网络安全服务认证技术规范(等级保护测评)
1
范围
本文件规定了网
络
安全等级保护测评服务提供者,开展等级保护测评服务需遵循的服务特性和服务
管理的
要求。
本文件
适
用于网络安全等级保护测评服务提供者开展测评服务时在服务设计、服务提供、服务交付、
服务管理
等
方面应遵循的规范, 以确保测评服务的质量, 为测评服务的可靠性和可信性提供技术保障依
据。
本
文件用于认证中心在完成等级保护测评服务认证现场审查时的审查及评判的依据。
2
规
范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件
,
仅该日
期对应的版本适用于本文件; 不注日期的引用文件,其最新版本(包括所有的修改单) 适用于本
文
件。
GB
/
T
52
71.8 信息技术 词汇 第8部分:安全
GB
17
859
计算机信息系统 安全保护等级划分准则
GB
/
T
2
0984 信息安全技术 信息安全风险评估方法
GB
/
T
22
239 信息安全技术 网络安全等级保护基本要求
GB/T 25069 信息安全技术 术语
GB
/
T 27000 合格评定 词汇和通用原则
GB/T 27065 合格评定 产品、过程和服务认证机构要求
GB
/
T 27400 合格评定 服务认证技术通则
GB
/
T
28
448 信息安全技术 网络安全等级保护测评要求
GB
/
T
2
8449 信息安全技术 网络安全等级保护测评过程指南
GB
/
T
3
6959 信息安全技术 网络安全等级保护测评机构能力要求和评估规范
3
术语和
定义
3.1 术
语和定义
GB
/
T
5271.8、
GB
/
T
22239、
GB
/
T
25069、
GB
/
T 27000、GB/T 27065、GB/T 27400、GB/T 28448、 GB/T 28449、GB/T 36959界定的以及下列术语和定义适用于本文件。
3.1.1
等级保
护测评服务
至少
有一项活动必需在等级保护测评服务提供者和网络运营者之间进行的服务提供者的输出。
3.1.2
等级保
护测评服务提供者
即等级保护测评机构,
依据GB/T 36959标准运行,经国家市场监督管理总局会同公安部等相关部门
审核确定的认证机构(以下简称认证中心)认证通过,从事等级保护测评工作的机构
。
注1:本文
件在没有歧义的情况下,简称为测评机构。
3.1.3
服务认证
服务提供者的服务及管理达到要求有关的
第三方证明。
[来源:
GB
/
T
27400-
2020,3.8]
3
.1.4
授权签
字人
经测评
机构授权,签批带认证标识的网络安全等级保护测评报告的人员。
3
.1.5
等级保
护测评师
依
据
GB/T 36959 提出的等级保护测评服务人员能力要求, 经授权的等级保护测评人员能力评估机
构考核通过的
专
业测评技术人员。按照能力考核结果, 等级保护测评师分为初级测评师、中级测评师和
高级
测评师。
注1:本文件简
称为测评师。
3
.1.6
测评相
关人员
本文中的
测
评相关人员指与测评项目实施相关的人员,包括测评师、
渗透测试人员
、业务受理人员、
保密安全
员、设备管理员和档案管理员等。
4
服务管理要求
4
.1 法律法规要求
4.1.1 测评
机
构应严格遵守《中华人民共和国网络安全法》、《中华人民共和国民法典合同编》 、《中
华人民共和国认证认可条例》、《关键信息基础设施安全保护条例》、《认证证书和认证标志管理办法
》
及
公安部发布的网络安全相关行业监管文件等相关法律法规,并满足本文件规定的相关要求。
4.1.2 测评机构在
单位性质、 产权关系、注册资金、责任义务等方面应满足以下要求:
a
)由中国公民、法人或者国家投
资, 在中华人民共和国境内注册成立的企事业单位;
b
)
产
权关系明晰, 注册资金500万元以上,独立经营核算, 且无违法违规记录,需能提供单位性质、股
权结构、出资情况、
法人及股东身份等信息的文件材料;
c
)在测评活动中
,发现重大网络安全事件、重大网络安全风险隐患和重大网络安全威胁时,应按有关规
定及时报告公安机关。
4
.2 环境与设施设备要求
4.2.
