018).docx

ICS35.040L 80中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术 网络安全等级保护测评机构能力要求和评估规范Information security technology - capability requirements and evaluation specification for assessment organization of classified cybersecurity protection点击此处添加与国际标准一致性程度的标识（本稿完成日期：2017年9月12日）XXXX - XX - XX发布XXXX - XX - XX实施GB/T XXXXXXXXX目次前言III引言IV1范围12规范性引用文件13术语和定义14测评机构能力要求24.1测评机构的分级24.2等级测评人员的分级24.3级测评机构能力要求24.3.1基本条件24.3.2组织管理能力34.3.3测评实施能力34.3.4设施和设备安全与保障能力44.3.5质量管理能力54.3.6规范性保证能力54.3.7风险控制能力64.3.8可持续性发展能力74.4级测评机构能力要求74.4.1基本条件74.4.2组织管理能力74.4.3测评实施能力84.4.4设施和设备安全与保障能力94.4.5质量管理能力104.4.6规范性保证能力104.4.7风险控制能力124.4.8可持续性发展能力124.5级测评机构能力要求124.5.1基本条件124.5.2组织管理能力134.5.3测评实施能力134.5.4设施和设备安全与保障能力154.5.5质量管理能力154.5.6规范性保证能力164.5.7风险控制能力174.5.8可持续性发展能力184.6测评机构行为规范性要求185测评机构能力评估规范185.1评估流程185.2初次评估205.2.1委托受理阶段205.2.2评估准备阶段205.2.3审核阶段205.2.4现场评估阶段205.2.5整改阶段215.2.6报告编制阶段215.3期间评估215.4能力复评21附录A（资料性附录）网络安全等级保护测评机构能力增强要求各级总结情况一览表22附录B（规范性附录）网络安全等级保护测评师能力要求27前言本标准按照本标准按照GB/T 1.1-2009标准化工作导则 第1部分：标准的结构和编写给出的规则起草。本标准由全国信息安全标准化技术委员会提出并归口（SAC/TC 260）。请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任本标准起草单位：公安部第三研究所、公安部网络安全保卫局、中关村信息安全测评联盟。本标准主要起草人：罗峥、李升、刘静、王宁、范春玲、马俊、张宇翔、李明、刘香、江雷、朱建平、毕马宁、沙淼淼。引言中华人民共和国网络安全法第二十一条规定，国家实行网络安全等级保护制度。等级保护制度推进工作的一个重要内容是对等级保护对象开展安全测评，通过测评掌握其安全状况，为整改建设和监督管理提供依据。开展安全测评应选择符合规定条件和相应能力的测评机构，并规范化其测评活动，通过专业化技术队伍建设，最终构建起网络安全等级保护测评体系。在此背景下，为确保有效指导测评机构的能力建设，满足等级保护工作要求，特制定本标准。网络安全等级保护测评机构能力要求参考国际、国内测评与检验检测机构能力建设与评定的相关内容，结合网络安全等级保护测评工作的特点，对网络安全等级保护测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力等提出基本能力要求，为规范网络安全等级保护测评机构的建设和管理，及其能力评估工作提供依据。网络安全等级保护测评机构能力评估规范部分结合网络安全等级保护测评工作的特点，从委托受理、评估准备、文件审核、现场评估、整改验收，到评估报告提交等整个评估过程提出了规范性要求。27信息安全技术 网络安全等级保护测评机构能力要求和评估规范1 范围本标准规定了网络安全等级保护测评机构的能力要求、评估规范。适用于拟成为或晋级为更高级网络安全等级保护测评机构的能力建设、运营管理和资格评定等活动。