信息安全等级测评机构能力要求使用说明（试行）.doc

《信息安全等级测评机构能力要求使用说明（试行）.doc》由会员分享，可在线阅读，更多相关《信息安全等级测评机构能力要求使用说明（试行）.doc（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息平安等级保护测评体系建设与测评工作标准性文件信息平安等级测评机构能力要求使用说明试行200- 发布 200- 实施公安部信息平安等级保护评估中心目 录1范围32名词解释33根本条件34组织管理能力45测评实施能力66设施和设备平安与保障能力107质量管理能力128标准性保证能力139风险控制能力1610可持续性开展能力1711测评机构能力约束性要求18前 言公安部公布?关于推动信息平安等级保护测评体系建设和开展等级测评工作的通知?公信安2021303号，决定加快等级保护测评体系建设工作。信息平安等级测评机构的建设是测评体系建设的重要内容，为确保有效指导测评机构的能力建设，标准其测评活动，满

2、足信息平安等级保护工作要求，特制定本标准。?信息平安等级测评机构能力要求?以下简称?能力要求?是等级保护测评体系建设指导性文件之一。本标准吸取国际、国内测评与检查机构能力评定的相关内容，结合信息平安等级测评工作的特点，对测评机构的组织管理能力、测评实施能力、设施和设备平安与保障能力、质量管理能力、标准性保证能力、风险控制能力、可持续性开展能力等提出根本能力要求，为标准等级测评机构的建设和管理，及其能力评估工作的开展提供依据。信息平安等级测评机构能力要求使用说明1 范围本标准规定了测评机构的能力要求。本标准适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。2 名词解释2.1 等级测评等

3、级测评是指测评机构依据国家信息平安等级保护制度规定，按照有关管理标准和技术标准，对非涉及国家秘密信息系统平安等级保护状况进行检测评估的活动。2.2 等级测评机构 等级测评机构，是指具备测评机构根本条件，经能力评估和审核，由省级以上信息平安等级保护工作协调领导小组办公室推荐，从事等级测评工作的机构。3 根本条件依据?信息平安等级保护测评工作管理标准?试行，信息平安等级测评机构以下简称测评机构应当具备以下根本条件：a) 在中华人民共和国境内注册成立港澳台地区除外；b) 由中国公民投资、中国法人投资或者国家投资的企事业单位港澳台地区除外；具体要求参见c) 产权关系明晰，注册资金100万元以上；具体要

4、求参见8.2.2d) 从事信息系统检测评估相关工作两年以上，无违法记录；具体要求参见5.2.1e) 工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；具体要求参见f) 具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人；g) 具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合?信息平安等级保护管理方法?对信息平安产品的要求；具体要求参见6.1h) 具有完备的保密管理、工程管理、质量管理、人员管理和培训教育等平安管理制度；具体要求参见4.5i) 对国家平安、社会秩序、公共利益不构成威胁;j) 应当具备的其他条件。4 组织管理能力4.1 测评机构管理者应掌握等

5、级保护政策文件，熟悉相关的标准标准。说明：1.测评机构管理者等级保护相关的政策法规，如?中华人民共和国计算机信息系统平安保护条例?147号令、?信息平安等级保护工作的实施意见?66号文)、?信息平安等级保护管理方法?43号文、?信息平安等级保护测评工作管理标准?公信安2021303号等。2.应熟悉?定级指南?、?根本要求?、?测评要求?等技术标准。4.2 测评机构应按一定方式组织并设立相关部门，明确其职责、权限和相互关系，保证各项工作的有序开展。说明：1.机构应建立适应等级测评工作的组织形式，设置如测评部、管理部、市场部、质量管理部等部门。2.通过组织结构图及文字说明来描述其组织形式，包括外部

6、关系与内部关系两方面。4.3 测评机构应具有胜任等级测评工作的专业技术人员和管理人员，大学本科含以上学历所占比例不低于60%。其中测评技术人员不少于10人。说明：机构应保证技术和管理人员具备开展测评工作的根本素质，以及开展测评工作的根本人力资源投入。4.4 测评机构应设置满足等级测评工作需要的岗位，如测评技术员、测评工程组长、技术主管、质量主管、保密平安员和档案管理员等不管称谓如何，并配备足够的、相对稳定并具备相应能力的工作人员。说明：1.机构应以文件化的形式明确其岗位名称和职责。2.应保证行政管理人员如人力资源、财务等的数量，并满足岗位能力要求。4.5 测评机构应制定完善的规章制度，包括但不

