网络安全等级保护测评管理办法

网络安全等级保护测评管理办法一、总则（一）目的依据。为规范网络安全等级保护测评工作，维护网络空间安全，依据《中华人民共和国网络安全法》等法律法规制定本办法。本办法适用于全国范围内开展网络安全等级保护测评活动，是测评机构、被测评单位及相关管理部门开展工作的基本遵循。（二）基本原则。测评工作应当遵循客观公正、科学规范、合法合规、分级分类的原则，确保测评结果的准确性和权威性。测评机构应当独立于被测评单位，不得与被测评单位存在利益关系影响测评结果。二、测评机构管理（一）资质要求。从事网络安全等级保护测评的机构应当具备以下条件：具有独立法人资格，注册资本不少于100万元；拥有不少于10名具备相应资质的测评人员；具备必要的测评设备和技术环境；通过国家相关认证机构的资质认证。测评机构应当定期进行资质复审，确保持续符合资质要求。（二）人员管理。测评人员应当具备以下条件：具有大专及以上学历，计算机相关专业背景；通过国家网络安全等级保护测评人员认证；具备3年以上相关工作经验。测评机构应当对测评人员进行定期培训，更新其专业知识和技术能力，确保测评人员具备相应的专业素养。（三）设备管理。测评机构应当配备必要的测评设备，包括但不限于网络嗅探器、漏洞扫描器、渗透测试工具、安全审计系统等，并定期进行维护和更新，确保设备的正常运行和数据的准确性。三、测评对象与范围（一）测评对象。本办法所称测评对象是指中华人民共和国境内依法运营的网络和信息系统，包括但不限于政府机关、企事业单位、社会组织的网络和信息系统。测评对象应当按照网络安全等级保护制度的要求，定期开展等级保护测评工作。（二）测评范围。测评范围应当包括被测评对象的网络基础设施、主机系统、应用系统、数据资源、安全管理制度等各个方面，具体包括以下内容：网络架构和通信线路；服务器、操作系统、数据库等主机系统；Web应用、业务系统等应用系统；重要数据资源及其保护措施；网络安全管理制度和操作规程；安全防护措施和技术手段。四、测评流程与标准（一）测评流程。测评工作应当遵循以下流程：测评准备；现场访谈；技术测试；结果分析；报告编制；报告提交。测评机构应当在测评前与被测评单位签订测评合同，明确双方的权利义务，并制定详细的测评方案。（二）测评标准。测评工作应当依据国家网络安全等级保护标准进行，具体包括以下标准：GB/T22239-2019《信息安全技术网络安全等级保护基本要求》；GB/T28448-2019《信息安全技术网络安全等级保护测评要求》；GB/T31166-2014《信息安全技术网络安全等级保护测评过程指南》。测评机构应当根据被测评对象的等级保护级别，选择相应的测评标准进行测评。五、测评内容与方法（一）测评内容。测评内容应当包括被测评对象的网络安全等级保护制度落实情况、技术防护措施符合性、安全管理措施有效性等三个方面，具体包括以下内容：网络安全等级保护制度建立和落实情况；网络架构和通信线路安全防护措施；主机系统安全防护措施；应用系统安全防护措施；数据资源安全防护措施；安全管理制度和操作规程；安全防护措施和技术手段。（二）测评方法。测评工作应当采用定性与定量相结合的方法，具体包括以下方法：现场访谈；文档查阅；技术测试；漏洞扫描；渗透测试；安全审计。测评机构应当根据被测评对象的实际情况，选择合适的测评方法，确保测评结果的准确性和全面性。六、测评结果与报告（一）测评结果。测评结果应当包括被测评对象的网络安全等级保护制度落实情况、技术防护措施符合性、安全管理措施有效性等方面的评价，具体包括以下内容：符合性评价；有效性评价；风险评价。测评机构应当根据测评结果，对被测评对象的网络安全等级保护工作进行综合评价。（二）测评报告。测评报告应当包括以下内容：测评背景；测评依据；测评范围；测评流程；测评内容；测评结果；改进建议。测评报告应当客观、准确、完整，并经测评机构负责人审核签字后，方可提交给被测评单位。七、监督管理与责任（一）监督管理。国家网络安全监督管理部门负责对网络安全等级保护测评工作进行监督管理，包括对测评机构的资质管理、测评过程的监督、测评结果的审核等。测评机构应当接受国家网络安全监督管理部门的监督管理，并按照相关规定报送测评报告。（二）责任划分。测评机构应当对测评结果的准确性负责，不得出具虚假测评报告。被测评单位应当配合测评机构开展测评工作，提供必要的资料和条件。国家网络安全监督管理部门应当对违反本办法的行为进行查处，包括对测评机构的处罚、对被测评单位的处罚等。八、附则（一）解