1 具有固定的办公场所,具体要求如下:
a
) 原则上同一法人、同一注册地址在首次申请时只能有一个办公
地址;
b
) 办公地址应包括
开展等保测评相关所有职能的场所,如机房、档案室、测评实验环境、测评办公区
域
(不含办事处)等;
c
) 办公地址搬迁
时需向认证中心提出申请,完成现场审查后方可获得新地址证书;
d
)
可在同一城市进行办公场所扩充,地址扩充需向认证中心提出申请,完成现场审查后方可获得新地
址证
书;
e
) 不可开设分支机构;
f
) 测评实验环
境、档案室及测评办公区域需设置独立区域。
4.2.2 配备满足测评业务需
要的检测评估工具、实验环境等, 具体要求如下:
a
) 配备满足等级保
护测评工作需要的测评设备和工具(如漏洞检测工具、
渗透测试工具
等), 在测试
过程中
辅助发现安全问题。测评设备和工具应经安全认证合格或者安全检测合格;
b
) 配备满足测评业务开展
需要的实验环境,设备至少满足技术培训、模拟测试的需要(应能模拟等级
保护
第
三级系统,至少包括主流的操作系统、数据库、 网络和安全设备、 web应用等),用于满足网络
安全仿真、技术培训和模
拟测试的需要;
c
)
自主开发的测试工具及开源测试工具需实施安全验证后方可使用,安全验证内容包括但不限于: 恶
意
代码、功能正确性、 自身安全性等。
4
.2.3 测评机构使用的与测评相关的管理系统、设备及设施宜符合以下条件:
a
) 产品
研制、生产单位是由中国公民、法人投资、国家投资或者控股的,在中华人民共和国境内具有
独立的法人
资格;
b) 产品的核心技术、关键部件具有我国自主知识产权;
c
) 产品研制、
生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
d
) 对国家安全、社会
秩序、公共利益不构成危害;
e
) 经
安全认证合格或者安全检测符合要求的。
4.2.
4 测评机构应制定设备管理制度,包括机构人员在仪器设备(含测评设备和工具) 管理中的相关职
责、
仪器设备的购置、使用和运行维护的各项规定等。
4
.
2.5 测评机构应确保测评设备和工具运行状态良好,并通过持续更新、升级等手段保证其提供准确的
测
评数据。
4
.2.6 测评设备和工具均应有正确的标识,以表明其运行状态、资产管理等情况。
4
.3 人员要求
4
.
3.1 测评机构应制定人员管理制度,其中包括人员录用、考核、日常管理以及离职等方面的内容和要
求
。
4.
3
.2 测评机构应建立并保存工作人员的人员档案,包括劳动合同、学历证明、人员基本信息、社会背
景、工作
经历、专业资格、奖惩情况等。
4.
3
.3 测评机构应设置满足等级保护测评工作需要的岗位,如测评师、测评项目组长、技术主管、质量
主管、
渗透
测
试人员
、保密安全员、设备管理员和档案管理员等, 岗位职责明确。
4.3.4 测评机构人员基本条件需满足:具有测评师证书的人员不少于15名,其中高级测评师不少于1人,
中级
测
评师不少于5人。
4.3.5 具备专职
渗透测试人员
不少于2人,专职渗透人
员具体要求如下:
a
) 能
力
要求:掌握常见的漏洞原理、利用以及修补方法; 掌握常见
渗透测试工具
使用方法;掌握主流
的网络
渗透技术;
b
)
能力证明: 需提供能力评价证明, 如: 能力评估证书、现场见证、能力考核证明等。
4.
3
.6 测评机构的法人、机构负责人、报告授权签字人和测评相关人员应具有中华人民共和国国籍,长
期在境内居
住
, 并提供最近一个审查周期内开具的无犯罪记录证明。
4
.