7、限于以下内容：说明：1.各管理制度文档内容应覆盖相关要求。2.各管理制度应按标准的审批流程在机构内发布、实施。3.各管理制度应有配套的工作表单和执行记录。a) 保密管理制度测评机构应根据国家有关保密规定制定保密管理制度，制度中应明确保密对象的范围、人员保密职责、各项保密措施与要求，以及违反保密制度的罚那么等内容。b) 工程管理制度测评机构应依据?信息平安技术 信息系统平安等级保护测评过程指南?等技术标准制定符合自身特点的测评工程管理程序，主要应包括测评工作的组织形式、工作职责，测评各阶段的工作内容和管理要求等。c) 质量管理制度包含设备管理和文件档案管理等应以保证质量为前提对测评机构的设备、文

8、件档案等提出各项要求。设备管理制度应包括对于仪器设备的购置、使用和维护的质量管理要求。文件档案管理制度应包括机构人员在文件档案管理中的相关职责、文件档案借阅、保管直至销毁的各项规定等。d) 人员管理制度应包括人员录用、考核、日常管理以及离职等方面的内容和要求。e) 培训教育制度应包括培训方案的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建立等的内容和要求。f) 申诉、投诉及争议处理制度应明确包括测评机构各岗位人员在申、投诉和争议处理活动中相应的职责，建立从受理、确认到处置、答复等环节的完整程序。5 测评实施能力5.1 人员能力5.1.1 测评机构从事等级测评工作的专业技术人员以下简称

9、测评人员应具有把握国家政策，理解和掌握相关技术标准，熟悉等级测评的方法、流程和工作标准等方面的知识及能力，并有依据测评结果做出专业判断以及出具等级测评报告等任务的能力。5.1.2 测评人员应参加由公安部信息平安等级保护评估中心举办的专门培训、考试并取得中心颁发的?等级测评师证书?等级测评师分为初级、中级和高级。等级测评人员需持证上岗。说明：机构应按等级测评师培训工作的要求，派遣测评人员参加培训。培训不合格的，不得从事等级测评工作。5.1.3 初级、中级和高级等级测评师具体能力要求如下：a) 初级等级测评师l 了解信息平安等级保护的相关政策、标准；l 熟悉信息平安根底知识；l 熟悉信息平安产品分

10、类，了解其功能、特点和操作方法；l 掌握等级测评方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；l 掌握测评工具的操作方法，能够合理设计测试用例获取所需测试数据；l 能够按照报告编制要求整理测评数据。b) 中级等级测评师l 熟悉信息平安等级保护相关政策、法规；l 正确理解信息平安等级保护标准体系和主要标准内容，能够跟踪国内、国际信息平安相关标准的开展；l 掌握信息平安根底知识，熟悉信息平安测评方法，具有信息平安技术研究的根底和实践经验；l 具有较丰富的工程管理经验, 熟悉测评工程的工作流程和质量管理的方法，具有较强的组织协调和沟通能力；l 能够独立开发测评指导书，熟悉测评指导书的开

11、发、版本控制和评审流程；l 能够根据信息系统的特点，编制测评方案，确定测评对象、测评指标和测评方法；l 具有综合分析和判断的能力，能够依据测评报告模板要求编制测评报告，能够整体把握测评报告结论的客观性和准确性。具备较强的文字表达能力；l 了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题，提出合理化的整改建议。c) 高级等级测评师l 熟悉和跟踪国内、外信息平安的相关政策、法规及标准的开展；l 对信息平安等级保护标准体系及主要标准有较为深入的理解；l 具有信息平安理论研究的根底、实践经验和研究创新能力；l 具有丰富的质量体系管理和工程管理经验,具有较强的组织协调和管理能力；l 熟悉等级

12、保护工作的全过程，熟悉定级、等级测评、建设整改各个工作环节的要求。5.1.4 测评技术员、测评工程组长和技术主管岗位人员应分别取得初、中、高级等级测评师证书，其比例应满足等级测评工作需要。说明：1.机构应按照等级测评工作的需要设定初、中、高级等级测评师的人员比例。其中初级技术测评师与管理测评师比例不少于3：1。2.测评技术员包括平安呢技术测评和平安管理测评、测评工程组长或称工程负责人、工程经理等和技术主管或称技术总监、总工等岗位人员应分别获得初、中、高级等级测评师资格。5.1.5 测评机构应指定一名技术主管,全面负责等级测评方面的技术工作。说明：1.机构应以文件化的形式任命一名技术主管，并明确