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 28449 信息安全技术 信息系统安全等级保护测评过程指南3 术语和定义GB/T 28448界定的以及下列术语和定义适用于本文件。3.1能力评估 Capability Evaluation依据标准和（或）其他规范性文件，对测评机构申请单位的能力进行评审、验证和评价的过程。3.2评估机构 Evaluation Organization对申请成为测评机构的企事业单位进行能力评估的专业技术机构。3.3初次评估 First-time Evaluation评估机构依据本规范和相关文件，首次对测评机构能力进行核查、验证和评价的过程。3.4期间评估 Continuous Evaluation为已经获得推荐证书的测评机构是否持续地符合能力要求而在证书有效期内安排的定期或不定期的评估、抽查等活动。3.5能力复评 Capability Review测评机构推荐证书有效期结束前，由评估机构对其实施全面评估以确认其是否持续符合能力要求，为延续到下一个推荐有效期提供依据的活动。3.6评估员 Evaluator由评估机构委派，对测评机构实施能力评估的人员。4 测评机构能力要求4.1 测评机构的分级测评机构的级别代表了网络安全等级保护测评机构技术水平和业务服务能力的差异。测评机构按能力要求分为三级，级别由低到高依次是级、级和级，级差是通过增加新的能力要求条款或在原条款基础上提出增强要求来实现。各级能力增强要求的总结情况见附录A中表A.1。4.2 等级测评人员的分级测评机构从事等级测评工作的人员按能力要求分为三级，级别由低到高依次是初、中、高级，具体要求参见附录B。4.3 级测评机构能力要求4.3.1 基本条件测评机构应当具备以下基本条件：a) 在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位;b) 产权关系明晰，注册资金500万元以上，独立经营核算，无违法违规记录；c) 从事网络安全服务两年以上，具备一定的网络安全检测评估能力；d) 法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录；e) 具有网络安全相关工作经历的技术和管理人员不少于15人，专职渗透测试人员不少于2人，岗位职责清晰，且人员相对稳定； f) 具有固定的办公场所，配备满足测评业务需要的检测评估工具、实验环境等；g) 具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度；h) 不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务（自用除外）；i) 应具备的其他条件。4.3.2 组织管理能力4.3.2.1 测评机构管理者应掌握等级保护政策文件，熟悉相关的标准规范。4.3.2.2 测评机构应按一定方式组织并设立相关部门，明确其职责、权限和相互关系，保证各项工作的有序开展。4.3.2.3 测评机构应具有胜任等级测评工作的专业技术人员和管理人员，大学本科（含）以上学历所占比例不低于70%。4.3.2.4 测评机构应设置满足等级测评工作需要的岗位，如测评技术员、测评项目组长、技术主管、质量主管、保密安全员、设备管理员和档案管理员等，岗位职责明确，人员稳定。4.3.2.5 测评机构应制定完善的规章制度，包括但不限于以下内容：a) 项目管理制度测评机构应依据GB/T 28449制定完备的、符合自身特点的测评项目管理程序，主要应包括测评工作的组织形式、工作职责，测评各阶段的工作内容和管理要求等。b) 设备管理制度应包括机构人员在仪器设备（含测评设备和工具）管理中的相关职责、仪器设备的购置、使用和运行维护的各项规定等。c) 文档管理制度应包括机构人员在测评文档（含电子文档）管理中的相关职责、档案借阅、保管直至销毁的各项规定等。d) 人员管理制度应包括人员录用、考核、日常管理以及离职等方面的内容和要求。e) 培训教育制度应包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建立等内容和要求。f) 申诉、投诉及争议处理制度应明确包括测评机构各岗位人员在申诉、投诉和争议处理活动中相应的职责，建立从受理、确认到处置、答复等环节的完整程序。