3.7 测评师应参加指定机构举办的考试并取得等级保护测评师证书, 持证上岗。
4.3.8
测评机构实施等级保护测评工作的测评师和
渗透测试人员
,大学本科(含) 以上学历所占比例不
低于70%。
4.3.9 测评机构应在管理层中
指定一名技术主管, 全面负责等级保护测评方面的技术工作。
4.3.10
测评机构应指定一名或多名质量主管,由中、高级测评师担任,明确其质量保证的职责。质量
主管
的工作独立性不应受到相关利益或冲突的影响,并有权直接与测评机构最高管理层沟通。
4
.3.11 测评师、测评项目组长和技术主管岗位人员应分别取得初、中、高级测评师证书。
4.3.12
技术主管、质量主管、测评师、
渗透测试人员
等人员应掌握国家政策,理解和掌握相关技术标
准, 熟悉等
级
保护测评的方法、流程和工作规范等方面的知识,有依据测评结果做出专业判断并出具等
级保护测评报告的能力。
4.3.13 对于测评师的日常变更, 测评机构应在变更后10个工作日内向认证中心授权的等级保护测评
人
员能力评估机
构报备。测评师的变更,测评机构还应在每年年度监督审查前向认证中心管理系统提交相
应的变更材料
。
4.3.14
测评师一年内未参与测评活动的,应及时向认证中心授权的等级保护测评人员能力评估机构上
报
情况。测评机构不应挂靠或者聘用兼职测评师开展测评业务。
4.3.15
测评机构应监督测评师妥善保管测评师证书,不应涂改、出借、出租和转让,并按认证中心授
权
的“等级保护测评人员能力评估机构”的要求完成测评师证书的年检。
4.3.1
6
具有以下情形之一的, 等级保护测评人员能力评估机构可注销测评师证书:
a
)未经允许擅自使用、
泄露或出售等级保护测评活动中收集的数据信息、资料或测评报告的;
b
) 违反本规范规定,有涂改、出借、出租和转让测评师
证书等行为的;
c
)
因测评行为不当,影响网络安全或造成被测评单位利益损失的;
d
)
一
年内未参与测评活动的;
e
) 从原测评机构离
职
或者单位被认证中心取消《网络安全等级保护测评与检测评估机构服务认证证书》
的测评人员,在六个月内未入职
其他测评机构的。
4
.4 公正性要求
4
.
4.1 测评机构及其测评相关人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测
评服务。
4
.
4.2 测评机构不应从事对等级保护测评相关工作的公正性产生影响的业务,包括从事信息系统安全集
成或网络
安
全产品研发(自用除外) 、生产、销售等, 自用的网络安全产品包含: 测评工具、测评管理
系统等用于提升测评工作有效性的自用产品。
4
.
4.3 测评机构所有在职人员不应投资或兼职于信息系统安全集成或网络安全产品研发、生产、销售企
业。
4.
4
.4 测评机构不应限定被测评单位购买、使用指定的网络安全产品,或者与产品和服务商存在利益勾
结行为等。
4.4.5 测评机构的人员应不
受可能影响其测评结果的来自于商业、财务和其他方面的压力。
4.4.6 测评机构及其测评相关人员不应
泄露被测评单位工作秘密、重要数据信息。
4
.
4.7 测评机构及其测评相关人员不应隐瞒测评过程中发现的重大安全问题,不应在测评过程中弄虚作
假
。
4
.5 安全保密要求
4.
5
.1 测评机构应制定保密管理制度,指定保密安全员,定期对测评相关人员进行保密教育,测评机构
和
测评相关人员应当保守在测评活动中知悉的国家秘密、工作秘密、商业秘密、个人隐私等。
4.
5
.2 测评机构应明确岗位保密要求,与测评相关人员签订保密责任书,规定其应当履行的安全保密义
务和
承担的法律责任,并负责检查落实。
4
.