13、其在等级测评技术方面的职责。2.该技术主管应在测评活动中相关环节履行其职责。5.2 测评能力5.2.1 测评机构应通过提供案例、过程记录等资料，证明其具有从事信息系统检测评估相关工作两年以上的工作经验。说明：机构应提供完整的等级测评工程归档文件，证明其从事等级测评工作的年限和行业经验。5.2.2 测评机构应保证在其能力范围内从事测评工作，并有足够的资源来满足测评工作要求，具体表达在以下方面：a) 平安技术测评实施能力，包括物理平安测评、网络平安测评、主机平安测评、应用平安测评、数据平安及备份恢复测评等方面测评指导书的开发、使用、维护及获取相关结果的专业判断；说明：1.机构应能在测评实施中根据物

14、理平安测评、网络平安测评、主机系统平安测评、应用平安和数据平安测评等方面的工作需求进行人员配置和工作分工，如成立主机测评、网络测评、应用测评等工作组，保证测评工作的专业化。2.平安技术测评指导书是机构从事等级测评的最重要的文件，指导书应内容完备，可支持等级测评的全部工作。3.测评指导书应严格依据等级测评技术标准，完全覆盖测评要点，步骤详尽、文字严谨，并保证测评结果判定标准的科学、可靠。b) 平安管理测评实施能力，包括平安管理制度测评、平安管理机构测评、人员平安管理测评、系统建设管理测评、系统运维管理测评等方面测评指导书的开发、使用、维护及获取相关结果的专业判断；说明：机构应能在测评实施中根据平

15、安管理测评的工作需求配备相应的人员，可设置管理测评工作组，保证测评工作的专业化。c) 平安测试与分析能力，指根据实际测评要求，开发与测试相关的工作指导书，借助专用测评设备和工具，实现主流协议分析、漏洞发现与验证等方面的能力；说明：1.机构应有从事信息系统的平安测试的专业人员、小组或部门，保证平安测试与分析工作的开展。2.应能根据测评工程的具体情况开发相应的测试工作指导书，测评设备和工具应有操作规程、手册。3.测试人员应能熟练使用测评设备和工具获取数据，并通过对数据结果的分析发现或验证信息系统存在的问题。d) 整体测评实施能力，指根据测评报告的单元测评的结果记录局部、结果汇总局部和问题分析局部，

16、从平安控制间、层面间和区域间出发考虑，给出整体测评的具体结果的能力。说明：测评人员在作出测评结论时，应具备测评结果汇总统计、问题分析、整体综合判断的能力。e) 风险分析能力，指依据等级保护的相关标准和标准，采用风险分析的方法分析等级测评结果中存在的平安问题可能对被测评系统平安造成的影响的能力；说明：测评人员应能采用风险分析的方法，分析信息系统等级测评结果中存在的平安问题可能被威胁利用的可能性和后果，综合判定给出信息系统面临的风险值。5.2.3 测评机构应依据测评工作流程，有方案、按步骤地开展测评工作，并保证测评活动的每个环节都得到有效的控制。说明：机构应建立完善的测评工程管理制度，划分测评各阶

17、段，明确各阶段的工作内容。a) 测评准备阶段，收集被测系统的相关资料信息，填写标准的系统调查表，全面掌握被测评系统的详细情况，为测评工作的开展打下根底；说明：对每个被测评信息系统，应有详细、准确的调查记录。调查记录的填写应标准严谨，通过信息收集和分析为正确选择测评对象提供依据。b) 方案编制阶段，正确合理地确定测评对象、测评指标及测评内容等，并依据现行有效的技术标准、标准开发测评方案、测评指导书、测评结果记录表格等。测评方案应通过技术评审并有相关记录，测评指导书应进行版本有效性维护，且满足以下要求：l 符合相关的等级测评标准；l 提供足够详细的信息以确保测评数据获取过程的标准性和可操作性。说明

18、：1.测评人员应能正确确实定测评对象、测评指标、测评内容、工具测试方案等。2.应通过评审、论证、验证等手段对测评方案进行技术确认，保证测评方法和实施方案的正确性和可行性。3.测评指导书应具备可操作性，指导书应进行版本维护。c) 现场测评阶段，严格执行测评方案和测评指导书中的内容和要求，并依据操作规程熟练地使用测评设备和工具，标准、准确、完整的填写测评结果记录，获取足够证据，客观、真实、科学地反映出系统的平安保护状况，测评过程应予以监督并记录；说明：测评人员应保证现场测评工作的标准，不得擅自简化测评步骤、编造修改测评数据和记录。测评过程应有必要的监督、见证措施。d) 报告编制阶段，找出整个信息系