4.3.3 测评实施能力4.3.3.1 人员能力4.3.3.1.1 测评机构从事等级测评工作的专业技术人员（以下简称测评人员）应具有把握国家政策，理解和掌握相关技术标准，熟悉等级测评的方法、流程和工作规范等方面的知识及能力，并有依据测评结果做出专业判断以及出具等级测评报告等任务的能力。4.3.3.1.2 测评人员应参加由指定评估机构举办的专门培训、考试并取得等级测评师证书。等级测评人员需持证上岗。4.3.3.1.3 测评技术员、测评项目组长和技术主管岗位人员应分别取得初、中、高级等级测评师证书，测评师数量不应少于15人。4.3.3.1.4 测评人员除具备等级测评师资格外，每年应参加多种形式的测评业务和技术培训，测评师每年培训时长累计不少于40学时。4.3.3.1.5 测评机构应指定一名技术主管,全面负责等级测评方面的技术工作。4.3.3.2 测评能力4.3.3.2.1 测评机构应通过提供案例、过程记录等资料，证明其具有从事网络安全相关工作两年以上的工作经验。4.3.3.2.2 测评机构应保证在其能力范围内从事测评工作，并有足够的资源来满足测评工作要求，具体体现在以下方面：a) 安全技术测评实施能力，包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面测评指导书的开发、使用、维护及获取相关结果的专业判断；b) 安全管理测评实施能力，包括安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理等方面测评指导书的开发、使用、维护及获取相关结果的专业判断；c) 安全测试与分析能力，指根据实际测评要求，开发与测试相关的工作指导书，借助专用测评设备和工具，实现漏洞发现与问题分析等方面的能力；d) 整体测评实施能力，指根据测评报告单元测评的结果记录部分、结果汇总部分和问题分析部分，从安全控制点间、层面间和区域间出发考虑，给出整体测评具体结果的能力；e) 风险分析能力，指依据等级保护的相关规范和标准，采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测评系统安全造成的影响的能力。4.3.3.2.3 测评机构应依据测评工作流程，有计划、按步骤地开展测评工作，并保证测评活动的每个环节都得到有效的控制，具体要求如下：a) 测评准备阶段，收集被测系统的相关资料信息，填写规范的系统调查表，全面掌握被测评系统的详细情况，为测评工作的开展打下基础；b) 方案编制阶段，正确合理地确定测评对象、测评指标及测评内容等，并依据现行有效的技术标准、规范开发测评方案、测评指导书、测评结果记录表格等。测评方案应通过技术评审并有相关记录，测评指导书应进行版本有效性维护，且满足以下要求：1) 符合相关的等级测评标准；2) 提供足够详细的信息以确保测评数据获取过程的规范性和可操作性。c) 现场测评阶段，严格执行测评方案和测评指导书中的内容和要求，并依据操作规程熟练地使用测评设备和工具，规范、准确、完整的填写测评结果记录，获取足够证据，客观、真实、科学地反映出系统的安全保护状况，测评过程应予以监督并记录；d) 报告编制阶段，客观描述等级保护对象已采取的有效保护措施和存在的主要安全问题情况，指出等级保护对象安全保护现状与相应等级的保护要求之间的差距，分析差距可能导致被测评系统面临的风险，给出等级测评结论，形成测评报告，测评报告应依据公安部统一制订的网络安全等级保护测评报告模版的格式和内容要求编写，测评报告应通过评审并有相关记录。4.3.4 设施和设备安全与保障能力4.3.4.1 测评机构应具备必要的办公环境、设备、设施和管理系统，使用的技术装备、设施原则上应当符合以下条件：a) 产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；b) 产品的核心技术、关键部件具有我国自主知识产权；c) 产品研制、生产单位及其主要业务、技术人员无犯罪记录；d) 产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；e) 对国家安全、社会秩序、公共利益不构成危害；f) 应配备经安全认证合格或者安全检测符合要求的网络关键设备和网络安全专用产品。