ICS35. 040 L 80 中 华 人 民 共 和 国 国 家 标 准 GB/T 36959—2018 信息安全技术 网络安全等级保护 测评机构能力要求和评估规范 I n f o rma t i ons e c u r i t e chno l o i l i t equ i r emen t sande va l ua t i on yt gy—Capab yr s c i f i c a t i onf o ra s s e s smen to r i z a t i ono fc l a s s i f i e dpr o t e c t i ono fc e r s e c u r i t pe gan yb y 2018 12 28 发布 2019 07 01 实施 国家市场监督管理总局 中国国家标准化管理委员会 发 布 GB/T 36959—2018 目 次 前言 ………………………………………………………………………………………………………… Ⅲ 引言 ………………………………………………………………………………………………………… Ⅳ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 测评机构能力要求 ……………………………………………………………………………………… 2 4. 1 测评机构的分级 …………………………………………………………………………………… 2 4. 2 等级测评人员的分级 ……………………………………………………………………………… 2 4. 3 Ⅰ 级测评机构能力要求 …………………………………………………………………………… 2 4. 4 Ⅱ 级测评机构能力要求 …………………………………………………………………………… 6 4. 5 Ⅲ 级测评机构能力要求 …………………………………………………………………………… 11 4. 6 测评机构行为规范性要求 ………………………………………………………………………… 16 5 测评机构能力评估 ……………………………………………………………………………………… 16 5. 1 评估流程 …………………………………………………………………………………………… 16 5. 2 初次评估 …………………………………………………………………………………………… 18 5. 3 期间评估 …………………………………………………………………………………………… 19 5. 4 能力复评 …………………………………………………………………………………………… 19 附录 A (规范性附录) 网络安全等级保护测评机构能力增强要求各级总结情况一览表 …………… 20 附录 B (规范性附录) 网络安全等级保护测评师能力要求 …………………………………………… 24 Ⅰ GB/T 36959—2018 前 言 本标准按照 GB/T1. 1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会( SAC/TC260)提出并归口。 本标准起草单位:公安部第三研究 所 (公 安 部 信 息 安 全 等 级 保 护 评 估 中 心)、公 安 部 网 络 安 全 保 卫 局、中关村信息安全测评联盟。 本标准主要 起 草 人:罗 峥、李 升、刘 静、王 宁、范 春 玲、马 俊、张 宇 翔、李 明、刘 香、江 雷、朱 建 平、 毕马宁、沙淼淼。 Ⅲ GB/T 36959—2018 引 言 《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全 等 级 保 护 制 度。等 级 保 护 制 度 推进工作的一个重要内容是对等级保护对象开展安全测评,通过测评掌握其安全状况,为整改建设和监 督管理提供依据。开展安全测评应选择符合规定条件和相应能力的测评机构,并规范化其测评活动,通 过专业化技术队伍建设,最终构建起网络安全等级保护测评体系。在此背景下,为确保有效指导测评机 构的能力建设,满足等级保护工作要求,特制定本标准。 网络安全等级保护测评机构能力要求参考国际、国内测评与检验 检 测 机 构 能 力 建 设 与 评 定 的 相 关 内容,结合网络安全等级保护测评工作的特点,对网络安全等级保护测 评 机 构 的 组 织 管 理 能 力、测 评 实 施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力等提出基本能力要求,为规范网络 安全等级保护测评机构的建设和管理及其能力评估工作提供依据。 网络安全等级保护测评机构能力评估规范部分结合网络安全等 级 保 护 测 评 工 作 的 特 点,从 委 托 受 理、评估准备、文件审核、现场评估、整改验收,到评估报告提交等整个评估过程提出了规范性要求。 Ⅳ GB/T 36959—2018 信息安全技术 网络安全等级保护 测评机构能力要求和评估规范 1 范围 本标准规定了网络安全等级保护测评机构的能力要求和评估规范。 本标准适用于拟成为或晋级为更高级网络安全等级保护测评机 构 的 能 力 建 设、运 营 管 理 和 资 格 评 定等活动。