19、统平安保护现状与相应等级的保护要求之间的差距，分析差距可能导致被测评系统面临的风险，给出等级测评结论，形成测评报告，测评报告应依据公安部统一制订的?信息系统平安等级测评报告模版试行?的格式和内容要求编写，测评报告应通过评审并有相关记录。说明：1.测评人员应严格按照?信息系统平安等级测评报告模版试行?编制测评报告。2.应通过评审、论证等手段对测评报告中的结果判断、问题分析、测评结论等内容的正确性进行确认。6 设施和设备平安与保障能力6.1 测评机构应具备必要的办公环境、设备、设施和管理系统，使用的技术装备、设施原那么上应当符合以下条件：a) 产品研制、生产单位是由中国公民、法人投资或者国家投资或

20、者控股的，在中华人民共和国境内具有独立的法人资格；b) 产品的核心技术、关键部件具有我国自主知识产权；c) 产品研制、生产单位及其主要业务、技术人员无犯罪记录； d) 产品研制、生产单位声明没有成心留有或者设置漏洞、后门、木马等程序和功能；e) 对国家平安、社会秩序、公共利益不构成危害。f) 信息平安产品应获得公安部计算机信息平安产品销售许可证。说明：机构应保证其所配备的防火墙、IDS等平安产品获得销售许可证。6.2 测评机构应配备满足等级测评工作需要的测评设备和工具，如漏洞扫描器、协议分析仪、渗透测试工具等。测评设备和工具应通过权威机构的检测并可提供检测报告见附录?信息平安等级测评设备和工具

21、指引?。说明：1.机构可参考?信息平安等级测评设备和工具指引?，并结合自身的工作要求配备测评设备和工具，以保证测评工作的开展。2.设备和工具应通过检测或比对、校准等手段证明其满足测评要求。6.3 测评机构应具备符合相关要求的机房以及必要的软、硬件设备，用于满足信息系统仿真、技术培训和模拟测试的需要。说明：机构应建设满足办公信息化运营和测评需要的计算机房，机房软硬件设备支持搭建仿真、模拟环境，满足测评验证和人员培训等工作的要求。6.4 测评机构应确保测评设备和工具运行状态良好，并通过校准或比对等手段保证其提供准确的测评数据。说明：1.机构应制定测评设备和工具的管理制度或程序，并通过日常维护保证设

22、备和工具始终处于良好的运行状态。2.机构应定期对测评设备和工具进行比对或校准，对于扫描器等网络测试设备，还可通过标准版本库的同步更新，保证设备和工具的准确有效。6.5 测评设备和工具均应有正确的标识。说明：机构测评设备和工具管理制度中应明确设备档案和标识管理的要求。对测评设备和工具应统一登记，统一标识，对于有故障的设备和工具应通过标识加以区分，并及时告知测评人员。7 质量管理能力7.1 管理体系建设7.1.1 测评机构应建立、实施和维护符合等级测评工作需要的文件化的管理体系，并确保测评机构各级人员能够理解和执行。说明：1.机构应建立一套完善的管理体系文件，该体系文件应能覆盖机构日常工作和测评活

23、动的各个方面。体系文件可以制度、手册、程序等形式发布执行，并应建立执行记录。2.管理体系文件应在内部通过宣贯、培训、座谈等形式帮助机构人员理解和执行。7.1.2 测评机构应当制定相应的质量目标，不断提升自身的测评质量和管理水平。说明：机构应将质量管理的思想、理念和追求，通过精练的文字为全体工作人员所熟记，并贯彻于日常质量活动当中。7.1.3 测评机构应指定一名质量主管，明确其质量保证的职责。质量主管不应受可能有损工作质量的影响或利益冲突，并有权直接与测评机构最高管理层沟通。说明：1.机构应任命一名质量主管，明确其职责，如负责质量管理体系的建立、运行和维护，处理投、申诉等。2.在职责中还应赋予其

