TRIMPS-JSGF-003：2024《网络安全服务认证技术规范（等级保护测评）》

TRIMPS-JSGF-003：2024《网络安全服务认证技术规范（等级保护测评）》1范围本文件规定了网络安全等级保护测评服务提供者（以下简称“测评机构”）开展等级保护测评服务需遵循的服务特性和服务管理要求，明确了测评服务全流程的技术标准和管理规范。本文件适用于测评机构开展等级保护测评服务时，在服务设计、服务提供、服务交付、服务管理等各个环节的操作与管控，旨在确保测评服务的质量，为测评服务的可靠性和可信性提供技术保障依据。同时，本文件也作为认证中心完成等级保护测评服务认证现场审查时的审查及评判依据，规范认证审查流程和标准。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T5271.8信息技术词汇第8部分：安全GB17859计算机信息系统安全保护等级划分准则GB/T20984信息安全技术信息安全风险评估方法GB/T22239信息安全技术网络安全等级保护基本要求GB/T25069信息安全技术术语GB/T27000合格评定词汇和通用原则GB/T27065合格评定产品、过程和服务认证机构要求GB/T27400合格评定服务认证技术通则GB/T28448信息安全技术网络安全等级保护测评要求GB/T28449信息安全技术网络安全等级保护测评过程指南GB/T36959信息安全技术网络安全等级保护测评机构能力要求和评估规范3术语和定义GB/T5271.8、GB/T22239、GB/T25069、GB/T27000、GB/T27065、GB/T27400、GB/T28448、GB/T28449、GB/T36959界定的以及下列术语和定义适用于本文件。3.1等级保护测评服务至少有一项活动必需在等级保护测评服务提供者和网络运营者之间进行的服务提供者的输出，核心是对网络运营者已定级备案的非涉及国家秘密的网络（含信息系统、数据资源等）的安全保护状况进行检测评估。3.2等级保护测评服务提供者即等级保护测评机构，依据GB/T36959标准运行，经国家市场监督管理总局会同公安部等相关部门审核确定的认证机构（以下简称“认证中心”）认证通过，从事等级保护测评工作的机构。注1：本文件在没有歧义的情况下，简称为测评机构。测评机构实行推荐目录管理，按能力要求分为三级，级别由低到高依次是Ⅰ级、Ⅱ级和Ⅲ级。3.3服务认证服务提供者的服务及管理达到要求有关的第三方证明（来源：GB/T27400-2020，3.8）。3.4授权签字人经测评机构授权，签批带认证标识的网络安全等级保护测评报告的人员。3.5等级保护测评师依据GB/T36959提出的等级保护测评服务人员能力要求，经授权的等级保护测评人员能力评估机构考核通过的专业测评技术人员。按照能力考核结果，等级保护测评师分为初级测评师、中级测评师和高级测评师。注1：本文件简称为测评师。3.6测评相关人员本文中的测评相关人员指与测评项目实施相关的人员，包括测评师、渗透测试人员、业务受理人员、保密安全员、设备管理员和档案管理员等。4服务管理要求4.1法律法规要求4.1.1合规性要求测评机构应严格遵守《中华人民共和国网络安全法》《中华人民共和国民法典合同编》《中华人民共和国认证认可条例》《关键信息基础设施安全保护条例》《认证证书和认证标志管理办法》及公安部发布的网络安全相关行业监管文件等相关法律法规，并满足本文件规定的相关要求。4.1.2机构资质要求测评机构在单位性质、产权关系、注册资金、责任义务等方面应满足以下要求：a)由中国公民、法人或者国家投资，在中华人民共和国境内注册成立的企事业单位；b)产权关系明晰，注册资金500万元以上，独立经营核算，且无违法违规记录，需能提供单位性质、股权结构、出资情况、法人及股东身份等信息的文件材料；c)在测评活动中，发现重大网络安全事件、重大网络安全风险隐患和重大网络安全威胁时，应按有关规定及时报告公安机关。4.2环境与设施设备要求4.2.1办公场所要求测评机构应具有固定的办公场所，具体要求如下：a)原则上同一法人、同一注册地址在首次申请时只能有一个办公地址；b)办公地址应包括开展等保测评相关所有职能的场所，如机房、档案室、测评实验环境、测评办公区域（不含办事处）等；c)办公地址搬迁时需向认证中心提出申请，完成现场审查后方可获得新地址证书；d)可在同一城市进行办公场所扩充，地址扩充需向认证中心提出申请，完成现场审查后方可获得新地址证书；e)不可开设分支机构；f)测评实验环境、档案室及测评办公区域需设置独立区域。