5.3 测评机构应采取技术和管理措施来确保等级保护测评相关信息的安全、保密和可控,这些信息包
括但不限于
:
a
) 被测评单位
提供的资料;
b
) 等级保护测
评活动生成的数据和记录;
c
) 依据上述信息做出的分析与
专业判断;
d
) 在
测评服务中知悉的商业秘密、重要敏感信息和个人信息;
e
) 在测评服务中收集掌握的网络信息、系统漏洞、恶
意代码、网络攻击等信息。
4.5.4
测评机构应借助有效的技术手段, 确保等级保护测评相关信息的整个数据生命周期的安全。
4.5.5 不应擅自使用、泄露或出售等级保护测评活动中收集的数据信息、资料或测评报告等。
4.5.6 离职人员需签订保密协议,
并保存人员档案三年。
4
.6 质量管理要求
4.
6
.1 测评机构应建立、实施和维护符合等级保护测评工作需要的文件化的管理体系,并确保测评机构
各级人员能够理
解和执行。
4
.
6.2 测评机构应按一定方式组织并设立测评服务相关的部门,明确其职责、权限和相互关系,保证测
评业务管理、测评相关人员、合同
管理、项目管理、测评资源管理等工作的有序开展。
4.6.
3 测评机构应制定保障测评质量的质量管理制度。
4
.
6.4 测评机构应制定相应的质量目标, 不断提升自身的测评质量和管理水平。
4.6.
5
测评机构应保证管理体系的有效运行, 发现问题及时反馈并采取纠正措施, 确保其有效性。
4.
6.6 测评机构应定期对管理体系进行评审并持续改进, 不断提高管理要求。设定中、远期目标,通过
目标的实现
,逐步提升质量管理能力。
4
.
6.7 测评机构应制定申诉、投诉及争议处理制度,包括测评机构各岗位人员在申诉、投诉和争议处理
活动中
相
应的职责, 建立从受理、确认到处置、答复等环节的完整程序。
4
.
6.8 测评机构应严格遵守申诉、投诉及争议处理制度, 并应记录采取的措施。
4
.7 风险控制能力
4
.7.1 测评机构应持续评估测评可能给被测系统带来的风险,风险识别点包括但不限于以下方面:
a
) 测评机构
由于自身能力或资源不足造成的风险;
b) 测试验证活动可能对被测系统正常运行造成影响的风险;
c
) 测试设备和工具
接入可能对被测系统正常运行造成影响的风险;
d
)
测评过程中可能发生的被测系统重要信息(如网络拓扑、IP 地址、业务流程、安全机制、安全隐患
和有关文档等)
泄漏的风险;
e
) 干扰被测评网络的
正常运行的风险;
f
) 测评不到位导致
测评结论不准确的风险;
g
) 测评行为失当造
成被测评单位利益损失的风险;
h) 其他可能给被测系统带来的风险。
4.7.2 测评机构应通过多种措施对上述
被测系统可能面临的风险加以规避和控制。
4
.7.3 测评机构应建立网络安全应急处置机制,防范测评风险。
4.7.4 测评机构应建立风险识别点、风险规避和控制、风险安全应急处置机制的文件化规定或记录。
4
.8 可持续发展要求
4.
8
.1 测评机构应制定培训教育制度,包括培训计划的制定、培训工作的实施、培训的考核与上岗以及
人员培训档
案建立等内容和要求。
4.8.
2 测评师应每年参加多种形式的测评业务和技术培训,每人每个自然年的培训时长累计不少于 40
学
时。
4.8.3 测评师上岗前,应参加等级保护
测评业务岗前培训,培训合格的方可上岗。
4
.8.4 测评机构应根据培训制度做好培训工作,并保存培训和考核记录。
4
.8.5 测评机构应根据自身情况制定战略规划,通过不断的投入保证测评机构的持续建设和发展。
4
.
