三保一评测评机构要求
对于网络安全保护工作中涉及的等级保护工作、分级保护工作、密码管理工作及关基保护工作,都提到邀请第三方具有相应资质的测评机构对其保护工作进行测评,并对测评周期提出了要求。本文主要探讨网络安全保护工作中对测评机构资质提出的要求。
*由于编者水平有限,文中不妥和错漏之处在所难免,敬请各位读者批评指正和提出宝贵意见。
壹
等保测评机构
等保测评机构定义:是指依据国家网络安全等级保护制度规定,符合《网络安全等级保护测评机构管理办法》(以下简称“本办法”)规定的基本条件,经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐,从事等级测评工作的机构。等保测评机构实行推荐目录管理,由省级以上等保办根据本办法规定,按照统筹规划、合理布局的原则,择优推荐。国家等保办编制《全国网络安全等级保护测评机构推荐目录》,并在中国网络安全等级保护网网站发布并及时更新。
2021年11月19日,国家网络安全等级保护工作协调小组办公室发布《关于撤销网络安全等级测评机构推荐证书的公告》,公告指出:自即日起,国家网络安全等级保护工作协调小组裁撤网络安全等级测评机构推荐证书,不再发布《全国网络安全等级测评机构推荐目录》,相关工作纳入国家认证体系。
中关村信息安全测评联盟于同日发布了关于启用《网络安全等级测评与检测评估机构服务认证证书》的公告,明确经公安部第三研究所认证发放的《网络安全等级与检测评估机构服务认证证书》自颁发之日起即可使用。
目前中关村信息安全测评联盟发布了《全国网络安全等级测评与检测评估机构目录》,企业在选择等保测评机构的时候,可以从此目录中挑选,同时结合实际需求,包括地址位置、预算、测评师团队等。
贰
申请等保测评机构单位应具备以下基本条件
(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
(二)产权关系明晰,注册资金 500 万元以上,独立经营核算,无违法违规记录;
(三)从事网络安全服务两年以上,具备一定的网络安全检测评估能力;
(四)法人、主要负责人、测评人员中华人民共和国境内的中国公民,且无犯罪记录;
(五)具有网络安全相关工作经历的技术和管理人员不少于 15 人,专职渗透测试人员不少于 2 人,岗位职责清晰, 且人员相对稳定;
(六)具有固定的办公场所,配备满足测评业务需要的检测评估工具、实验环境等;
(七)具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度;
(八)不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务(自用除外);
(九)应具备的其他条件。主要是对测评师的要求,比如申请单位应至少有 15人获得测评师证书,其中测评师不少于1人,中级测评师不少于5人。
叁
分保测评机构
目前对分保测评机构的信息较少,分保测评机构需具备相应的shemizizhi。根据《涉及国家秘密的信息系统分级保护管理办法》,涉密信息系统建设使用单位在系统工程施工结果后,应向保密工作部门提出申请,由国家保密局授权的系统测评机构(如国家保密科技测评中心、公安部三所等)对涉密信息系统进行安全保密测评。
肆
密评机构
密评机构应当经国家密码管理局认定,依法取得商用密码检测机构资质,且资质认定业务范围载明“商用密码应用安全性评估”。
密评机构也实现实行推荐目录管理。国家密码局根据《中华人民共和国密码法》以及商用密码应用安全性评估有关管理规定,发布《商用密码应用安全性评估试点机构目录》,共48家。企业在选择密评机构时可以从《商用密码应用安全性评估试点机构目录》中挑选。
根据《商用密码应用安全性测评机构管理办法》,对于申请成为测评机构的单位(以下简称申请单位)应具备以下基本条件:
(一)在中华人民共和国境内注册,由国家投资、法人投资或公民投资成立的企事业单位;
(二)产权关系明晰,注册资金 500 万元以上;
(三)成立年限在 2 年以上,从事信息系统安全相关工作 1 年以上,无违法记录;
(四) 具备与从事系统测评相适应的独立、集中、可控的工作环境,测评工作场地应不少于 200 平方米;
(五)具备必要的检测设施、设备,使用的设施设备应满足实施商用密码应用安全性评估工作的要求;
(六)具备完善的人员结构,包括专业技术人员和管理人员,通过“商用密码应用安全性测评人员考核”的测评人员数量不少于 10 人;
(七)具有完备的安全保密管理、项目管理、质量管理、人员管理、培训教育、客户管理和投诉处理等规章制度;
(八)本单位及直接控股的母公司或子公司不从事商用密码产品生产、销售、集成以及运营等可能影响测评结果公正性的活动(测评工具类除外);
(九)法律法规要求的其他条件。
伍
关基测评机构
关保测评目前未明确必须邀请第三方具有资质的测评机构对关键信息基础设施进行网络安全检测和风险评估。
《关键信息基础设施安全保护条例》在第十七条中提出“运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估”、。
运营者可自行或委托网络安全服务机构,每年至少进行一次网络安全检测和风险评估。对于网络安全服务机构,可选择具有相应服务和资质的服务商配合运营者对关键信息基础设施进行网络安全检测和风险评估。
- 信息安全等级保护备案资质标准 2024-12-12
- 【等级保护资质】详细介绍 2024-12-12
- ISO/IEC 27701: 2019 标准详解与实施(4)4.2 2024-12-12
- ISO/IEC 27701: 2019 标准详解与实施(3)4.1 本文件结构 2024-12-12
- ISO/IEC 27701: 2019 标准详解与实施(2)1 范围 2024-12-12
- ISO/IEC 27701: 2019 标准详解与实施(7)5.1 总则 2024-12-12
- ISO/IEC 27701: 2019 标准详解与实施(6)4.4 顾客 2024-12-12
- ISO/IEC 27701: 2019 标准详解与实施(8)5.2.1 理解组织及其环境 2024-12-12
- DSMM之数据处理安全 2024-12-11
- DSMM数据安全能力成熟度模型【解读】 2024-12-11
- DSMM认证详细介绍 2024-12-11
- CCRC认证是什么?仅需6步即可 2024-12-11
- DSMM认证的办理流程 2024-12-11
- 南京:DSMM数据安全管理能力成熟度 2024-12-11
- 高效办理DSMM认证:如何挑选合适的合作机构 2024-12-11