当前位置：首页 > news >正文

【等保测评】网络安全服务认证技术规范（等级保护测评）

news 来源：原创 2024/9/20 9:45:12

1 范围

本文件规定了网络安全等级保护测评服务提供者，开展等级保护测评服务需遵循的服务特性和服务管理的要求。

本文件适用于网络安全等级保护测评服务提供者开展测评服务时在服务设计、服务提供、服务交付、服务管理等方面应遵循的规范，以确保测评服务的质量，为测评服务的可靠性和可信性提供技术保障依据。

本文件用于认证中心在完成等级保护测评服务认证现场审查时的审查及评判的依据。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单) 适用于本文件。

GB/T 5271.8 信息技术词汇第8部分：安全

GB 17859 计算机信息系统安全保护等级划分准则

GB/T 20984 信息安全技术信息安全风险评估方法

GB/T 22239 信息安全技术网络安全等级保护基本要求

GB/T 25069 信息安全技术术语

GB/T 27000 合格评定词汇和通用原则

GB/T 27065 合格评定产品、过程和服务认证机构要求

GB/T 27400 合格评定服务认证技术通则

GB/T 28448 信息安全技术网络安全等级保护测评要求

GB/T 28449 信息安全技术网络安全等级保护测评过程指南

GB/T 36959 信息安全技术网络安全等级保护测评机构能力要求和评估规范

3 术语和定义

3.1 术语和定义

GB/T 5271.8、GB/T 22239、GB/T 25069、GB/T 27000、GB/T 27065、GB/T 27400、GB/T 28448、 GB/T 28449、GB/T 36959界定的以及下列术语和定义适用于本文件。

3.1.1

等级保护测评服务

至少有一项活动必需在等级保护测评服务提供者和网络运营者之间进行的服务提供者的输出。

3.1.2

等级保护测评服务提供者

即等级保护测评机构，依据GB/T 36959标准运行,经国家市场监督管理总局会同公安部等相关部门审核确定的认证机构(以下简称认证中心)认证通过，从事等级保护测评工作的机构。

注1：本文件在没有歧义的情况下，简称为测评机构。

3.1.3

服务认证

服务提供者的服务及管理达到要求有关的第三方证明。

[来源：GB/T 27400-2020，3.8]

3.1.4

授权签字人

经测评机构授权，签批带认证标识的网络安全等级保护测评报告的人员。

3.1.5

等级保护测评师

依据 GB/T 36959 提出的等级保护测评服务人员能力要求，经授权的等级保护测评人员能力评估机构考核通过的专业测评技术人员。按照能力考核结果，等级保护测评师分为初级测评师、中级测评师和高级测评师。

注1：本文件简称为测评师。

3.1.6

测评相关人员

本文中的测评相关人员指与测评项目实施相关的人员，包括测评师、渗透测试人员、业务受理人员、保密安全员、设备管理员和档案管理员等。

4 服务管理要求

4.1 法律法规要求

4.1.1 测评机构应严格遵守《中华人民共和国网络安全法》、《中华人民共和国民法典合同编》、《中华人民共和国认证认可条例》、《关键信息基础设施安全保护条例》、《认证证书和认证标志管理办法》及公安部发布的网络安全相关行业监管文件等相关法律法规，并满足本文件规定的相关要求。

4.1.2 测评机构在单位性质、产权关系、注册资金、责任义务等方面应满足以下要求：

a)由中国公民、法人或者国家投资，在中华人民共和国境内注册成立的企事业单位；

b)产权关系明晰，注册资金500万元以上，独立经营核算，且无违法违规记录，需能提供单位性质、股权结构、出资情况、法人及股东身份等信息的文件材料；

c)在测评活动中，发现重大网络安全事件、重大网络安全风险隐患和重大网络安全威胁时，应按有关规定及时报告公安机关。

4.2 环境与设施设备要求

4.2.1 具有固定的办公场所，具体要求如下：

a) 原则上同一法人、同一注册地址在首次申请时只能有一个办公地址；

b) 办公地址应包括开展等保测评相关所有职能的场所，如机房、档案室、测评实验环境、测评办公区域(不含办事处)等；

c) 办公地址搬迁时需向认证中心提出申请，完成现场审查后方可获得新地址证书；

d) 可在同一城市进行办公场所扩充，地址扩充需向认证中心提出申请，完成现场审查后方可获得新地址证书；

e) 不可开设分支机构；

f) 测评实验环境、档案室及测评办公区域需设置独立区域。

4.2.2 配备满足测评业务需要的检测评估工具、实验环境等，具体要求如下：

a) 配备满足等级保护测评工作需要的测评设备和工具(如漏洞检测工具、渗透测试工具等)，在测试过程中辅助发现安全问题。测评设备和工具应经安全认证合格或者安全检测合格；

