信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)與測(cè)評(píng)工作規(guī)范性文件.

1、信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)與測(cè)評(píng)工作規(guī)范性文件信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求使用說明（試行）200 X XX XX 實(shí)施200 X xx- XX 發(fā)布公安部信息安全等級(jí)保護(hù)評(píng)估中心信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求使用說明27范圍.名詞解釋.基本條件.組織管理能力.測(cè)評(píng)實(shí)施能力.設(shè)施和設(shè)備安全與保障能力質(zhì)量管理能力.規(guī)范性保證能力.風(fēng)險(xiǎn)控制能力.10 可持續(xù)性發(fā)展能力11測(cè)評(píng)機(jī)構(gòu)能力約束性要求121415202021公安部頒布關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開展等級(jí)測(cè)評(píng)工作的通知信安2010303號(hào)），決定加快等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)工作。信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)的建設(shè)是測(cè)評(píng)體系建設(shè)的重要內(nèi)容，為確保

2、有效指導(dǎo)測(cè)評(píng)機(jī)構(gòu)的能力建設(shè)，規(guī)范其測(cè)評(píng)活動(dòng)，滿足信 息安全等級(jí)保護(hù)工作要求，特制定本規(guī)范。信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求（以下簡(jiǎn)稱能力要求）是等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)指導(dǎo)性文件之一。本規(guī)范吸取國際、國內(nèi)測(cè)評(píng)與檢查機(jī)構(gòu)能力評(píng)定的相關(guān)內(nèi)容，結(jié)合信息安全等級(jí)測(cè)評(píng)工作的特點(diǎn)， 對(duì)測(cè)評(píng)機(jī)構(gòu)的組織管理能力、測(cè)評(píng)實(shí)施能力、設(shè)施和設(shè)備安全與保 障能力、質(zhì)量管理能力、規(guī)范性保證能力、風(fēng)險(xiǎn)控制能力、可持續(xù)性發(fā)展能力等提出基本能 力要求，為規(guī)范等級(jí)測(cè)評(píng)機(jī)構(gòu)的建設(shè)和管理，及其能力評(píng)估工作的開展提供依據(jù)。信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求使用說明1范圍本規(guī)范規(guī)定了測(cè)評(píng)機(jī)構(gòu)的能力要求。本規(guī)范適用于測(cè)評(píng)機(jī)構(gòu)的建設(shè)和管理以及對(duì)測(cè)評(píng)機(jī)構(gòu)能

3、力進(jìn)行評(píng)估等活動(dòng)。2名詞解釋2.1等級(jí)測(cè)評(píng)按照有關(guān)管理規(guī)范和技術(shù)等級(jí)測(cè)評(píng)是指測(cè)評(píng)機(jī)構(gòu)依據(jù)國家信息安全等級(jí)保護(hù)制度規(guī)定, 標(biāo)準(zhǔn)，對(duì)非涉及國家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。2.2等級(jí)測(cè)評(píng)機(jī)構(gòu)等級(jí)測(cè)評(píng)機(jī)構(gòu)，是指具備測(cè)評(píng)機(jī)構(gòu)基本條件，經(jīng)能力評(píng)估和審核，由省級(jí)以上信息安全 等級(jí)保護(hù)工作協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室推薦，從事等級(jí)測(cè)評(píng)工作的機(jī)構(gòu)。3基本條件依據(jù)信息安全等級(jí)保護(hù)測(cè)評(píng)工作管理規(guī)范（試行），信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)（以下簡(jiǎn) 稱測(cè)評(píng)機(jī)構(gòu)）應(yīng)當(dāng)具備以下基本條件:a）在中華人民共和國境內(nèi)注冊(cè)成立（港澳臺(tái)地區(qū)除外）（港澳臺(tái)地區(qū)除外）；（具b）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位體要

4、求參見8.2.1）C）產(chǎn)權(quán)關(guān)系明晰，注冊(cè)資金100萬元以上；（具體要求參見8.2.2)d)從事信息系統(tǒng)檢測(cè)評(píng)估相關(guān)工作兩年以上，無違法記錄;（具體要求參見5.2.1）e)工作人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪記錄;（具體要求參見8.2.1)10 人；f）具有滿足等級(jí)測(cè)評(píng)工作的專業(yè)技術(shù)人員和管理人員，測(cè)評(píng)技術(shù)人員不少于g）具備必要的辦公環(huán)境、設(shè)備、設(shè)施，使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合信息安全等級(jí)保護(hù)管理辦法對(duì)信息安全產(chǎn)品的要求;（具體要求參見6.1）h）具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度;（具體要求參見4.5）i）對(duì)國家安全、社會(huì)秩序、公共利益不

5、構(gòu)成威脅j）應(yīng)當(dāng)具備的其他條件。4組織管理能力4.1測(cè)評(píng)機(jī)構(gòu)管理者應(yīng)掌握等級(jí)保護(hù)政策文件，熟悉相關(guān)的標(biāo)準(zhǔn)規(guī)范。說明:1. 測(cè)評(píng)機(jī)構(gòu)管理者等級(jí)保護(hù)相關(guān)的政策法規(guī)，如中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（147號(hào)令）、信息安全等級(jí)保護(hù)工作的實(shí)施意見（66號(hào)文）、信息安全等級(jí)保護(hù)管理辦法（43號(hào)文）、信息安全等級(jí)保護(hù)測(cè)評(píng)工作管理規(guī)范（公信安2010303號(hào)）等。2. 應(yīng)熟悉定級(jí)指南、基本要求、測(cè)評(píng)要求等技術(shù)標(biāo)準(zhǔn)。4.2測(cè)評(píng)機(jī)構(gòu)應(yīng)按一定方式組織并設(shè)立相關(guān)部門,明確其職責(zé)、權(quán)限和相互關(guān)系，保證各項(xiàng)工作的有序開展。說明:1. 機(jī)構(gòu)應(yīng)建立適應(yīng)等級(jí)測(cè)評(píng)工作的組織形式，設(shè)置如測(cè)評(píng)部、管理部、市場(chǎng)部、質(zhì)量管理