4.3.4.2 测评机构应配备满足等级测评工作需要的测评设备和工具，如WEB安全检测工具、恶意行为检测工具等，在测试过程中辅助发现安全问题。测评设备和工具应通过权威机构的检测并可提供检测报告。4.3.4.3 测评机构应具备符合相关要求的机房以及必要的软、硬件设备，用于满足网络安全仿真、技术培训和模拟测试的需要。4.3.4.4 测评机构应确保测评设备和工具运行状态良好，并通过持续更新、升级等手段保证其提供准确的测评数据。4.3.4.5 测评设备和工具均应有正确的标识。4.3.5 质量管理能力4.3.5.1 管理体系建设4.3.5.1.1 测评机构应建立、实施和维护符合等级测评工作需要的文件化的管理体系，并确保测评机构各级人员能够理解和执行。4.3.5.1.2 测评机构应当制定相应的质量目标，不断提升自身的测评质量和管理水平。4.3.5.1.3 测评机构应指定一名质量主管，明确其质量保证的职责。质量主管不应受可能有损工作质量的影响或利益冲突，并有权直接与测评机构最高管理层沟通。4.3.5.2 管理体系维护4.3.5.2.1 测评机构应保证管理体系的有效运行，发现问题及时反馈并采取纠正措施，确保其有效性。4.3.5.2.2 测评机构应当严格遵守申诉、投诉及争议处理制度，并应记录采取的措施。4.3.6 规范性保证能力4.3.6.1 公正性保证能力4.3.6.1.1 测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。4.3.6.1.2 测评机构的人员应不受可能影响其测评结果的来自于商业、财务和其他方面的压力。4.3.6.2 可靠与保密性保证能力4.3.6.2.1 测评机构的单位法人及主要工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录。4.3.6.2.2 测评机构应通过提供单位性质、股权结构、出资情况、法人及股东身份等信息的文件材料，证明其机构合规、产权关系明晰，资金注册达到要求（100万元）。4.3.6.2.3 测评机构应建立并保存工作人员的人员档案，包括人员基本信息、社会背景、工作经历、培训记录、专业资格、奖惩情况等，保障人员的稳定和可靠。4.3.6.2.4 测评机构使用的测试设备和工具应具备全面的功能列表，且不存在功能列表之外的隐蔽功能。4.3.6.2.5 测评机构应重视安全保密工作，指派安全保密工作的责任人。4.3.6.2.6 测评机构应依据保密管理制度，定期对工作人员进行保密教育，测评机构和测评人员应当保守在测评活动中知悉的国家秘密、工作秘密、商业秘密、个人隐私等。4.3.6.2.7 测评机构应明确岗位保密要求，与全体人员签订保密责任书，规定其应当履行的安全保密义务和承担的法律责任，并负责检查落实。4.3.6.2.8 测评机构应采取技术和管理措施来确保等级测评相关信息的安全、保密和可控，这些信息包括但不限于：a) 被测评单位提供的资料；b) 等级测评活动生成的数据和记录；c) 依据上述信息做出的分析与专业判断。4.3.6.2.9 测评机构应借助有效的技术手段，确保等级测评相关信息的整个数据生命周期的安全和保密。4.3.6.3 测评方法与程序的规范性测评机构应保证与等级测评工作有关的所有工作程序、指导书、标准规范、工作表格、核查记录表等现行有效并便于测评人员获得。4.3.6.4 测评记录的规范性测评机构应保证测评记录内容和管理的规范性：a) 测评记录应当清晰规范，并获得被测评方的书面确认；b) 测评机构应具有安全保管记录的能力，所有的测评记录应保存三年以上。4.3.6.5 测评报告的规范性测评机构应保证测评报告内容和出具过程管理的规范性：a) 测评机构应按照公安部统一制订的网络安全等级保护测评报告模版格式出具测评报告；b) 测评报告应包括所有测评结果、根据这些结果做出的专业判断以及理解和解释这些结果所需要的所有信息，以上信息均应正确、准确、清晰地表述；c) 测评报告由测评项目组长作为第一编制人，技术主管（或质量主管）负责审核，机构管理者或其授权人员签发或批准；d) 能力评估合格的测评机构应对出具的等级测评报告统一加盖测评机构能力合格专用标识并登记归档。