b) 配备满足测评业务开展需要的实验环境，设备至少满足技术培训、模拟测试的需要(应能模拟等级保护第三级系统，至少包括主流的操作系统、数据库、网络和安全设备、 web应用等)，用于满足网络安全仿真、技术培训和模拟测试的需要；

c)自主开发的测试工具及开源测试工具需实施安全验证后方可使用，安全验证内容包括但不限于：恶意代码、功能正确性、自身安全性等。

4.2.3 测评机构使用的与测评相关的管理系统、设备及设施宜符合以下条件：

a) 产品研制、生产单位是由中国公民、法人投资、国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；

b) 产品的核心技术、关键部件具有我国自主知识产权；

c) 产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；

d) 对国家安全、社会秩序、公共利益不构成危害；

e) 经安全认证合格或者安全检测符合要求的。

4.2.4 测评机构应制定设备管理制度，包括机构人员在仪器设备(含测评设备和工具) 管理中的相关职责、仪器设备的购置、使用和运行维护的各项规定等。

4.2.5 测评机构应确保测评设备和工具运行状态良好，并通过持续更新、升级等手段保证其提供准确的测评数据。

4.2.6 测评设备和工具均应有正确的标识，以表明其运行状态、资产管理等情况。

4.3 人员要求

4.3.1 测评机构应制定人员管理制度，其中包括人员录用、考核、日常管理以及离职等方面的内容和要求。

4.3.2 测评机构应建立并保存工作人员的人员档案，包括劳动合同、学历证明、人员基本信息、社会背景、工作经历、专业资格、奖惩情况等。

4.3.3 测评机构应设置满足等级保护测评工作需要的岗位，如测评师、测评项目组长、技术主管、质量主管、渗透测试人员、保密安全员、设备管理员和档案管理员等，岗位职责明确。

4.3.4 测评机构人员基本条件需满足：具有测评师证书的人员不少于15名，其中高级测评师不少于1人，中级测评师不少于5人。

4.3.5 具备专职渗透测试人员不少于2人，专职渗透人员具体要求如下：

a) 能力要求：掌握常见的漏洞原理、利用以及修补方法；掌握常见渗透测试工具使用方法；掌握主流的网络渗透技术；

b) 能力证明：需提供能力评价证明，如：能力评估证书、现场见证、能力考核证明等。

4.3.6 测评机构的法人、机构负责人、报告授权签字人和测评相关人员应具有中华人民共和国国籍，长期在境内居住，并提供最近一个审查周期内开具的无犯罪记录证明。

4.3.7 测评师应参加指定机构举办的考试并取得等级保护测评师证书，持证上岗。

4.3.8 测评机构实施等级保护测评工作的测评师和渗透测试人员，大学本科(含) 以上学历所占比例不低于70%。

4.3.9 测评机构应在管理层中指定一名技术主管，全面负责等级保护测评方面的技术工作。

4.3.10 测评机构应指定一名或多名质量主管，由中、高级测评师担任，明确其质量保证的职责。质量主管的工作独立性不应受到相关利益或冲突的影响，并有权直接与测评机构最高管理层沟通。

4.3.11 测评师、测评项目组长和技术主管岗位人员应分别取得初、中、高级测评师证书。

4.3.12 技术主管、质量主管、测评师、渗透测试人员等人员应掌握国家政策，理解和掌握相关技术标准，熟悉等级保护测评的方法、流程和工作规范等方面的知识，有依据测评结果做出专业判断并出具等级保护测评报告的能力。

4.3.13 对于测评师的日常变更，测评机构应在变更后10个工作日内向认证中心授权的等级保护测评人员能力评估机构报备。测评师的变更，测评机构还应在每年年度监督审查前向认证中心管理系统提交相应的变更材料。