6、部等部門。2. 通過組織結(jié)構(gòu)圖及文字說明來描述其組織形式，包括外部關(guān)系與內(nèi)部關(guān)系兩方面。大學(xué)本科（含）以4.3測(cè)評(píng)機(jī)構(gòu)應(yīng)具有勝任等級(jí)測(cè)評(píng)工作的專業(yè)技術(shù)人員和管理人員,10人。上學(xué)歷所占比例不低于 60%其中測(cè)評(píng)技術(shù)人員不少于說明:機(jī)構(gòu)應(yīng)保證技術(shù)和管理人員具備開展測(cè)評(píng)工作的基本素質(zhì)，以及開展測(cè)評(píng)工作的基本人力資源投入。4.4測(cè)評(píng)機(jī)構(gòu)應(yīng)設(shè)置滿足等級(jí)測(cè)評(píng)工作需要的崗位,如測(cè)評(píng)技術(shù)員、測(cè)評(píng)項(xiàng)目組長(zhǎng)、技，并配備足夠的、相術(shù)主管、質(zhì)量主管、保密安全員和檔案管理員等（不論稱謂如何） 對(duì)穩(wěn)定并具備相應(yīng)能力的工作人員。說明:1. 機(jī)構(gòu)應(yīng)以文件化的形式明確其崗位名稱和職責(zé)。2. 應(yīng)保證行政管理人員（如人力資源、財(cái)

7、務(wù)等）的數(shù)量，并滿足崗位能力要求。4.5測(cè)評(píng)機(jī)構(gòu)應(yīng)制定完善的規(guī)章制度，包括但不限于以下內(nèi)容:說明:1. 各管理制度文檔內(nèi)容應(yīng)覆蓋相關(guān)要求。2. 各管理制度應(yīng)按規(guī)范的審批流程在機(jī)構(gòu)內(nèi)發(fā)布、實(shí)施。3. 各管理制度應(yīng)有配套的工作表單和執(zhí)行記錄。a） 保密管理制度測(cè)評(píng)機(jī)構(gòu)應(yīng)根據(jù)國家有關(guān)保密規(guī)定制定保密管理制度，制度中應(yīng)明確保密對(duì)象的范 圍、人員保密職責(zé)、各項(xiàng)保密措施與要求，以及違反保密制度的罰則等內(nèi)容。b）項(xiàng)目管理制度測(cè)評(píng)機(jī)構(gòu)應(yīng)依據(jù)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南等技術(shù)標(biāo)準(zhǔn) 制定符合自身特點(diǎn)的測(cè)評(píng)項(xiàng)目管理程序，主要應(yīng)包括測(cè)評(píng)工作的組織形式、工作職責(zé), 測(cè)評(píng)各階段的工作內(nèi)容和管理要求等。C）

8、 質(zhì)量管理制度（包含設(shè)備管理和文件檔案管理等）應(yīng)以保證質(zhì)量為前提對(duì)測(cè)評(píng)機(jī)構(gòu)的設(shè)備、文件檔案等提出各項(xiàng)要求。設(shè)備管理制度 應(yīng)包括對(duì)于儀器設(shè)備的購置、使用和維護(hù)的質(zhì)量管理要求。文件檔案管理制度應(yīng)包括機(jī) 構(gòu)人員在文件檔案管理中的相關(guān)職責(zé)、文件檔案借閱、保管直至銷毀的各項(xiàng)規(guī)定等。d）人員管理制度應(yīng)包括人員錄用、考核、日常管理以及離職等方面的內(nèi)容和要求。e）培訓(xùn)教育制度應(yīng)包括培訓(xùn)計(jì)劃的制定、培訓(xùn)工作的實(shí)施、培訓(xùn)的考核與上崗以及人員培訓(xùn)檔案建 立等的內(nèi)容和要求。f）申訴、投訴及爭(zhēng)議處理制度應(yīng)明確包括測(cè)評(píng)機(jī)構(gòu)各崗位人員在申、投訴和爭(zhēng)議處理活動(dòng)中相應(yīng)的職責(zé)，建立從 受理、確認(rèn)到處置、答復(fù)等環(huán)節(jié)的完整程序。5測(cè)

9、評(píng)實(shí)施能力5.1人員能力5.1.1 測(cè)評(píng)機(jī)構(gòu)從事等級(jí)測(cè)評(píng)工作的專業(yè)技術(shù)人員（以下簡(jiǎn)稱測(cè)評(píng)人員）應(yīng)具有把握國家政策，理解和掌握相關(guān)技術(shù)標(biāo)準(zhǔn)，熟悉等級(jí)測(cè)評(píng)的方法、流程和工作規(guī)范等方面的知識(shí)及能力，并有依據(jù)測(cè)評(píng)結(jié)果做出專業(yè)判斷以及出具等級(jí)測(cè)評(píng)報(bào)告等任務(wù)的能力。5.1.2 測(cè)評(píng)人員應(yīng)參加由公安部信息安全等級(jí)保護(hù)評(píng)估中心舉辦的專門培訓(xùn)、考試并取得中心頒發(fā)的等級(jí)測(cè)評(píng)師證書（等級(jí)測(cè)評(píng)師分為初級(jí)、中級(jí)和高級(jí)） 。等級(jí)測(cè)評(píng)人員需持證上崗。說明:機(jī)構(gòu)應(yīng)按等級(jí)測(cè)評(píng)師培訓(xùn)工作的要求，派遣測(cè)評(píng)人員參加培訓(xùn)。培訓(xùn)不合格的，不 得從事等級(jí)測(cè)評(píng)工作。5.1.3 初級(jí)、中級(jí)和高級(jí)等級(jí)測(cè)評(píng)師具體能力要求如下:a）初級(jí)等級(jí)測(cè)評(píng)師了