4.3.7 风险控制能力4.3.7.1 测评机构应充分估计测评可能给被测系统带来的风险，风险包括但不限于以下方面：a) 测评机构由于自身能力或资源不足造成的风险；b) 测试验证活动可能对被测系统正常运行造成影响的风险；c) 测试设备和工具接入可能对被测系统正常运行造成影响的风险；d) 测评过程中可能发生的被测系统重要信息（如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档等）泄漏的风险等。4.3.7.2 测评机构应通过多种措施对上述被测系统可能面临的风险加以规避和控制。4.3.8 可持续性发展能力4.3.8.1 测评机构应根据自身情况制定战略规划，通过不断的投入保证测评机构的持续建设和发展。4.3.8.2 测评机构应定期对管理体系进行评审并持续改进，不断提高管理要求。设定中、远期目标，通过目标的实现，逐步提升质量管理能力。4.3.8.3 测评机构应根据培训制度做好培训工作，并保存培训和考核记录。4.3.8.4 测评机构应投入专门的力量从事测评实践总结和测评技术研究工作，测评机构间应进行经验交流和技术研讨，保持与测评技术发展的同步性。4.4 级测评机构能力要求4.4.1 基本条件测评机构应当具备以下基本条件：a) 在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位;b) 产权关系明晰，注册资金1000万元以上，独立经营核算，无违法违规记录；c) 从事网络安全服务两年以上，具备一定的网络安全检测评估能力；d) 法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录；e) 具有网络安全相关工作经历的技术和管理人员不少于30人，专职渗透测试人员不少于3人，岗位职责清晰，且人员相对稳定； f) 具有固定的办公场所，配备满足测评业务需要的检测评估工具、实验环境等；g) 具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度；h) 不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务（自用除外）；i) 应具备的其他条件。4.4.2 组织管理能力4.4.2.1 测评机构管理者应掌握等级保护政策文件，熟悉相关的标准规范。4.4.2.2 测评机构应明确设立开展等级测评业务的部门，确保测评活动的独立性。4.4.2.3 测评机构应具有胜任等级测评工作的专业技术人员和管理人员，大学本科（含）以上学历所占比例不低于80%。4.4.2.4 测评机构应设置满足等级测评工作需要的岗位，如测评技术员、测评项目组长、技术主管、质量主管、保密安全员、设备管理员和档案管理员等，岗位职责明确，人员稳定，其中技术主管、质量主管应为专职人员，不得兼任。4.4.2.5 测评机构应制定完善的规章制度，包括但不限于以下内容：a) 保密管理制度应根据国家有关保密规定制定保密管理制度，制度中应明确保密对象的范围、人员保密职责、测评过程保密管理各项措施与要求，以及违反保密制度的罚则等内容。b) 项目管理制度测评机构应依据GB/T 28449制定完备的、符合自身特点的测评项目管理程序，主要应包括测评工作的组织形式、工作职责，测评各阶段的工作内容和管理要求等。c) 设备管理制度应包括机构人员在仪器设备管理中的相关职责、仪器设备的购置、使用和维护的各项规定等。d) 文档管理制度应包括机构人员在文件档案管理中的相关职责、文件档案借阅、保管直至销毁的各项规定等。e) 人员管理制度应包括人员录用、考核、日常管理以及离职等方面的内容和要求。f) 培训教育制度应包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建立等内容和要求。g) 申诉、投诉及争议处理制度应明确包括测评机构各岗位人员在申诉、投诉和争议处理活动中相应的职责，建立从受理、确认到处置、答复等环节的完整程序。4.4.3 测评实施能力4.4.3.1 人员能力4.4.3.1.1 测评机构从事等级测评工作的专业技术人员（以下简称测评人员）应具有把握国家政策，理解和掌握相关技术标准，熟悉等级测评的方法、流程和工作规范等方面的知识及能力，并有依据测评结果做出专业判断以及出具等级测评报告等任务的能力。4.4.3.1.2 测评人员应参加由指定评估机构举办的专门培训、考试并取得等级测评师证书。