4.3.14 测评师一年内未参与测评活动的，应及时向认证中心授权的等级保护测评人员能力评估机构上报情况。测评机构不应挂靠或者聘用兼职测评师开展测评业务。

4.3.15 测评机构应监督测评师妥善保管测评师证书，不应涂改、出借、出租和转让，并按认证中心授权的“等级保护测评人员能力评估机构”的要求完成测评师证书的年检。

4.3.16 具有以下情形之一的，等级保护测评人员能力评估机构可注销测评师证书：

a)未经允许擅自使用、泄露或出售等级保护测评活动中收集的数据信息、资料或测评报告的；

b) 违反本规范规定，有涂改、出借、出租和转让测评师证书等行为的；

c) 因测评行为不当，影响网络安全或造成被测评单位利益损失的；

d) 一年内未参与测评活动的；

e) 从原测评机构离职或者单位被认证中心取消《网络安全等级保护测评与检测评估机构服务认证证书》的测评人员，在六个月内未入职其他测评机构的。

4.4 公正性要求

4.4.1 测评机构及其测评相关人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。

4.4.2 测评机构不应从事对等级保护测评相关工作的公正性产生影响的业务，包括从事信息系统安全集成或网络安全产品研发(自用除外) 、生产、销售等，自用的网络安全产品包含：测评工具、测评管理系统等用于提升测评工作有效性的自用产品。

4.4.3 测评机构所有在职人员不应投资或兼职于信息系统安全集成或网络安全产品研发、生产、销售企业。

4.4.4 测评机构不应限定被测评单位购买、使用指定的网络安全产品，或者与产品和服务商存在利益勾结行为等。

4.4.5 测评机构的人员应不受可能影响其测评结果的来自于商业、财务和其他方面的压力。

4.4.6 测评机构及其测评相关人员不应泄露被测评单位工作秘密、重要数据信息。

4.4.7 测评机构及其测评相关人员不应隐瞒测评过程中发现的重大安全问题，不应在测评过程中弄虚作假。

4.5 安全保密要求

4.5.1 测评机构应制定保密管理制度，指定保密安全员，定期对测评相关人员进行保密教育，测评机构和测评相关人员应当保守在测评活动中知悉的国家秘密、工作秘密、商业秘密、个人隐私等。

4.5.2 测评机构应明确岗位保密要求，与测评相关人员签订保密责任书，规定其应当履行的安全保密义务和承担的法律责任，并负责检查落实。

4.5.3 测评机构应采取技术和管理措施来确保等级保护测评相关信息的安全、保密和可控，这些信息包括但不限于：

a) 被测评单位提供的资料；

b) 等级保护测评活动生成的数据和记录；

c) 依据上述信息做出的分析与专业判断；

d) 在测评服务中知悉的商业秘密、重要敏感信息和个人信息；

e) 在测评服务中收集掌握的网络信息、系统漏洞、恶意代码、网络攻击等信息。

4.5.4 测评机构应借助有效的技术手段，确保等级保护测评相关信息的整个数据生命周期的安全。

4.5.5 不应擅自使用、泄露或出售等级保护测评活动中收集的数据信息、资料或测评报告等。

4.5.6 离职人员需签订保密协议，并保存人员档案三年。

4.6 质量管理要求

4.6.1 测评机构应建立、实施和维护符合等级保护测评工作需要的文件化的管理体系，并确保测评机构各级人员能够理解和执行。

4.6.2 测评机构应按一定方式组织并设立测评服务相关的部门，明确其职责、权限和相互关系，保证测评业务管理、测评相关人员、合同管理、项目管理、测评资源管理等工作的有序开展。

4.6.3 测评机构应制定保障测评质量的质量管理制度。

4.6.4 测评机构应制定相应的质量目标，不断提升自身的测评质量和管理水平。

4.6.5 测评机构应保证管理体系的有效运行，发现问题及时反馈并采取纠正措施，确保其有效性。

4.6.6 测评机构应定期对管理体系进行评审并持续改进，不断提高管理要求。设定中、远期目标，通过目标的实现，逐步提升质量管理能力。

4.6.7 测评机构应制定申诉、投诉及争议处理制度，包括测评机构各岗位人员在申诉、投诉和争议处理活动中相应的职责，建立从受理、确认到处置、答复等环节的完整程序。

4.6.8 测评机构应严格遵守申诉、投诉及争议处理制度，并应记录采取的措施。

4.7 风险控制能力

4.7.1 测评机构应持续评估测评可能给被测系统带来的风险，风险识别点包括但不限于以下方面：

a) 测评机构由于自身能力或资源不足造成的风险；

b) 测试验证活动可能对被测系统正常运行造成影响的风险；

c) 测试设备和工具接入可能对被测系统正常运行造成影响的风险；

d) 测评过程中可能发生的被测系统重要信息(如网络拓扑、IP 地址、业务流程、安全机制、安全隐患和有关文档等) 泄漏的风险；

e) 干扰被测评网络的正常运行的风险；

f) 测评不到位导致测评结论不准确的风险；

g) 测评行为失当造成被测评单位利益损失的风险；

h) 其他可能给被测系统带来的风险。

4.7.2 测评机构应通过多种措施对上述被测系统可能面临的风险加以规避和控制。

4.7.3 测评机构应建立网络安全应急处置机制，防范测评风险。

4.7.4 测评机构应建立风险识别点、风险规避和控制、风险安全应急处置机制的文件化规定或记录。

4.8 可持续发展要求

4.8.1 测评机构应制定培训教育制度，包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建立等内容和要求。