10、解信息安全等級(jí)保護(hù)的相關(guān)政策、標(biāo)準(zhǔn);熟悉信息安全基礎(chǔ)知識(shí);熟悉信息安全產(chǎn)品分類，了解其功能、特點(diǎn)和操作方法;掌握等級(jí)測(cè)評(píng)方法，能夠根據(jù)測(cè)評(píng)指導(dǎo)書客觀、準(zhǔn)確、完整地獲取各項(xiàng)測(cè)評(píng)證據(jù);掌握測(cè)評(píng)工具的操作方法，能夠合理設(shè)計(jì)測(cè)試用例獲取所需測(cè)試數(shù)據(jù);能夠按照?qǐng)?bào)告編制要求整理測(cè)評(píng)數(shù)據(jù)。b)中級(jí)等級(jí)測(cè)評(píng)師熟悉信息安全等級(jí)保護(hù)相關(guān)政策、法規(guī);正確理解信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系和主要標(biāo)準(zhǔn)內(nèi)容，能夠跟蹤國內(nèi)、國際信息安全相關(guān)標(biāo)準(zhǔn)的發(fā)展;掌握信息安全基礎(chǔ)知識(shí)，熟悉信息安全測(cè)評(píng)方法，具有信息安全技術(shù)研究的基礎(chǔ)和實(shí)踐經(jīng)驗(yàn);具有較豐富的項(xiàng)目管理經(jīng)驗(yàn)，熟悉測(cè)評(píng)項(xiàng)目的工作流程和質(zhì)量管理的方法,具有較強(qiáng)的組織協(xié)調(diào)和溝通能力;能

11、夠獨(dú)立開發(fā)測(cè)評(píng)指導(dǎo)書，熟悉測(cè)評(píng)指導(dǎo)書的開發(fā)、版本控制和評(píng)審流程;能夠根據(jù)信息系統(tǒng)的特點(diǎn)，編制測(cè)評(píng)方案，確定測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)和測(cè)評(píng)方法;具有綜合分析和判斷的能力，能夠依據(jù)測(cè)評(píng)報(bào)告模板要求編制測(cè)評(píng)報(bào)告，能夠整體把握測(cè)評(píng)報(bào)告結(jié)論的客觀性和準(zhǔn)確性。具備較強(qiáng)的文字表達(dá)能力;了解等級(jí)保護(hù)各個(gè)工作環(huán)節(jié)的相關(guān)要求。能夠針對(duì)測(cè)評(píng)中發(fā)現(xiàn)的問題，提出合理化的整改建議。C)高級(jí)等級(jí)測(cè)評(píng)師熟悉和跟蹤國內(nèi)、外信息安全的相關(guān)政策、法規(guī)及標(biāo)準(zhǔn)的發(fā)展;對(duì)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系及主要標(biāo)準(zhǔn)有較為深入的理解;具有信息安全理論研究的基礎(chǔ)、實(shí)踐經(jīng)驗(yàn)和研究創(chuàng)新能力;具有豐富的質(zhì)量體系管理和項(xiàng)目管理經(jīng)驗(yàn),具有較強(qiáng)的組織協(xié)調(diào)和管理能力;熟

12、悉等級(jí)保護(hù)工作的全過程，熟悉定級(jí)、等級(jí)測(cè)評(píng)、建設(shè)整改各個(gè)工作環(huán)節(jié)5.1.4的要求。測(cè)評(píng)技術(shù)員、測(cè)評(píng)項(xiàng)目組長(zhǎng)和技術(shù)主管崗位人員應(yīng)分別取得初、中、高級(jí)等級(jí)測(cè)評(píng)師證書，其比例應(yīng)滿足等級(jí)測(cè)評(píng)工作需要。說明:1. 機(jī)構(gòu)應(yīng)按照等級(jí)測(cè)評(píng)工作的需要設(shè)定初、中、高級(jí)等級(jí)測(cè)評(píng)師的人員比例。其中初級(jí) 技術(shù)測(cè)評(píng)師與管理測(cè)評(píng)師比例不少于3 : 1。2. 測(cè)評(píng)技術(shù)員（包括安全呢技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)）、測(cè)評(píng)項(xiàng)目組長(zhǎng)（或稱項(xiàng)目負(fù)責(zé)人、 項(xiàng)目經(jīng)理等）和技術(shù)主管（或稱技術(shù)總監(jiān)、總工等）崗位人員應(yīng)分別獲得初、中、高級(jí) 等級(jí)測(cè)評(píng)師資格。5.1.5測(cè)評(píng)機(jī)構(gòu)應(yīng)指定一名技術(shù)主管，全面負(fù)責(zé)等級(jí)測(cè)評(píng)方面的技術(shù)工作。說明:1. 機(jī)構(gòu)應(yīng)以文件化

13、的形式任命一名技術(shù)主管，并明確其在等級(jí)測(cè)評(píng)技術(shù)方面的職責(zé)。2. 該技術(shù)主管應(yīng)在測(cè)評(píng)活動(dòng)中相關(guān)環(huán)節(jié)履行其職責(zé)。5.2測(cè)評(píng)能力5.2.1測(cè)評(píng)機(jī)構(gòu)應(yīng)通過提供案例、過程記錄等資料，證明其具有從事信息系統(tǒng)檢測(cè)評(píng)估相關(guān)工作兩年以上的工作經(jīng)驗(yàn)。說明:機(jī)構(gòu)應(yīng)提供完整的等級(jí)測(cè)評(píng)項(xiàng)目歸檔文件，證明其從事等級(jí)測(cè)評(píng)工作的年限和行業(yè)經(jīng)驗(yàn)。5.2.2測(cè)評(píng)機(jī)構(gòu)應(yīng)保證在其能力范圍內(nèi)從事測(cè)評(píng)工作，并有足夠的資源來滿足測(cè)評(píng)工作要求，具體體現(xiàn)在以下方面:a）安全技術(shù)測(cè)評(píng)實(shí)施能力，包括物理安全測(cè)評(píng)、網(wǎng)絡(luò)安全測(cè)評(píng)、主機(jī)安全測(cè)評(píng)、使用、維護(hù)及應(yīng)用安全測(cè)評(píng)、數(shù)據(jù)安全及備份恢復(fù)測(cè)評(píng)等方面測(cè)評(píng)指導(dǎo)書的開發(fā)、獲取相關(guān)結(jié)果的專業(yè)判斷;說明:1.