等级测评人员需持证上岗。4.4.3.1.3 测评技术员、测评项目组长和技术主管岗位人员应分别取得初、中、高级等级测评师证书，测评师数量不应少于30人。4.4.3.1.4 测评人员除具备等级测评师资格外，每年应参加多种形式的测评业务和技术培训，测评师每年培训时长累计不少于40学时。4.4.3.1.5 测评机构应指定一名技术主管,全面负责等级测评方面的技术工作。测评机构技术主管应具备大学本科（含）以上学历，应在近三年的信息安全专业刊物上发表两篇及以上论文（或申请一项专利著作权），或主持一项地方（或行业）级科研课题项目。4.4.3.2 测评能力4.4.3.2.1 测评机构应具备每年开展等级测评的第三级（含）等级保护对象数量不应少于30个的实施能力。4.4.3.2.2 测评机构应保证在其能力范围内从事测评工作，并有足够的资源来满足测评工作要求，具体体现在以下方面：a) 安全技术测评实施能力，包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面测评指导书的开发、使用、维护及获取相关结果的专业判断。测评指导书应覆盖目前主流产品和相关技术； b) 安全管理测评实施能力，包括安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理等方面测评指导书的开发、使用、维护及获取相关结果的专业判断；c) 安全测试与分析能力，指根据实际测评要求，开发与测试相关的工作指导书，借助专用测评设备和工具，实现漏洞发现与问题分析等方面的能力，并具备密码分析测评能力；d) 整体测评实施能力，指根据测评报告单元测评的结果记录部分、结果汇总部分和问题分析部分，从安全控制点间、层面间和区域间出发考虑，给出整体测评的具体结果的能力；e) 风险分析能力，指依据等级保护的相关规范和标准，建立一套统一的风险分析方法，科学合理地分析等级测评结果中存在的安全问题可能对被测评系统安全造成的影响的能力。4.4.3.2.3 测评机构应加强信息技术在测评实施中的应用，借助自动化手段，规范测评流程，优化资源配置，减少人为因素可能造成的差错，提高测评工作的效率。4.4.3.2.4 测评机构应建立完善的测评方法研发、维护和更新机制，持续提高自身测评技术能力。4.4.3.2.5 测评机构应结合被测系统的行业特点和业务类型，分析普遍存在的安全问题，并提出针对性的整改建议。4.4.3.2.6 测评机构应依据测评工作流程，有计划、按步骤地开展测评工作，并保证测评活动的每个环节都得到有效的控制，具体要求如下：a) 测评准备阶段，收集被测系统的相关资料信息，填写规范的系统调查表，全面掌握被测评系统的详细情况，为测评工作的开展打下基础；b) 方案编制阶段，正确合理地确定测评对象、测评指标及测评内容等，并依据现行有效的技术标准、规范开发测评方案、测评指导书、测评结果记录表格等。测评方案应通过技术评审并有相关记录，测评指导书应进行版本有效性维护，且满足以下要求：1) 符合相关的等级测评标准；2) 提供足够详细的信息以确保测评数据获取过程的规范性和可操作性。c) 现场测评阶段，严格执行测评方案和测评指导书中的内容和要求，并依据操作规程熟练地使用测评设备和工具，规范、准确、完整的填写测评结果记录，获取足够证据，客观、真实、科学地反映出系统的安全保护状况，测评过程应予以监督并记录；d) 报告编制阶段，客观描述等级保护对象已采取的有效保护措施和存在的主要安全问题情况，指出等级保护对象安全保护现状与相应等级的保护要求之间的差距，分析差距可能导致被测评系统面临的风险，给出等级测评结论，形成测评报告，测评报告应依据公安部统一制订的网络安全等级保护测评报告模版的格式和内容要求编写，测评报告应通过评审并有相关记录。4.4.4 设施和设备安全与保障能力4.4.4.1 测评机构应具备必要的办公环境、设备、设施和管理系统，使用的技术装备、设施原则上应当符合以下条件：a) 产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；b) 产品的核心技术、关键部件具有我国自主知识产权；c) 产品研制、生产单位及其主要业务、技术人员无犯罪记录； d) 产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；e) 对国家安全、社会秩序、公共利益不构成危害；f) 应配备经安全认证合格或者安全检测符合要求的网络关键设备和网络安全专用产品。