4.8.2 测评师应每年参加多种形式的测评业务和技术培训，每人每个自然年的培训时长累计不少于 40 学时。

4.8.3 测评师上岗前，应参加等级保护测评业务岗前培训，培训合格的方可上岗。

4.8.4 测评机构应根据培训制度做好培训工作，并保存培训和考核记录。

4.8.5 测评机构应根据自身情况制定战略规划，通过不断的投入保证测评机构的持续建设和发展。

4.8.6 测评机构应投入专门的力量从事测评实践总结和测评技术研究工作，测评机构间应进行经验交流和技术研讨，保持与测评技术发展的同步性。

4.9 合同管理

4.9.1 等保测评服务合同的签订应满足《中华人民共和国民法典合同编》的相关要求。

4.9.2 等保测评服务合同应进行唯一编号。

4.9.3 为了保证等级保护测评服务质量，在签订等保测评服务合同时，除满足合同主体双方责、权、利等相关需求外，合同内容应包括但不限于测评服务主体、开展测评业务所依据的标准、测评系统名称、

测评系统级别、保密条款、合同所包含的测评系统的单价、合同总价、合同签署时间、合同签署责任主体的全称和公章等。

4.9.4 测评机构不应分包、转包、代理测评项目，不应违反《反不正当竞争法》扰乱测评工作的正常开展。

4.9.5 测评机构应至少保留一份纸质合同。

4.10 项目管理

4.10.1 测评机构应依据 GB/T 28449制定完备的、符合自身特点的测评项目管理程序，主要应包括测评工作的组织形式、工作职责、测评各阶段的工作内容和管理要求等。

4.10.2 测评机构应将测评项目实施情况及时、如实上报“网络安全等级保护测评项目登记管理系统”。

4.11 档案管理

4.11.1 测评机构在实施测评项目时，应依据GB/T 28449的要求开展测评工作，输出的文档包括但不限于以下内容：项目计划书、信息系统调查表、等级保护测评方案及测评方案评审记录、测评风险规避实施方案及测评风险告知书、现场测评授权记录、测评启动会议记录、现场测评首次、末次会议记录、测评过程记录 (包括原始记录、截图 (若有) 、照片 (若有) 、差旅等可以追溯整个测评过程证明材料) 、漏洞扫描原始记录、渗透测试原始记录、各类测评结果确认记录、漏洞扫描确认记录、渗透测试确认记录、等级保护测评报告及等级保护测评报告评审记录等。

4.11.2 测评过程文档中除了测评报告、测评方案、授权文档、盖章原件、原始记录签字确认记录必须为纸质档外，其余测评文档可保存电子档，但电子档的管理应确保其可追溯性和不可更改性。

4.11.3 测评机构应保存最近两年的纸质档案，满两年及以上的纸质档可转为电子档管理，但需确保档案的完整性和可追溯性，并按照测评系统的生命周期合理规划档案保存期限。

4.12 联动管理

测评服务合同管理、测评项目管理、测评档案管理、测评机构代码章及防伪标识的加施应进行联动管理。

5 测评能力要求

5.1 测评实施能力

5.1.1 首次申请的测评机构应通过提供案例、过程记录等资料，证明其具有从事网络安全相关工作两年以上的工作经验。

5.1.2 测评机构应保证在其能力范围内从事测评工作，并有足够的资源来满足测评工作要求，具体体现在以下方面：

a)安全技术测评实施能力，包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心方面测评指导书的开发、使用、维护及获取相关结果的专业判断；

b) 安全管理测评实施能力，包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等方面测评指导书的开发、使用、维护及获取相关结果的专业判断；

c) 测评综合实施能力，包括扩展要求(如云计算、移动互联、物联网、工业控制系统、大数据等) 、行业特殊要求、其他测评新技术等方面测评指导书的开发、使用、维护及获取相关结果的专业判断；