14、機(jī)構(gòu)應(yīng)能在測(cè)評(píng)實(shí)施中根據(jù)物理安全測(cè)評(píng)、網(wǎng)絡(luò)安全測(cè)評(píng)、主機(jī)系統(tǒng)安全測(cè)評(píng)、應(yīng)用 安全和數(shù)據(jù)安全測(cè)評(píng)等方面的工作需求進(jìn)行人員配置和工作分工，如成立主機(jī)測(cè)評(píng)、網(wǎng) 絡(luò)測(cè)評(píng)、應(yīng)用測(cè)評(píng)等工作組，保證測(cè)評(píng)工作的專業(yè)化。2. 安全技術(shù)測(cè)評(píng)指導(dǎo)書是機(jī)構(gòu)從事等級(jí)測(cè)評(píng)的最重要的文件，指導(dǎo)書應(yīng)內(nèi)容完備，可支 持等級(jí)測(cè)評(píng)的全部工作。3. 測(cè)評(píng)指導(dǎo)書應(yīng)嚴(yán)格依據(jù)等級(jí)測(cè)評(píng)技術(shù)標(biāo)準(zhǔn)，完全覆蓋測(cè)評(píng)要點(diǎn)，步驟詳盡、文字嚴(yán)謹(jǐn), 并保證測(cè)評(píng)結(jié)果判定標(biāo)準(zhǔn)的科學(xué)、可靠。b）安全管理測(cè)評(píng)實(shí)施能力，包括安全管理制度測(cè)評(píng)、安全管理機(jī)構(gòu)測(cè)評(píng)、人員安全管理測(cè)評(píng)、系統(tǒng)建設(shè)管理測(cè)評(píng)、系統(tǒng)運(yùn)維管理測(cè)評(píng)等方面測(cè)評(píng)指導(dǎo)書的開發(fā)、使用、維護(hù)及獲取相關(guān)結(jié)果的專業(yè)判

15、斷;說明:機(jī)構(gòu)應(yīng)能在測(cè)評(píng)實(shí)施中根據(jù)安全管理測(cè)評(píng)的工作需求配備相應(yīng)的人員，可設(shè)置管理測(cè)評(píng)工作組，保證測(cè)評(píng)工作的專業(yè)化。C）安全測(cè)試與分析能力，指根據(jù)實(shí)際測(cè)評(píng)要求，開發(fā)與測(cè)試相關(guān)的工作指導(dǎo)書,借助專用測(cè)評(píng)設(shè)備和工具，實(shí)現(xiàn)主流協(xié)議分析、漏洞發(fā)現(xiàn)與驗(yàn)證等方面的能力;說明: 1.機(jī)構(gòu)應(yīng)有從事信息系統(tǒng)的安全測(cè)試的專業(yè)人員、小組或部門，保證安全測(cè)試與分析工 作的開展。2.應(yīng)能根據(jù)測(cè)評(píng)項(xiàng)目的具體情況開發(fā)相應(yīng)的測(cè)試工作指導(dǎo)書，測(cè)評(píng)設(shè)備和工具應(yīng)有操作 規(guī)程、手冊(cè)。3. 測(cè)試人員應(yīng)能熟練使用測(cè)評(píng)設(shè)備和工具獲取數(shù)據(jù)，并通過對(duì)數(shù)據(jù)結(jié)果的分析發(fā)現(xiàn)或驗(yàn) 證信息系統(tǒng)存在的問題。d）整體測(cè)評(píng)實(shí)施能力，指根據(jù)測(cè)評(píng)報(bào)告的單元測(cè)評(píng)的

16、結(jié)果記錄部分、結(jié)果匯總部給出整體測(cè)評(píng)的具分和問題分析部分，從安全控制間、層面間和區(qū)域間出發(fā)考慮,體結(jié)果的能力。說明:測(cè)評(píng)人員在作出測(cè)評(píng)結(jié)論時(shí)，應(yīng)具備測(cè)評(píng)結(jié)果匯總統(tǒng)計(jì)、問題分析、整體綜合判斷的能力。e）風(fēng)險(xiǎn)分析能力，指依據(jù)等級(jí)保護(hù)的相關(guān)規(guī)范和標(biāo)準(zhǔn)，采用風(fēng)險(xiǎn)分析的方法分析等級(jí)測(cè)評(píng)結(jié)果中存在的安全問題可能對(duì)被測(cè)評(píng)系統(tǒng)安全造成的影響的能力;說明:測(cè)評(píng)人員應(yīng)能采用風(fēng)險(xiǎn)分析的方法，分析信息系統(tǒng)等級(jí)測(cè)評(píng)結(jié)果中存在的安全問題可能被威脅利用的可能性和后果，綜合判定給出信息系統(tǒng)面臨的風(fēng)險(xiǎn)值。523 測(cè)評(píng)機(jī)構(gòu)應(yīng)依據(jù)測(cè)評(píng)工作流程，有計(jì)劃、按步驟地開展測(cè)評(píng)工作，并保證測(cè)評(píng)活動(dòng)的每個(gè)環(huán)節(jié)都得到有效的控制。說明:機(jī)構(gòu)應(yīng)建立