4.4.4.2 测评机构应配备满足等级测评工作需要的测评设备和工具，如WEB安全检测工具、恶意行为检测工具、网络协议分析工具、源代码安全审计工具等，在测试过程中辅助分析并定位安全问题。测评设备和工具应通过权威机构的检测并可提供检测报告。4.4.4.3 测评机构应具备符合相关要求的机房以及必要的软、硬件设备，应搭建由主流网络设备、安全设备、操作系统和数据库系统组成的基础环境，以满足网络仿真、技术培训和模拟测试的需要。4.4.4.4 测评机构应确保测评设备和工具运行状态良好，并通过持续更新、升级等手段保证其提供准确的测评数据。4.4.4.5 测评设备和工具均应有正确的标识。4.4.4.6 测评机构应建立专门的制度，对用于测评数据处理的计算机进行有效的运行维护，并保证计算机中数据记录的完整性、可控性。4.4.5 质量管理能力4.4.5.1 管理体系建设4.4.5.1.1 测评机构应建立、实施和维护符合等级测评工作需要的文件化的管理体系，并确保测评机构各级人员能够理解和执行。4.4.5.1.2 测评机构应当制定相应的质量目标，不断提升自身的测评质量和管理水平。4.4.5.1.3 测评机构应指定一名质量主管，明确其质量保证的职责。质量主管不应受可能有损工作质量的影响，并有权直接与测评机构最高管理层沟通。4.4.5.2 管理体系维护4.4.5.2.1 测评机构应保证管理体系的有效运行，发现问题及时反馈并采取纠正措施，确保其有效性。4.4.5.2.2 测评机构应当严格遵守申诉、投诉及争议处理制度，并应记录采取的措施。4.4.5.2.3 测评机构应建立并实施内部管理审核机制，以验证管理体系的符合性及有效性，执行审核的人员应独立于被审核部门。4.4.5.3 质量监督能力测评机构应指定监督员对测评活动实施质量监督。监督员应具备丰富的安全测评经验、精通安全测评技术、并能对测评结果做出权威判断。4.4.6 规范性保证能力4.4.6.1 公正性保证能力4.4.6.1.1 测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。4.4.6.1.2 测评机构的人员应不受可能影响其测评结果的来自于商业、财务和其他方面的压力。4.4.6.1.3 测评机构应以公开方式，向社会公布其开展网络安全等级保护测评工作所依据的政策法规、标准和规范。4.4.6.2 可靠与保密性保证能力4.4.6.2.1 测评机构的单位法人及主要工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录。4.4.6.2.2 测评机构应通过提供单位性质、股权结构、出资情况、法人及股东身份等信息的文件材料，证明其机构合规、产权关系明晰，资金注册达到要求。4.4.6.2.3 测评机构应建立并保存工作人员的人员档案，包括人员基本信息、社会背景、工作经历、培训记录、专业资格、奖惩情况等，保障人员的稳定和可靠。4.4.6.2.4 测评机构使用的测试设备和工具应具备全面的功能列表，且不存在功能列表之外的隐蔽功能。4.4.6.2.5 测评机构应重视安全保密工作，指派安全保密工作的责任人。4.4.6.2.6 测评机构应依据保密管理制度，定期对工作人员进行保密教育，测评机构和测评人员应当保守在测评活动中知悉的国家秘密、工作秘密、商业秘密、个人隐私等。4.4.6.2.7 测评机构应明确岗位保密要求，与全体人员签订保密责任书，规定其应当履行的安全保密义务和承担的法律责任，并负责检查落实。4.4.6.2.8 测评机构应采取技术和管理措施来确保等级测评相关信息的安全、保密和可控，这些信息包括但不限于：a) 被测评单位提供的资料；b) 等级测评活动生成的数据和记录；c) 依据上述信息做出的分析与专业判断。4.4.6.2.9 测评机构应借助有效的技术手段，确保等级测评相关信息的整个数据生命周期的安全和保密。4.4.6.2.10 测评机构应建立专门的文档存储场所和数据加密环境，严格管理测评相关数据信息。