广东省信息安全等级测评机构管理办法
信息安全等级保护测评体系建设与测评工作规范性文件
信息安全等级测评机构能力
要求
(试行)
competenceforoperationofbodiesperformingtestingandevaluationofclassifiedprotectionofinformationsystemsecurity
200×-××-××发布200×-××-××实施
公安部信息安全等级保护评估中心
信息安全等级测评机构能力要求
目
录
123456789范围…………………………………………………………….3名词解释…………………………………………………………3基本条件…………………………………………………………3组织管理能力……………………………………………………..4测评实施能力……………………………………………………..5设施和设备安全与保障能力……………………………………………7质量管理能力……………………………………………………..8规范性保证能力……………………………………………………8风险控制能力…………………………………………………….10
10可持续性发展能力…………………………………………………1011测评机构能力约束性要求……………………………………………11
1信息安全等级测评机构能力要求
前
言
公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号),决定加快等级保护测评体系建设工作。信息安全等级测评机构的建设是测评体系建设的重要内容,为确保有效指导测评机构的能力建设,规范其测评活动,满足信息安全等级保护工作要求,特制定本规范。
《信息安全等级测评机构能力要求》(以下简称《能力要求》)是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容,结合信息安全等级测评工作的特点,对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力等提出基本能力要求,为规范等级测评机构的建设和管理,及其能力评估工作的开展提供依据。
信息安全等级测评机构能力要求
信息安全等级测评机构能力要求
1范围
本规范规定了测评机构的能力要求。
本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。
2名词解释
2.1等级测评
等级测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
2.2等级测评机构
等级测评机构,是指具备测评机构基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室推荐,从事等级测评工作的机构。
3基本条件
依据《信息安全等级保护测评工作管理规范》(试行),信息安全等级测评机构(以下简称测评机构)应当具备以下基本条件:
a)在中华人民共和国境内注册成立(港澳台地区除外);
b)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);c)产权关系明晰,注册资金100万元以上;
d)从事信息系统检测评估相关工作两年以上,无违法记录;
e)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
f)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人;g)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;
h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;i)对国家安全、社会秩序、公共利益不构成威胁;j)应当具备的其他条件。
3信息安全等级测评机构能力要求
4组织管理能力
4.1测评机构管理者应掌握等级保护政策文件,熟悉相关的标准规范。
4.2测评机构应按一定方式组织并设立相关部门,明确其职责、权限和相互关系,保证各项工作的有序开展。
4.3测评机构应具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以上学历所占比例不低于60%。其中测评技术人员不少于10人。
4.4测评机构应设置满足等级测评工作需要的岗位,如测评技术员、测评项目组长、技术主管、质量主管、保密安全员和档案管理员等(不论称谓如何),并配备足够的、相对稳定并具备相应能力的工作人员。
4.5测评机构应制定完善的规章制度,包括但不限于以下内容:a)保密管理制度
制度中应明确保密对象的范围、人员保密职责、各项保密措施与要求,以及违反保密制度的罚则等内容。b)项目管理制度
测评机构应依据《信息系统安全等级保护定级指南》等技术标准制定符合自身特点的测评项目管理程序,主要应包括测评工作的组织形式、工作职责,测评各阶段的工作内容和管理要求等。
c)质量管理制度(包含设备管理和文件档案管理等)
应以保证质量为前提对测评机构的设备、文件档案等提出各项要求。设备管理制度应包括对于仪器设备的购置、使用和维护的质量管理要求。文件档案管理制度应包括机构人员在文件档案管理中的相关职责、文件档案借阅、保管直至销毁的各项规定等。d)人员管理制度
应包括人员录用、考核、日常管理以及离职等方面的内容和要求。e)培训教育制度
应包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建立等的内容和要求。
f)申诉、投诉及争议处理制度
应明确包括测评机构各岗位人员在申、投诉和争议处理活动中相应的职责,建立从受理、确认到处置、答复等环节的完整程序。
信息安全等级测评机构能力要求
5测评实施能力
5.1人员能力
5.1.1测评机构从事等级测评工作的专业技术人员(以下简称测评人员)应具有把握国家政策,理解和掌握相关技术标准,熟悉等级测评的方法、流程和工作规范等方面的知识及能力,并有依据测评结果做出专业判断以及出具等级测评报告等任务的能力。
5.1.2测评人员应参加由公安部信息安全等级保护评估中心举办的专门培训、考试并取得中心颁发的《等级测评师证书》(等级测评师分为初级、中级和高级)。等级测评人员需持证上岗。
5.1.3初级、中级和高级等级测评师具体能力要求如下:a)初级等级测评师
了解信息安全等级保护的相关政策、标准;熟悉信息安全基础知识;
熟悉信息安全产品分类,了解其功能、特点和操作方法;
掌握等级测评方法,能够根据测评指导书客观、准确、完整地获取各项测评证据;
掌握测评工具的操作方法,能够合理设计测试用例获取所需测试数据;能够按照报告编制要求整理测评数据。b)中级等级测评师
熟悉信息安全等级保护相关政策、法规;熟悉信息安全等级保护相关政策、法规;
正确理解信息安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展;
掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的基础和实践经验;
具有较丰富的项目管理经验,熟悉测评项目的工作流程和质量管理的方法,具有较强的组织协调和沟通能力;
能够独立开发测评指导书,熟悉测评指导书的开发、版本控制和评审流程;能够根据信息系统的特点,编制测评方案,确定测评对象、测评指标和测评
5信息安全等级测评机构能力要求
方法;
具有综合分析和判断的能力,能够依据测评报告模板要求编制测评报告,能够整体把握测评报告结论的客观性和准确性。具备较强的文字表达能力;了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题,提出合理化的整改建议。c)高级等级测评师
熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展;对信息安全等级保护标准体系及主要标准有较为深入的理解;具有信息安全理论研究的基础、实践经验和研究创新能力;
具有丰富的质量体系管理和项目管理经验,具有较强的组织协调和管理能力;
熟悉等级保护工作的全过程,熟悉定级、等级测评、建设整改各个工作环节的要求。
5.1.4测评技术员、测评项目组长和技术主管岗位人员应分别取得初、中、高级等级测评师证书,其比例应满足等级测评工作需要。
5.1.
5测评机构应指定一名技术主管,全面负责等级测评方面的技术工作。
5.2测评能力
5.2.1测评机构应通过提供案例、过程记录等资料,证明其具有从事信息系统检测评估相关工作两年以上的工作经验。
5.2.2测评机构应保证在其能力范围内从事测评工作,并有足够的资源来满足测评工作要求,具体体现在以下方面:
a)安全技术测评实施能力,包括物理安全测评、网络安全测评、主机系统安全测评、应用安全和数据安全测评等方面测评指导书的开发、使用、维护及获取相关结果的专业判断;
b)安全管理测评实施能力,包括安全管理机构测评、安全管理制度测评、人员安全管理测评、系统建设管理测评、系统运维管理测评等方面测评指导书的开发、使用、维护及获取相关结果的专业判断;
c)安全测试与分析能力,指根据实际测评要求,开发与测试相关的工作指导书,借助专用测评设备和工具,实现主流协议分析、漏洞发现与验证等方面的能力;d)整体测评实施能力,指根据测评报告的单元测评的结果记录部分、结果汇总部
信息安全等级测评机构能力要求
此处内容需要权限查看
会员免费查看e)非授权占有、使用等级测评相关资料及数据文件;f)分包或转包等级测评项目;
g)信息安全产品(专用测评设备和工具以外)开发、销售和信息系统安全集成;h)限定被测评单位购买、使用其指定的信息安全产品;
i)其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。