17、完善的測(cè)評(píng)項(xiàng)目管理制度，戈y分測(cè)評(píng)各階段，明確各階段的工作內(nèi)容。a）測(cè)評(píng)準(zhǔn)備階段，收集被測(cè)系統(tǒng)的相關(guān)資料信息，填寫規(guī)范的系統(tǒng)調(diào)查表， 全面掌握被測(cè)評(píng)系統(tǒng)的詳細(xì)情況，為測(cè)評(píng)工作的開展打下基礎(chǔ);說明:對(duì)每個(gè)被測(cè)評(píng)信息系統(tǒng)，應(yīng)有詳細(xì)、準(zhǔn)確的調(diào)查記錄。調(diào)查記錄的填寫應(yīng)規(guī)范嚴(yán)謹(jǐn), 通過信息收集和分析為正確選擇測(cè)評(píng)對(duì)象提供依據(jù)。b）方案編制階段，正確合理地確定測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)及測(cè)評(píng)內(nèi)容等，并依據(jù)現(xiàn)行有效的技術(shù)標(biāo)準(zhǔn)、規(guī)范開發(fā)測(cè)評(píng)方案、測(cè)評(píng)指導(dǎo)書、測(cè)評(píng)結(jié)果記錄表格等。測(cè)評(píng)方案應(yīng)通過技術(shù)評(píng)審并有相關(guān)記錄，測(cè)評(píng)指導(dǎo)書應(yīng)進(jìn)行版本有效性維護(hù)，且滿足以符合相關(guān)的等級(jí)測(cè)評(píng)標(biāo)準(zhǔn);提供足夠詳細(xì)的信息以確保測(cè)評(píng)數(shù)據(jù)獲取過程的

18、規(guī)范性和可操作性。說明: 1.測(cè)評(píng)人員應(yīng)能正確的確定測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)、測(cè)評(píng)內(nèi)容、工具測(cè)試方案等。2.應(yīng)通過評(píng)審、論證、驗(yàn)證等手段對(duì)測(cè)評(píng)方案進(jìn)行技術(shù)確認(rèn)，保證測(cè)評(píng)方法和實(shí)施方案 的正確性和可行性。3. 測(cè)評(píng)指導(dǎo)書應(yīng)具備可操作性，指導(dǎo)書應(yīng)進(jìn)行版本維護(hù)。并依據(jù)操作C）現(xiàn)場(chǎng)測(cè)評(píng)階段，嚴(yán)格執(zhí)行測(cè)評(píng)方案和測(cè)評(píng)指導(dǎo)書中的內(nèi)容和要求,規(guī)程熟練地使用測(cè)評(píng)設(shè)備和工具，規(guī)范、準(zhǔn)確、完整的填寫測(cè)評(píng)結(jié)果記錄，獲取足夠證據(jù)，客觀、真實(shí)、科學(xué)地反映出系統(tǒng)的安全保護(hù)狀況，測(cè)評(píng)過程應(yīng)予以監(jiān)督并記錄;說明:測(cè)評(píng)人員應(yīng)保證現(xiàn)場(chǎng)測(cè)評(píng)工作的規(guī)范，不得擅自簡(jiǎn)化測(cè)評(píng)步驟、編造修改測(cè)評(píng)數(shù)據(jù)和記錄。測(cè)評(píng)過程應(yīng)有必要的監(jiān)督、見證措施。d）報(bào)告

19、編制階段，找出整個(gè)信息系統(tǒng)安全保護(hù)現(xiàn)狀與相應(yīng)等級(jí)的保護(hù)要求之間的差距，分析差距可能導(dǎo)致被測(cè)評(píng)系統(tǒng)面臨的風(fēng)險(xiǎn),給出等級(jí)測(cè)評(píng)結(jié)論，形成測(cè)評(píng)報(bào)告，測(cè)評(píng)報(bào)告應(yīng)依據(jù)公安部統(tǒng)一制訂的信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版（試行）的格式和內(nèi)容要求編寫，測(cè)評(píng)報(bào)告應(yīng)通過評(píng)審并有相關(guān)記錄。說明: 1.測(cè)評(píng)人員應(yīng)嚴(yán)格按照信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版（試行）編制測(cè)評(píng)報(bào)告。2.應(yīng)通過評(píng)審、論證等手段對(duì)測(cè)評(píng)報(bào)告中的結(jié)果判斷、問題分析、測(cè)評(píng)結(jié)論等內(nèi)容的正確性進(jìn)行確認(rèn)。6設(shè)施和設(shè)備安全與保障能力6.1測(cè)評(píng)機(jī)構(gòu)應(yīng)具備必要的辦公環(huán)境、設(shè)備、設(shè)施和管理系統(tǒng)，使用的技術(shù)裝備、設(shè)施原則上應(yīng)當(dāng)符合以下條件:a）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人

20、投資或者國家投資或者控股的，在中華人民共和國境內(nèi)具有獨(dú)立的法人資格;b)產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識(shí)產(chǎn)權(quán);C）d)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄;e)對(duì)國家安全、社會(huì)秩序、公共利益不構(gòu)成危害。f)信息安全產(chǎn)品應(yīng)獲得公安部計(jì)算機(jī)信息安全產(chǎn)品銷售許可證。說明:機(jī)構(gòu)應(yīng)保證其所配備的防火墻、IDS等安全產(chǎn)品獲得銷售許可證。6.2測(cè)評(píng)機(jī)構(gòu)應(yīng)配備滿足等級(jí)測(cè)評(píng)工作需要的測(cè)評(píng)設(shè)備和工具,如漏洞掃描器、協(xié)議分析儀、滲透測(cè)試工具等。測(cè)評(píng)設(shè)備和工具應(yīng)通過權(quán)威機(jī)構(gòu)的檢測(cè)并可提供檢測(cè)報(bào)告（見附錄信息安全等級(jí)測(cè)評(píng)設(shè)備和工具指引說明:1.機(jī)構(gòu)可參考信息安全等級(jí)測(cè)評(píng)設(shè)備和工具指引，并結(jié)合自身的

