标准规范下载简介
CNAS-CI01-A018-2022 检验机构能力认可准则在网络安全等级保护测评领域的应用说明.pdf检验机构能力认可准则在网络安全
Guidance on the Application of Inspection Body
2022年6月30日发布
中国合格评定国家认可委员会
DBJ52/T 097-2019 贵州省建筑物信息基础设施建设规范2022年7月1日实施
2022年6月30日发布
2022年6月30日发布
2022年7月1日实施
2022年6月30日发布
2022年7月1日实施
检验机构认可准则在网络安全等级测评领域的应用说明
本文件适用于对从事网络安全等级测评活动的检验机构认可,该类机构统称为网 络安全等级测评机构
等级测评师Evaluation professionalofclassifiedprotectionof cybersecurity
等级测评师Evaluationprofessional ofclassified protection cybersecurity 经过行业公认的机构考核,依据国家网络安全等级保护制度,按照有关管理规范 和技术标准对已定级冬案的非涉及国 (念真系统 数据瓷源笙的
cybersecurity 经过行业公认的机构考核,依据国家网络安全等级保护制度,按照有关管理规范 和技术标准,对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的 安全保护状况进行检验评估的专业人员。 注:GB/T25069、GB/T28448、GB/T28449、GB/T22239、GB/T22240中的术语适用于本文件
2022年6月30日发布
2022年7月1日实施
4.1.6网络安全等级测评机构及其人员应严格执行有关管理规范和技术标准开展客 观、公正的测评活动,不得从事网络安全产品开发、销售或信息系统安全集成等可能 影响测评结果公正性的活动(自用除外)
5.1.1网络安全等级测评机构的基本条件应符合监管部门的要求
5.1.1网络安全等级测评机构的基本条件应符合监管部门的要求。 5.1.4网络安全等级测评机构应充分识别测评活动中可能产生的风险,并通过多种措 施对可能面临的风险加以规避和控制,保留风险识别和对应措施的评审记录,风险包 括但不限于以下方面: a)由于自身能力或资源不足造成的风险; b)测评活动可能对被测系统正常运行造成影响的风险; C)测试设备和工具接入可能对被测系统正常运行造成影响的风险; d)被测系统重要信息(如网络拓扑、IP地址、业务流程、安全机制、安全隐患 和有关文档等)泄漏的风险等,
5.1.1网络安全等级测评机构的基本条件应符合监管部门的要求。
5.1.1网络安全等级测评机构的基本条件应符合监管部门的要求。 5.1.4网络安全等级测评机构应充分识别测评活动中可能产生的风险,并通过多种措 施对可能面临的风险加以规避和控制,保留风险识别和对应措施的评审记录,风险包 括但不限于以下方面:
5.2.2网络安全等级测评机构应参加获得认可的能力验证提供者(PTP)组织的测评 机构能力验证计划。初次申请认可的检验机构,应至少参加过1次能力验证并获得满 意结果。对于已获认可的检验机构,应至少满足CNAS该领域能力验证频次的要求, 监管部门有要求时也应满足。 5.2.5网络安全等级测评机构应指定至少一名技术主管,技术主管应具备高级测评师 资格,全面负责网络安全等级测评方面的技术工作。
2022年6月30日发布
2022年7月1日实施
2022年7月1日实施