d) 安全测试与分析能力，指根据实际测评要求，开发与测试相关的工作指导书，借助专用测评设备和工具，实现漏洞发现与问题分析等方面的能力；

e)整体测评实施能力，指根据测评报告单元测评的结果记录部分、结果汇总部分和问题分析部分，从安全控制点间和区域间出发考虑，给出整体测评具体结果的能力；

f)风险分析能力，指依据等级保护的相关规范和标准，采用风险分析的方法分析等级保护测评结果中存在的安全问题可能对被测评系统安全造成的影响的能力。

5.1.3 测评机构应依据GB/T 28449的相关要求，有计划、按步骤地开展测评工作，并保证测评活动的每个环节都得到有效的控制，具体要求如下：

5.1.3.1 测评准备阶段，应收集被测系统的相关资料信息，填写规范的信息系统调查表，全面掌握被测评系统的详细情况，为测评工作的开展打下基础，信息系统调查表的填写至少满足以下要求：

a) 资产对象及对象的基本信息应完整，无重要资产或重要内容缺失，收集的信息足以用于支撑等级测评后续各项活动；

b) 网络拓扑图应绘制规范、内容清晰可辨、安全区域划分清楚、整体结构清晰完整，关键设备信息完整；

c)网络结构描述应全面准确，如包括但不限于区域的划分和描述、域间的连接和防护、外部连接、无法在拓扑图上表达清楚的内容(如内置VPN/防火墙/IPS/防病毒等安全功能模块、双机热备等)；

d) 适用时，对云计算、物联网、移动互联、工控、大数据等新技术新应用的资产开展有针对性的调查； e)资产重要程度赋值应准确。

5.1.3.2 方案编制阶段，应正确合理地确定测评对象、测评指标及测评内容等，并依据现行有效的技术标准、规范开发测评方案、测评指导书、测评结果记录表格等。测评方案应通过技术评审并有相关记录，测评指导书应进行版本有效性维护，且满足以下要求：

a) 需符合相关的等级保护测评标准，符合的等级保护测评标准，包括但不限于GB 17859 、GB/T 22239、 GB/T28448、GB/T 28449、GB/T 20984；

b) 提供足够详细的信息以确保测评数据获取过程的规范性和可操作性；

c) 测评方案中应合理设计漏洞扫描和渗透测试路径和对象。具体要求包括但不限于：

(1) 测试工具的接入宜采取从外到内, 从其他网络到本地网络的逐步逐点接入, 即测试工具从被测定级对象边界外接入、在被测定级对象内部与测评对象不同区域网络及同一网络区域内接入等方式；

(2) 漏洞扫描和渗透测试目标包括但不限于网络设备、安全设备、操作系统、数据库管理系统、应用系统、中间件以及新技术新应用相关的特征要素等。

5.1.3.3 现场测评阶段，应严格执行测评方案和测评指导书中的内容和要求，并依据操作规程熟练地使用测评设备和工具，规范、准确、完整的填写测评结果记录，获取足够证据，客观、真实、科学地反映出系统的安全保护状况，测评过程应予以监督并记录；其中渗透测试人员亦应遵循测评方案开展验证测试工作，并完整记录验证测试过程；

5.1.3.4 报告编制阶段，应客观描述等级保护对象已采取的有效保护措施和存在的主要安全问题情况，指出等级保护对象安全保护现状与相应等级的保护要求之间的差距，分析差距可能导致被测评系统面临的风险，给出等级保护测评结论，形成测评报告，测评报告应依据公安行政主管部门统一制订的网络安全等级保护测评报告模版的格式和内容要求编写，测评报告应通过评审并有相关记录。测评报告要求如下：

a) 测评记录内容应详细 (覆盖测评项的所有要求) 、准确，支持符合性判断；

b) 不适用项的判定应准确，且详细说明判定理由；

c) 安全问题描述及风险分析应准确，且与测评记录反映的情况一致；

d) 整体测评分析应合理，从“弥补”和“削弱”两个方向开展分析；

e) 整改建议完整，覆盖所有安全问题；

f) 验证测试部分内容应包括漏洞扫描和渗透测试接入点及目标，并覆盖测试方法、测试结果、危害分析、整改建议等关键要素；

g) 测评结论应准确。

5.2 测评规范化管理

5.2.1 测评机构应保证与等级保护测评工作有关的工作程序、指导书、标准规范、工作表格、核查记录表等现行有效并便于测评相关人员获得。

5.2.2 测评机构应保证测评记录内容和管理的规范性，测评记录应当清晰规范，并获得被测评方的书面确认。

5.2.3 测评机构应制定文档管理制度，包括机构人员在测评文档(含电子文档) 管理中的相关职责、档案借阅、保管直至销毁的各项规定等。

5.2.4 测评机构应保证测评报告的规范性：