21、工作要求配備測(cè)評(píng)設(shè)備和工具，以保證測(cè)評(píng)工作的開展。2.設(shè)備和工具應(yīng)通過檢測(cè)或比對(duì)、校準(zhǔn)等手段證明其滿足測(cè)評(píng)要求。產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能;硬件設(shè)備，用于滿足信息系統(tǒng)6.3測(cè)評(píng)機(jī)構(gòu)應(yīng)具備符合相關(guān)要求的機(jī)房以及必要的軟、仿真、技術(shù)培訓(xùn)和模擬測(cè)試的需要。說明:機(jī)構(gòu)應(yīng)建設(shè)滿足辦公信息化運(yùn)營和測(cè)評(píng)需要的計(jì)算機(jī)房，機(jī)房軟硬件設(shè)備支持搭建仿真、模擬環(huán)境，滿足測(cè)評(píng)驗(yàn)證和人員培訓(xùn)等工作的要求。6.4測(cè)評(píng)機(jī)構(gòu)應(yīng)確保測(cè)評(píng)設(shè)備和工具運(yùn)行狀態(tài)良好，并通過校準(zhǔn)或比對(duì)等手段保證其提供準(zhǔn)確的測(cè)評(píng)數(shù)據(jù)。說明:1.機(jī)構(gòu)應(yīng)制定測(cè)評(píng)設(shè)備和工具的管理制度或程序，并通過日常維護(hù)保證設(shè)備和工具

22、始終處于良好的運(yùn)行狀態(tài)。2.機(jī)構(gòu)應(yīng)定期對(duì)測(cè)評(píng)設(shè)備和工具進(jìn)行比對(duì)或校準(zhǔn)，對(duì)于掃描器等網(wǎng)絡(luò)測(cè)試設(shè)備，還可通過標(biāo)準(zhǔn)版本庫的同步更新，保證設(shè)備和工具的準(zhǔn)確有效。6.5測(cè)評(píng)設(shè)備和工具均應(yīng)有正確的標(biāo)識(shí)。說明:機(jī)構(gòu)測(cè)評(píng)設(shè)備和工具管理制度中應(yīng)明確設(shè)備檔案和標(biāo)識(shí)管理的要求。對(duì)測(cè)評(píng)設(shè)備和工具應(yīng)統(tǒng)一登記，統(tǒng)一標(biāo)識(shí)，對(duì)于有故障的設(shè)備和工具應(yīng)通過標(biāo)識(shí)加以區(qū)分，并及時(shí)告知測(cè)評(píng)人員。7質(zhì)量管理能力7.1管理體系建設(shè)7.1.1 測(cè)評(píng)機(jī)構(gòu)應(yīng)建立、實(shí)施和維護(hù)符合等級(jí)測(cè)評(píng)工作需要的文件化的管理體系,并確保測(cè)評(píng)機(jī)構(gòu)各級(jí)人員能夠理解和執(zhí)行。說明:1.機(jī)構(gòu)應(yīng)建立一套完善的管理體系文件，該體系文件應(yīng)能覆蓋機(jī)構(gòu)日常工作和測(cè)評(píng)活動(dòng)的各個(gè)方面。

23、體系文件可以制度、手冊(cè)、程序等形式發(fā)布執(zhí)行，并應(yīng)建立執(zhí)行記錄。2.管理體系文件應(yīng)在內(nèi)部通過宣貫、培訓(xùn)、座談等形式幫助機(jī)構(gòu)人員理解和執(zhí)行。7.1.2 測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)制定相應(yīng)的質(zhì)量目標(biāo)，不斷提升自身的測(cè)評(píng)質(zhì)量和管理水平。說明:機(jī)構(gòu)應(yīng)將質(zhì)量管理的思想、理念和追求，通過精練的文字為全體工作人員所熟記,并貫徹于日常質(zhì)量活動(dòng)當(dāng)中。7.1.3 測(cè)評(píng)機(jī)構(gòu)應(yīng)指定一名質(zhì)量主管，明確其質(zhì)量保證的職責(zé)。 質(zhì)量主管不應(yīng)受可能有損工作質(zhì)量的影響或利益沖突，并有權(quán)直接與測(cè)評(píng)機(jī)構(gòu)最高管理層溝通。說明:1.機(jī)構(gòu)應(yīng)任命一名質(zhì)量主管，明確其職責(zé)，如負(fù)責(zé)質(zhì)量管理體系的建立、運(yùn)行和維護(hù),處理投、申訴等。2.在職責(zé)中還應(yīng)賦予其有權(quán)直接向機(jī)

24、構(gòu)管理層報(bào)告質(zhì)量管理中存在的問題的權(quán)力。7.2管理體系維護(hù)7.2.1 測(cè)評(píng)機(jī)構(gòu)應(yīng)保證管理體系的有效運(yùn)行，發(fā)現(xiàn)問題及時(shí)反饋并采取糾正措施,確保其有效性。說明:機(jī)構(gòu)應(yīng)建立質(zhì)量管理問題反饋處理機(jī)制，發(fā)現(xiàn)日常管理和測(cè)評(píng)活動(dòng)中的問題，及時(shí)糾正，并予以記錄作為機(jī)構(gòu)管理體系改進(jìn)的輸入。722測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格遵守申訴、投訴及爭(zhēng)議處理制度，并應(yīng)記錄采取的措施。說明:建立申訴、投訴及爭(zhēng)議處理機(jī)制的目的，是為了提高機(jī)構(gòu)信譽(yù)和服務(wù)質(zhì)量、維護(hù)客戶利益。在制度中應(yīng)明確申訴、投訴及爭(zhēng)議的受理、處理和答復(fù)等各個(gè)環(huán)節(jié)的職責(zé)和工作要求，并對(duì)處理過程予以記錄。8規(guī)范性保證能力8.1公正性保證能力8.1.1 測(cè)評(píng)機(jī)構(gòu)及其測(cè)評(píng)人員應(yīng)當(dāng)