4.4.6.3 测评方法与程序的规范性保证能力4.4.6.3.1 测评机构应制定程序，保证与等级测评工作相关的所有工作程序、指导书、标准规范、工作表格、核查记录表等现行有效并便于测评人员获得。4.4.6.3.2 上述文件的发布实施应履行统一的审批程序，文件的变更和修订应有授权并及时进行版本维护。4.4.6.4 测评记录的规范性测评机构应保证测评记录内容和管理的规范性：a) 测评记录应当清晰规范，并获得被测评方的书面确认。b) 应对所有通过计算机记录或生成的数据的转移、复制和传送进行核查，以确保其准确性和完整性。c) 测评机构应具有安全保管记录的能力，所有的测评记录应保存三年以上。4.4.6.5 测评报告的规范性测评机构应保证测评报告内容和出具过程管理的规范性：a) 测评机构应按照公安部统一制订的网络安全等级保护测评报告模版格式出具测评报告。b) 测评报告应包括所有测评结果、根据这些结果做出的专业判断以及理解和解释这些结果所需要的所有信息，以上信息均应正确、准确、清晰地表述。c) 测评报告由测评项目组长作为第一编制人，技术主管（或质量主管）负责审核，机构管理者或其授权人员签发或批准。d) 能力评估合格的测评机构应对出具的等级测评报告统一加盖测评机构能力合格专用标识并登记归档。4.4.6.6 安全管理能力测评机构应重视自身的安全，通过部署安全措施提高安全管理能力。4.4.7 风险控制能力4.4.7.1 测评机构应充分估计测评可能给被测系统带来的风险，风险包括但不限于以下方面：a) 测评机构由于自身能力或资源不足造成的风险；b) 测试验证活动可能对被测系统正常运行造成影响的风险；c) 测试设备和工具接入可能对被测系统正常运行造成影响的风险；d) 测评过程中可能发生的被测系统重要信息（如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档等）泄漏的风险等。4.4.7.2 测评机构应通过多种措施对上述被测系统可能面临的风险加以规避和控制。4.4.8 可持续性发展能力4.4.8.1 测评机构应根据自身情况制定战略规划，通过不断的投入保证测评机构的持续建设和发展。4.4.8.2 测评机构应定期对管理体系进行评审并持续改进，不断提高管理要求。设定中、远期目标（如获得相应管理体系资质认可），通过目标的实现，逐步提升质量管理能力。4.4.8.3 测评机构应实施完善的培训制度，以确保其人员在专业技术和管理方面持续满足等级测评工作的需要。除常规培训外，应根据人员的工作岗位需求，制定详细和有针对性的培训计划，并进行岗位培训、考核和评定。4.4.8.4 测评机构应投入专门的力量从事测评实践总结和测评技术研究工作，测评机构间应进行经验交流和技术研讨，保持与测评技术发展的同步性。4.5 级测评机构能力要求4.5.1 基本条件网络安全等级保护测评机构（以下简称测评机构）应当具备以下基本条件：a) 在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位;b) 产权关系明晰，注册资金1000万元以上，独立经营核算，无违法违规记录；c) 从事网络安全服务两年以上，具备一定的网络安全检测评估能力；d) 法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录；e) 具有网络安全相关工作经历的技术和管理人员不少于50人，专职渗透测试人员不少于5人，岗位职责清晰，且人员相对稳定； f) 具有固定的办公场所，配备满足测评业务需要的检测评估工具、实验环境等；g) 具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度；h) 不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务（自用除外）；i) 应具备的其他条件。4.5.2 组织管理能力4.5.2.1 测评机构管理者应掌握等级保护政策文件，熟悉相关的标准规范。4.5.2.2 测评机构应明确设立开展等级测评业务的部门，确保测评活动的独立性。4.5.2.3 测评机构应具有胜任等级测评工作的专业技术人员和管理人员，大学本科（含）以上学历所占比例不低于90%。4.5.2.4 测评机构应设置满足等级测评工作需要的岗位，如测评技术员、测评项目组长、技术主管、质量主管、保密安全员、设备管理员和档案管