6.1.1网络安全等级测评机构应具有胜任等级测评活动的测评人员和管理人员,大学 本科及以上学历所占比例不低于70%。检验机构应设置满足等级测评活动需要的岗位 包括测评项目组长、测评项目组员、渗透测试工程师、保密安全员等,岗位职责明确 注:测评人员包括测评项目组员、测评项目组长、渗透测试工程师和技术主管等岗位人员。 6.1.2网络安全等级测评机构中测评项目组员、测评项目组长和技术主管岗位人员应 分别取得初、中、高级等级测评师证书,数量不应少于15人,渗透测试工程师应取得 行业认可的技术能力证明,渗透测试工程师数量不应少于2人。 6.1.3网络安全等级测评机构测评人员应理解和掌握相关技术标准,熟悉等级测评的 方法、流程和工作规范等方面的知识及能力,应取得等级测评师资格并有依据测评结 果做出专业判断以及出具等级测评报告等任务的能力,授权签字人应取得高级测评师 资格。 6.1.5网络安全等级测评机构应保留测评人员能力考核、授权记录,等级测评师证书 应作为测评人员授权上岗的必要条件之一,未取得等级测评师证书的测评人员,不得 授权上岗承担等级测评项目。 6.1.7测评人员上岗前,网络安全等级测评机构应组织岗前培训。同时检验机构应 组织测评人员参加多种形式的测评业务和技术培训,根据每个测评人员的测评活动领 域制订培训计划,测评人员每年培训时长累计不少于40学时,或按照监管部门的要求 进行培训。
应作为测评人员授权上岗的必要条件之一,未取得等级测评师证书的测评人员,不得 授权上岗承担等级测评项目。 6.1.7测评人员上岗前,网络安全等级测评机构应组织岗前培训。同时检验机构应 组织测评人员参加多种形式的测评业务和技术培训,根据每个测评人员的测评活动领 域制订培训计划,测评人员每年培训时长累计不少于40学时,或按照监管部门的要求 进行培训。 6.1.10网络安全等级测评机构应建立并保存测评人员的人员技术档案,包括人员基
组织测评人员参加多种形式的测评业务和技术培训,根据每个测评人员的测评 域制订培训计划,测评人员每年培训时长累计不少于40学时,或按照监管部门 进行培训。
6.1.10网络安全等级测评机构应建立并保存测评人员的人员技术档案,包括人员基 本信息、工作经历、培训记录、项目经历、监督记录、专业资格等。 6.1.13网络安全等级测评机构中的测评人员离职前,检验机构应与其签订离职保密 承诺书。检验机构应加强对测评人员的监督管理,每年至少一次组织开展安全保密教 育培训。
6.2.1网络安全等级测评机构应具有固定的办公场所和机房,配备满足测评业务需要 的网络协议分析、漏洞扫描(至少包括Web漏洞、主机漏洞)、渗透测试等必要的软 硬件安全测评工具,商业化工具需要得到正版授权,所有检验活动涉及到的工具应纳 入设备管理。 注:如果软硬件安全测评工具是租赁(相关软硬件安全测评工具不允许从最终用户租赁)或 由其他机构(如设备的制造者或安装者)提供的,所用设备的自身安全性、持续适用性应由检验 机构独立承担。 6.2.13网络安全等级测评机构应在安全测评工具投入使用前进行核验,且在每次项 目使用前检查确认测评工具升级到最新版本(包括漏洞库、规则库等),以保证安全
2022年6月30日发布
2022年7月1日实施
测评工具自身的安全性、持续适用性。当安全测评工具有重大版本变更时,要重新进 行验证。机构自行研发的工具需要经过功能性、安全性和结果准确性验证,并保留验 证材料
安全等级测评机构不应将网络安全等级测
7.1.1网络安全等级测评机构应制定符合等级测评活动方面标准要求的测评过程管 理程序。 7.1.2网络安全等级测评活动的检验对象抽取原则需要符合GB/T28449《信息安全技 术网络安全等级保护测评过程指南》附录B的要求。 7.1.9如果检验机构的检验活动现场涉及安全作业要求,如能源、化工、工业生产控 制等涉及生产安全的环境,应制订安全实施测评的文件化指导书。
7.2检验项目和样品的处置
7.3.1网络安全等级测评机构应提供漏洞扫描工具的升级和扫描记录,至少应包括工 具名称、工具版本、升级后的最新漏洞库版本、升级日期和升级人员等。
K1496 160(1-6)钢筋砼通道桥施工方案7.4检验报告和检验证书
7.4.2网络安全等级测评机构应按照行业统一规范的网络安全等级测评报告模板格 式出具测评报告。 7.4.4测评报告应包括所有测评结果、根据这些结果做出的专业判断以及理解和解释 这些结果所需要的所有信息,以上信息均应正确、准确、清晰地表述。
2022年6月30日发布
2022年7月1日实施
8.1方式 8.2管理体系文件(方式A) 8.3文件控制(方式A) 8.4记录控制(方式A) 8.5管理评审(方式A)
8.5.2网络安全等级测评机构的管理评审输入除了应满足基本认可准则的要求空心板预制分项工程施工组织设计,还