25、嚴(yán)格執(zhí)行有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，開展客觀、公正、安全的測(cè)評(píng)服務(wù)。說明:機(jī)構(gòu)應(yīng)制定保證其公正性、客觀性、誠實(shí)性的制度、程序或行為規(guī)范，并向客戶和社會(huì)作出公正性聲明或承諾，接受行為監(jiān)督。8.1.2測(cè)評(píng)機(jī)構(gòu)的人員應(yīng)不受可能影響其測(cè)評(píng)結(jié)果的來自于商業(yè)、財(cái)務(wù)和其他方面的壓力。說明:機(jī)構(gòu)應(yīng)制定制度、程序或行為規(guī)范，也可通過聲明或承諾保證其測(cè)評(píng)工作的獨(dú)立性。8.2可信與保密性保證能力8.2.1 測(cè)評(píng)機(jī)構(gòu)的單位法人及主要工作人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪記錄。說明:機(jī)構(gòu)應(yīng)保證其單位法人及主要工作人員身份的可信性，并可提供用于證明的機(jī)構(gòu)注冊(cè)資料和人員檔案信息。100萬元）。822 測(cè)評(píng)機(jī)構(gòu)應(yīng)通

26、過提供單位性質(zhì)、股權(quán)結(jié)構(gòu)、出資情況、法人及股東身份等信息的文件材料，證明其機(jī)構(gòu)合規(guī)、產(chǎn)權(quán)關(guān)系明晰，資金注冊(cè)達(dá)到要求（說明:1.機(jī)構(gòu)應(yīng)保證其資金投入足以完成基本運(yùn)營和風(fēng)險(xiǎn)擔(dān)保。2.機(jī)構(gòu)應(yīng)建立清晰的產(chǎn)權(quán)關(guān)系，防止可能發(fā)生的投機(jī)行為或利益關(guān)聯(lián)等問題。包括人員基本信息、社會(huì)背景、8.2.3 測(cè)評(píng)機(jī)構(gòu)應(yīng)建立并保存工作人員的人員檔案,工作經(jīng)歷、培訓(xùn)記錄、專業(yè)資格、獎(jiǎng)懲情況等，保障人員的穩(wěn)定和可靠。說明:機(jī)構(gòu)應(yīng)建立完善的人員管理制度和人事檔案信息庫。8.2.4 測(cè)評(píng)機(jī)構(gòu)使用的測(cè)試設(shè)備和工具應(yīng)具備全面的功能列表，且不存在功能列表之外的隱蔽功能。說明:機(jī)構(gòu)應(yīng)防止由于不可信的測(cè)試設(shè)備和工具接入信息系統(tǒng)而帶來的風(fēng)險(xiǎn)

27、，應(yīng)使用經(jīng)過權(quán)威檢測(cè)的市場(chǎng)通用的商用設(shè)備和工具。8.2.5 測(cè)評(píng)機(jī)構(gòu)應(yīng)重視安全保密工作，指派安全保密工作的責(zé)任人。說明:機(jī)構(gòu)應(yīng)從管理層就高度重視保密工作，并任命機(jī)構(gòu)保密責(zé)任人。826 測(cè)評(píng)機(jī)構(gòu)應(yīng)依據(jù)保密管理制度，定期對(duì)工作人員進(jìn)行保密教育，測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員應(yīng)當(dāng)保守在測(cè)評(píng)活動(dòng)中知悉的國家秘密、商業(yè)秘密、敏感信息和個(gè)人隱私等。說明:1.機(jī)構(gòu)應(yīng)制度保密管理制度，明確保密范圍、各崗位的保密職責(zé)和保密要求。2.應(yīng)定期開展保密教育，并有相關(guān)的過程記錄。，規(guī)定其應(yīng)8.2.7測(cè)評(píng)機(jī)構(gòu)應(yīng)明確崗位保密要求，與全體人員簽訂保密責(zé)任書當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負(fù)責(zé)檢查落實(shí)。說明:機(jī)構(gòu)應(yīng)與每個(gè)工作人員簽

28、訂保密責(zé)任書。8.2.8測(cè)評(píng)機(jī)構(gòu)應(yīng)采取技術(shù)和管理措施來確保等級(jí)測(cè)評(píng)相關(guān)信息的安全、保密和可控，這些信息包括但不限于:a)被測(cè)評(píng)單位提供的資料;b)等級(jí)測(cè)評(píng)活動(dòng)生成的數(shù)據(jù)和記錄;C)依據(jù)上述信息做出的分析與專業(yè)判斷。說明:機(jī)構(gòu)應(yīng)著重對(duì)被測(cè)單位的技術(shù)資料、測(cè)評(píng)數(shù)據(jù)、測(cè)評(píng)報(bào)告等信息進(jìn)行保護(hù)。對(duì)上述 信息資料應(yīng)專門保管，對(duì)數(shù)據(jù)信息存儲(chǔ)和借閱應(yīng)嚴(yán)格控制。829 測(cè)評(píng)機(jī)構(gòu)應(yīng)借助有效的技術(shù)手段，確保等級(jí)測(cè)評(píng)相關(guān)信息的整個(gè)數(shù)據(jù)生命周 期的安全和保密。說明:機(jī)構(gòu)應(yīng)借助技術(shù)手段，如數(shù)據(jù)加密存儲(chǔ)、傳輸、處理方式，保證數(shù)據(jù)的安全。同時(shí)防止存儲(chǔ)測(cè)評(píng)數(shù)據(jù)信息的計(jì)算機(jī)非法外聯(lián)、非受控移動(dòng)存儲(chǔ)設(shè)備接入、重要信息的互聯(lián)網(wǎng)傳輸?shù)?/p>