4.2.2测评设备与实验环境要求测评机构应配备满足测评业务需要的检测评估工具、实验环境等，具体要求如下：a)配备满足等级保护测评工作需要的测评设备和工具（如漏洞检测工具、渗透测试工具等），在测试过程中辅助发现安全问题。测评设备和工具应经安全认证合格或者安全检测合格；b)配备满足测评业务开展需要的实验环境，设备至少满足技术培训、模拟测试的需要（应能模拟等级保护第三级系统，至少包括主流的操作系统、数据库、网络和安全设备、web应用等），用于满足网络安全仿真、技术培训和模拟测试的需要；c)自主开发的测试工具及开源测试工具需实施安全验证后方可使用，安全验证内容包括但不限于：恶意代码、功能正确性、自身安全性等。4.2.3设备与系统安全要求测评机构使用的与测评相关的管理系统、设备及设施宜符合以下条件：a)产品研制、生产单位是由中国公民、法人投资、国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；b)产品的核心技术、关键部件具有我国自主知识产权；c)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；d)对国家安全、社会秩序、公共利益不构成危害；e)经安全认证合格或者安全检测符合要求的。4.2.4设备管理制度要求测评机构应制定设备管理制度，包括机构人员在仪器设备（含测评设备和工具）管理中的相关职责、仪器设备的购置、使用和运行维护的各项规定等。4.2.5设备维护要求测评机构应确保测评设备和工具运行状态良好，并通过持续更新、升级等手段保证其提供准确的测评数据。4.2.6设备标识要求测评设备和工具均应有正确的标识，以表明其运行状态、资产管理等情况。4.3人员要求4.3.1人员管理制度测评机构应制定人员管理制度，其中包括人员录用、考核、日常管理以及离职等方面的内容和要求。4.3.2人员档案管理测评机构应建立并保存工作人员的人员档案，包括劳动合同、学历证明、人员基本信息、社会背景、工作经历、专业资格、奖惩情况等。4.3.3岗位设置要求测评机构应设置满足等级保护测评工作需要的岗位，如测评师、测评项目组长、技术主管、质量主管、渗透测试人员、保密安全员、设备管理员和档案管理员等，岗位职责明确。4.3.4人员能力要求测评机构的工作人员应具备相应的专业能力，其中测评师需经授权的能力评估机构考核通过，具备对应等级的测评能力；其他测评相关人员也应具备岗位所需的专业知识和操作技能，满足岗位工作要求。4.3.5保密要求测评机构应加强工作人员的保密管理，签订保密协议，明确保密责任，防止在测评过程中泄露网络运营者的敏感信息、测评数据及相关资料，确保信息安全。5测评服务实施要求5.1测评准备阶段测评机构在开展测评服务前，应完成充分的准备工作，确保测评工作有序开展，具体要求如下：a)资产对象及基本信息应完整，无重要资产/内容缺失；b)明确测评范围、测评目标和测评依据，结合网络运营者的业务特点和系统实际情况，制定科学合理的测评方案；c)网络结构描述应全面准确，包含区域划分、域间防护等内容；d)与网络运营者签订测评服务合同，明确双方的权利和义务，约定测评内容、测评周期、交付成果等关键事项。5.2测评实施阶段测评机构应按照测评方案和相关标准要求，开展现场测评工作，具体要求如下：a)测评人员应严格遵守测评流程和操作规范，客观、公正地开展测评工作，如实记录测评过程和结果；b)采用符合标准要求的测评方法和工具，对系统的安全物理环境、安全网络环境、安全计算环境、安全应用环境、安全管理等方面进行全面检测；c)整体测评实施能力应从安全控制点间、层面间和区域间出发考虑，给出整体测评结果；d)测评过程中发现的安全问题，应及时与网络运营者沟通确认，做好详细记录，为后续测评报告编制和整改建议提供依据。5.3测评交付阶段测评工作完成后，测评机构应及时整理测评数据和相关资料，编制测评报告，具体要求如下：a)测评报告应内容完整、数据准确、结论明确，包含测评概述、测评范围、测评方法、测评结果、安全问题分析、整改建议等内容；b)测评报告应由授权签字人签批，并加盖测评机构公章，确保报告的合法性和有效性；c)及时将测评报告交付给网络运营者，并配合网络运营者解读测评结果，指导其开展安全整改工作；d)测评机构应配合完成“等保测评服务认证关键过程见/验证”（如有），见证结果需满足GB/T28448、GB/T28449