24、有权直接向机构管理层报告质量管理中存在的问题的权力。7.2 管理体系维护7.2.1 测评机构应保证管理体系的有效运行，发现问题及时反应并采取纠正措施，确保其有效性。说明：机构应建立质量管理问题反应处理机制，发现日常管理和测评活动中的问题，及时纠正，并予以记录作为机构管理体系改良的输入。7.2.2 测评机构应当严格遵守申诉、投诉及争议处理制度，并应记录采取的措施。说明：建立申诉、投诉及争议处理机制的目的，是为了提高机构信誉和效劳质量、维护客户利益。在制度中应明确申诉、投诉及争议的受理、处理和答复等各个环节的职责和工作要求，并对处理过程予以记录。8 标准性保证能力8.1 公正性保证能力8.1.1

25、测评机构及其测评人员应当严格执行有关管理标准和技术标准，开展客观、公正、平安的测评效劳。说明：机构应制定保证其公正性、客观性、老实性的制度、程序或行为标准，并向客户和社会作出公正性声明或承诺，接受行为监督。8.1.2 测评机构的人员应不受可能影响其测评结果的来自于商业、财务和其他方面的压力。说明：机构应制定制度、程序或行为标准，也可通过声明或承诺保证其测评工作的独立性。8.2 可信与保密性保证能力8.2.1 测评机构的单位法人及主要工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录。说明：机构应保证其单位法人及主要工作人员身份的可信性，并可提供用于证明的机构注册资料和人员档案信息。8.2

26、.2 测评机构应通过提供单位性质、股权结构、出资情况、法人及股东身份等信息的文件材料，证明其机构合规、产权关系明晰，资金注册到达要求100万元。说明：1.机构应保证其资金投入足以完成根本运营和风险担保。2.机构应建立清晰的产权关系，防止可能发生的投机行为或利益关联等问题。8.2.3 测评机构应建立并保存工作人员的人员档案，包括人员根本信息、社会背景、工作经历、培训记录、专业资格、奖惩情况等，保障人员的稳定和可靠。说明：机构应建立完善的人员管理制度和人事档案信息库。8.2.4 测评机构使用的测试设备和工具应具备全面的功能列表，且不存在功能列表之外的隐蔽功能。说明：机构应防止由于不可信的测试设备和

27、工具接入信息系统而带来的风险，应使用经过权威检测的市场通用的商用设备和工具。8.2.5 测评机构应重视平安保密工作，指派平安保密工作的责任人。说明：机构应从管理层就高度重视保密工作，并任命机构保密责任人。8.2.6 测评机构应依据保密管理制度，定期对工作人员进行保密教育，测评机构和测评人员应当保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等。说明：1.机构应制度保密管理制度，明确保密范围、各岗位的保密职责和保密要求。2.应定期开展保密教育，并有相关的过程记录。8.2.7 测评机构应明确岗位保密要求，与全体人员签订?保密责任书?，规定其应当履行的平安保密义务和承当的法律责任，并负责

28、检查落实。说明：机构应与每个工作人员签订?保密责任书?。8.2.8 测评机构应采取技术和管理措施来确保等级测评相关信息的平安、保密和可控，这些信息包括但不限于：a) 被测评单位提供的资料；b) 等级测评活动生成的数据和记录；c) 依据上述信息做出的分析与专业判断。说明：机构应着重对被测单位的技术资料、测评数据、测评报告等信息进行保护。对上述信息资料应专门保管，对数据信息存储和借阅应严格控制。8.2.9 测评机构应借助有效的技术手段，确保等级测评相关信息的整个数据生命周期的平安和保密。说明：机构应借助技术手段，如数据加密存储、传输、处理方式，保证数据的平安。同时防止存储测评数据信息的计算机非法外

29、联、非受控移动存储设备接入、重要信息的互联网传输等问题的发生。8.3 测评方法与程序的标准性测评机构应保证与等级测评工作有关的所有工作程序、指导书、标准标准、工作表格、核查记录表等现行有效并便于测评人员获得。说明：1.机构测评工作相关的标准性文件，应有严格的审批发布手续。2.对于文件的修订，也应履行审批手续。3.测评标准性文件应按统一规那么进行标识，建立发放回收清单，使其始终处于受控并保持版本有效。8.4 测评记录的标准性a) 测评记录应当清晰标准，并获得被测评方的书面确认；说明：1.测评过程中的记录应按规定的格式填写，字迹要求清晰。2.数据结果应当现场记录，不得漏记、补记、追记。3.记录的更