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引 用 文 件,仅 注 日 期 的 版 本 适 用 于 本 文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T28448 信息安全技术 GB/T28449 信息安全技术 信息系统安全等级保护测评要求 网络安全等级保护测评过程指南 3 术语和定义 3. 1 GB/T28448 界定的以及下列术语和定义适用于本文件。 c apab i l i t v a l ua t i on ye 依据标准和(或)其他规范性文件,对测评机构申请单位的能力进行评审、验证和评价的过程。 能力评估 3. 2 e v a l ua t i ono r an i z a t i on g 对申请成为测评机构的企事业单位进行能力评估的专业技术机构。 评估机构 3. 3 f i r s t t imee v a l ua t i on 评估机构依据本规范和相关文件,首次对测评机构能力进行核查、验证和评价的过程。 初次评估 3. 4 c on t i nuou se v a l ua t i on 为已经获得推荐证书的测评机构是否持续地符合能力要求而在证书有效期内安排的定期或不定期 期间评估 的评估、抽查等活动。 3. 5 c apab i l i t e v i ew yr 测评机构推荐证书有效期结束前,由评估机构对其实施全面评估以确认其是否持续符合能力要求, 能力复评 为延续到下一个推荐有效期提供依据的活动。 3. 6 e v a l ua t o r 由评估机构委派,对测评机构实施能力评估的人员。 评估员 1 GB/T 36959—2018 4 测评机构能力要求 4. 1 测评机构的分级 测评机构的级别代表了网络安全等级保护测评机构技术水平和业务服务能力的差异。测评机构按 能力要求分为三级,级别由低到高依次是 Ⅰ 级、Ⅱ 级和 Ⅲ 级,级差是通过 增 加 新 的 能 力 要 求 条 款 或 在 原 条款基础上提出增强要求来实现。各级能力增强要求的总结情况见附录 A 中表 A. 1。 4. 2 等级测评人员的分级 测评机构从事等级测评工作的人员按能力要求分为三级,级别由低到高依次是初级、中级、高级,具 体要求见附录 B。 4. 3 Ⅰ 级测评机构能力要求 4. 3. 1 基本条件 测评机构应当具备以下基本条件: a) 在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位; b) 产权关系明晰,注册资金 500 万元以上,独立经营核算,无违法违规记录; c) 从事网络安全服务两年以上,具备一定的网络安全检测评估能力; d) 法定代表人、主要负责人、测评人员仅限中华人民共和国境内的中国公民,且无犯罪记录; e) 具有网络安全相关工作经历的技术和管理人 员 不 少 于 15 人,专 职 渗 透 测 试 人 员 不 少 于 2 人, 岗位职责清晰,且人员相对稳定; f) 具有固定的办公场所,配备满足测评业务需要的检测评估工具、实验环境等; g) 具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度; h) 不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务(自用 除外); i) 应具备的其他条件。 4. 3. 2 组织管理能力 4. 3. 2. 1 测评机构管理者应掌握等级保护政策文件,熟悉相关的标准规范。 4. 3. 2. 2 测评机构应按一定方式组织并设立相关 部 门,明 确 其 职 责、权 限 和 相 互 关 系,保 证 各 项 工 作 的 有序开展。 4. 3. 2. 3 测评机构应具有胜任等级测评工作的专业技术人 员 和 管 理 人 员,大 学 本 科(含)以 上 学 历 所 占 比例不低于 70% 。 4. 3. 2. 4 测评机构应设置满足等级测评工作需要的岗位,如测评技术员、测评项目组长、技术主管、质量 主管、保密安全员、设备管理员和档案管理员等,岗位职责明确,人员稳定。 4. 3. 2. 5 测评机构应制定完善的规章制度,包括但不限于以下内容: a) 项目管理制度 测评机构应依据 GB/T28449 制定完备的、符合自身特点的测评项目管理程序,主要应包括测 评工作的组织形式、工作职责,测评各阶段的工作内容和管理要求等。 b) 设备管理制度 应包括机构人员在仪器设备(含测评设备和工具)管理中的相关职责、仪器设备的购置、使用和 运行维护的各项规定等。 c) 文档管理制度 2 GB/T 36959—2018 应包括机构人员在测评文档(含电子文档)管理中的相关职责、档案借阅、保管直至销毁的各项 规定等。 d) 人员管理制度 应包括人员录用、考核、日常管理以及离职等方面的内容和要求。 e) 培训教育制度 应包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建立等内容和 要求。 f) 申诉、投诉及争议处理制度 应明确包括测评机构各岗位人员在申诉、投诉 和 争 议 处 理 活 动 中 相 应 的 职 责,建 立 从 受 理、确 认到处置、答复等环节的