29、問題的發(fā)生。8.3測(cè)評(píng)方法與程序的規(guī)范性測(cè)評(píng)機(jī)構(gòu)應(yīng)保證與等級(jí)測(cè)評(píng)工作有關(guān)的所有工作程序、指導(dǎo)書、標(biāo)準(zhǔn)規(guī)范、工作表格、核查記錄表等現(xiàn)行有效并便于測(cè)評(píng)人員獲得。說明:1.機(jī)構(gòu)測(cè)評(píng)工作相關(guān)的規(guī)范性文件，應(yīng)有嚴(yán)格的審批發(fā)布手續(xù)。2.對(duì)于文件的修訂，也應(yīng)履行審批手續(xù)。3. 測(cè)評(píng)規(guī)范性文件應(yīng)按統(tǒng)一規(guī)則進(jìn)行標(biāo)識(shí)，建立發(fā)放回收清單，使其始終處于受控并保持版本有效。8.4測(cè)評(píng)記錄的規(guī)范性a）測(cè)評(píng)記錄應(yīng)當(dāng)清晰規(guī)范，并獲得被測(cè)評(píng)方的書面確認(rèn);說明:1.測(cè)評(píng)過程中的記錄應(yīng)按規(guī)定的格式填寫，字跡要求清晰。2.數(shù)據(jù)結(jié)果應(yīng)當(dāng)現(xiàn)場(chǎng)記錄，不得漏記、補(bǔ)記、追記。3. 記錄的更正應(yīng)有規(guī)范性要求。4。測(cè)評(píng)記錄應(yīng)獲得被測(cè)評(píng)方的確認(rèn)。b

30、）測(cè)評(píng)機(jī)構(gòu)應(yīng)具有安全保管記錄的能力，所有的測(cè)評(píng)記錄應(yīng)保存三年以上。說明:為規(guī)避可能的對(duì)于測(cè)評(píng)結(jié)果的質(zhì)疑或未知的責(zé)任風(fēng)險(xiǎn)，要求機(jī)構(gòu)應(yīng)妥善保管測(cè)評(píng)相關(guān)記錄一段期限。8.5測(cè)評(píng)報(bào)告的規(guī)范性a）測(cè)評(píng)機(jī)構(gòu)應(yīng)按照公安部統(tǒng)一制訂的信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版（試行）格式出具測(cè)評(píng)報(bào)告；（參見5.2.3 d ）（參見 5.2.3 d）b）測(cè)評(píng)報(bào)告應(yīng)包括所有測(cè)評(píng)結(jié)果、根據(jù)這些結(jié)果做出的專業(yè)判斷以及理解和解釋這些結(jié)果所需要的所有信息，以上信息均應(yīng)正確、準(zhǔn)確、清晰地表述;C）測(cè)評(píng)報(bào)告由測(cè)評(píng)項(xiàng)目組長(zhǎng)作為第一編制人，技術(shù)主管（或質(zhì)量主管）負(fù)責(zé)審核,機(jī)構(gòu)管理者或其授權(quán)人員簽發(fā)或批準(zhǔn);說明:機(jī)構(gòu)應(yīng)明確編制、審核和批準(zhǔn)人的簽字

31、權(quán)限和簽發(fā)流程。d）能力評(píng)估合格的測(cè)評(píng)機(jī)構(gòu)應(yīng)依據(jù) 信息安全等級(jí)保護(hù)測(cè)評(píng)工作管理規(guī)范第六條,對(duì)出具的等級(jí)測(cè)評(píng)報(bào)告統(tǒng)一加蓋等級(jí)測(cè)評(píng)機(jī)構(gòu)能力合格專用標(biāo)識(shí)并登記歸檔。說明: 1.機(jī)構(gòu)依據(jù)等級(jí)測(cè)評(píng)技術(shù)標(biāo)準(zhǔn)開展測(cè)評(píng)活動(dòng)，所出具的測(cè)評(píng)報(bào)告應(yīng)加蓋等級(jí)測(cè)評(píng)機(jī)構(gòu)能 力合格專用標(biāo)識(shí)。2.等級(jí)測(cè)評(píng)報(bào)告有統(tǒng)一的登記記錄。3. 依據(jù)非等級(jí)測(cè)評(píng)技術(shù)標(biāo)準(zhǔn)測(cè)評(píng)出具的報(bào)告不得加蓋專用標(biāo)識(shí)。9風(fēng)險(xiǎn)控制能力9.1測(cè)評(píng)機(jī)構(gòu)應(yīng)充分估計(jì)測(cè)評(píng)可能給被測(cè)系統(tǒng)帶來的風(fēng)險(xiǎn)，風(fēng)險(xiǎn)包括但不限于以下方面:a)測(cè)評(píng)機(jī)構(gòu)由于自身能力或資源不足造成的風(fēng)險(xiǎn);b)C）d)測(cè)評(píng)過程中可能發(fā)生的被測(cè)系統(tǒng)重要信息（如網(wǎng)絡(luò)拓?fù)洹P地址、業(yè)務(wù)流程、安測(cè)試驗(yàn)證活動(dòng)可能對(duì)被測(cè)系統(tǒng)正常運(yùn)行造成影響的風(fēng)險(xiǎn);測(cè)試設(shè)備和工具接入可能對(duì)被測(cè)系統(tǒng)正常運(yùn)行造成影響的風(fēng)險(xiǎn);全機(jī)制、安全隱患和有關(guān)文檔等）泄漏的風(fēng)險(xiǎn)等。說明:人員能力、設(shè)備使用、測(cè)評(píng)方法、流程各環(huán)節(jié)以及安全保密意識(shí)等任何一個(gè)方面出現(xiàn)問題，都有可能