30、正应有标准性要求。4。测评记录应获得被测评方确实认。b) 测评机构应具有平安保管记录的能力，所有的测评记录应保存三年以上。说明：为躲避可能的对于测评结果的质疑或未知的责任风险，要求机构应妥善保管测评相关记录一段期限。8.5 测评报告的标准性a) 测评机构应按照公安部统一制订的?信息系统平安等级测评报告模版试行?格式出具测评报告；参见5.2.3 d)b) 测评报告应包括所有测评结果、根据这些结果做出的专业判断以及理解和解释这些结果所需要的所有信息，以上信息均应正确、准确、清晰地表述；参见5.2.3 d)c) 测评报告由测评工程组长作为第一编制人，技术主管或质量主管负责审核，机构管理者或其授权人员

31、签发或批准；说明：机构应明确编制、审核和批准人的签字权限和签发流程。d) 能力评估合格的测评机构应依据?信息平安等级保护测评工作管理标准?第六条，对出具的等级测评报告统一加盖等级测评机构能力合格专用标识并登记归档。说明：1.机构依据等级测评技术标准开展测评活动，所出具的测评报告应加盖等级测评机构能力合格专用标识。2.等级测评报告有统一的登记记录。3.依据非等级测评技术标准测评出具的报告不得加盖专用标识。9 风险控制能力9.1 测评机构应充分估计测评可能给被测系统带来的风险，风险包括但不限于以下方面：a) 测评机构由于自身能力或资源缺乏造成的风险；b) 测试验证活动可能对被测系统正常运行造成影响

32、的风险；c) 测试设备和工具接入可能对被测系统正常运行造成影响的风险；d) 测评过程中可能发生的被测系统重要信息如网络拓扑、IP地址、业务流程、平安机制、平安隐患和有关文档等泄漏的风险等。说明：人员能力、设备使用、测评方法、流程各环节以及平安保密意识等任何一个方面出现问题，都有可能给被测系统带来隐患，机构应全面分析评估，并做好防范和控制工作，防止为自身带来额外风险。9.2 测评机构应通过多种措施对上述被测系统可能面临的风险加以躲避和控制。 说明：针对不同风险，采取不同的躲避和控制措施。包括合同评审、签署保密协议、风险告知确认、现场测评授权、系统备份、制定应急预案以及邀请全程监督等。10 可持续

33、性开展能力10.1 测评机构应根据自身情况制定战略规划，通过不断的投入保证测评机构的持续建设和开展。说明：机构应制定整体战略开展规划，从根底建设、人员与资金投入、技术能力提高等各方面提出开展目标、工作任务等。10.2 测评机构应定期对管理体系进行评审并持续改良，不断提高管理要求。设定中、远期目标如获得相应管理体系资质认可，通过目标的实现，逐步提升质量管理能力。说明：1.机构应始终保持管理体系运行的有效性，对日常工作、测评活动中的问题和建议及时总结，作为管理体系改良的依据，逐步提高管理水平。2.机构应建立质量管理体系方面的中、远期目标，如获得中国合格评定国家认可委员会的检查机构实验室认可，获得该

34、类认可标志着机构在管理体系建设方面已具备较高水平。10.3 测评机构应建立文件化的培训制度，以确保其工作人员在专业技术和管理方面持续满足等级测评工作的需要。说明：机构应建立完善的培训制度，通过外部培训、内容培训、岗位专题培训、讲座等多种形式，不断提高人员的能力，以满足等级测评工作的需要，培训范围应覆盖所有测评相关工作人员。10.4 测评机构应投入专门的力量来从事测评实践总结和测评技术研究工作，测评机构间应进行经验交流和技术研讨，保持与测评技术开展的同步性。说明：机构应设立专门的部门或工作组，负责跟踪先进技术、总结测评经验、开展专业课题研究等工作，并通过技术研讨会、论坛等形式开展技术交流，共同促进等级测评技术水平的提高。11 测评机构能力约束性要求测评机构不得从事以下活动：a) 影响被测评信息系统正常运行，危害被测评信息系统平安；b) 泄露知悉的被测评单位及被测信息系统的国家秘密和工作秘密；c) 成心隐瞒测评过程中发现的平安问题，或者在测评过程中弄虚作假，未如实出具等级测评报告；d) 未按规定格式出具等级测评报告；e) 非授权占有、使用等级测评相关资料及数据文件；f) 分包或转包等级测评工程；g) 信息平安产品专用测评设备和工具以外开发、销售和信息系统平安集成；h) 限定被测评单位购置、使用其指定的信息平安产品；i) 其他危害国家平安、社会秩序、公共利益以及被测单位利益的活动。