8.6 测评机构应投入专门的力量从事测评实践总结和测评技术研究工作,测评机构间应进行经验交流
和技术研讨,保持与测评技术发展的同步性
。
4
.9 合同管理
4
.9.1 等保测评服务合同的签订应满足《中华人民共和国民法典合同编》的相关要求。
4.9
.2 等保测评服务合同应进行唯一编号。
4
.
9.3 为了保证等级保护测评服务质量, 在签订等保测评服务合同时, 除满足合同主体双方责、权、利
等相关需求外,合同内容应包括但不限于测评服务主体、开展
测评业务所依据的标准、测评系统名称、
测评系统级
别、保密条款、合同所包含的测评系统的单价、合同总价、 合同签署时间、 合同签署责任主
体
的全称和公章等。
4
.
9.4 测评机构不应分包、转包、代理测评项目, 不应违反《反不正当竞争法》 扰乱测评工作的正常开
展
。
4.9
.5 测评机构应至少保留一份纸质合同。
4.10 项目管理
4.10.1 测评机构应依据
GB
/
T
28449制定完备的、符合自身特点的测评项目管理程序,主要应包括
测
评
工作的组
织形式、工作职责、测评各阶段的工作内容和管理要求等。
4.10.2 测评机构应将测评项目实施情况及时、如实上报“网络安全等级保护测评项目登记管理系统
”
。
4.11 档案管理
4.11
.1 测评机构在实施测评项目时,应依据GB/T 28449的要求开展测评工作,输出的文档包括但不限
于以下内容
:
项目计划书、信息系统调查表、等级保护测评方案及测评方案评审记录、 测评风险规避实
施方案及测评风险告知书、现场
测评授权记录、测评启动会议记录、现场测评首次、末次会议记录、测
评过程记录 (包括原始记录、截图 (若有) 、照片 (若有) 、差旅等可以追溯整个测评过程证明材料)
、
漏洞扫描原
始
记录、
渗透测试原始记录
、各类测评结果确认记录、漏洞扫描确认记录、
渗透测试确认记
录
、 等级保护测评报告及等级保护测评报告评审记录等。
4
.11.2 测评过程文档中除了测评报告、测评方案、 授权文档、盖章原件、 原始记录签字确认记录必须
为纸质
档外,其余测评文档可保存电子档,但电子档的管理应确保其可追溯性和不可更改性。
4
.11.3 测评机构应保存最近两年的纸质档案,满两年及以上的纸质档可转为电子档管理, 但需确保档
案
的完整性和可追溯性, 并按照测评系统的生命周期合理规划档案保存期限。
4.12 联动管理
测评服务合同管
理、测评项目管理、测评档案管理、测评机构代码章及防伪标识的加施应进行联动
管
理。
5
测评能力要求
5.
1 测评实施能力
5.1.1
首次申请的测评机构应通过提供案例、过程记录等资料,证明其具有从事网络安全相关工作两年
以
上
的工作经验。
5.1.2
测评机构应保证在其能力范围内从事测评工作,并有足够的资源来满足测评工作要求,具体体现
在以下方
面:
a
)安全技术
测
评实施能力,包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管
理中心方
面测评指导书的开发、使用、维护及获取相关结果的专业判断;
b
) 安全管理测评实
施能力,包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全
运维
管理等方面测评指导书的开发、使用、维护及获取相关结果的专业判断;
c
) 测评综合实施能力, 包括扩展要求(如云计算、移动互联、物
联网、工业控制系统、大数据等) 、
行业特殊要求、 其他测评新技术等方面测评指导书的开发、使用、维护及获取相关结果的专业判断
;
d
)
安全测试与分析能力,指根据实际测评要求,开发与测试相关的工作指导书,借助专用测评设备和
工
具, 实现漏洞发现与问题分析等方面的能力;
e
)整体测评实施
能
力,指根据测评报告单元测评的结果记录部分、结果汇总部分和问题分析部分,从安
全控制点间和
区
域间出发考虑, 给出整体测评具体结果的能力;
f
)风险分析能
力
