GB-T 36959-2026《网络安全技术 网络安全等级保护测评机构能力要求和评估规范》

1网络安全技术网络安全等级保护测评机构能力要求和评估规范本文件规定了网络安全等级保护测评机构的能力要求和能力评估。本文件适用于网络安全等级保护测评机构的管理、能力建设，以及对网络安全等级保护测评机构的能力评估等活动。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T22239信息安全技术网络安全等级保护基本要求GB/T28448信息安全技术网络安全等级保护测评要求3术语和定义下列术语和定义适用于本文件。网络安全等级保护测评机构assessmentorganizationofclassifiedprotectionofcybersecurity从事网络安全等级保护测评活动的专业第三方检测评估机构。等级测评师classifiedcybersecurityprotectionassessor经能力认定的从事网络安全等级保护测评的专业技术人员。能力评估capabilityevalua依据标准和/或其他规范性文件，对网络安全等级保护测评机构(以下简称“测评机构”)申请单位的能力进行评审、验证和评价的过程。评估机构evaluationorganization经授权对申请成为测评机构的企事业单位进行能力评估的专业技术机构。初次评估first-timeevaluation评估机构依据本文件和相关文件，首次对测评机构能力进行核查、验证和评价的过程。期间评估continuousevaluation为已经获得资质证书的测评机构是否持续地符合能力要求而在证书有效期内安排的定期或不定期的评估、抽查等活动。2能力复评capabilityreview获得测评机构资格有效期结束前，由评估机构对其实施全面评估以确认其是否持续符合能力要求，为延续到下一个资格有效期提供依据的活动。4测评机构能力要求4.1测评机构的分级测评机构按能力要求分为三级，级别由低到高依次是I级、Ⅱ级和Ⅲ级，级差是通过增加新的能力要求内容或在原内容基础上提出增强要求来实现。测评机构从事网络安全等级测评工作的人员按能力和岗位要求分为三级，级别由低到高依次是初级、中级和高级，具体要求应符合附录A的规定。4.3I级测评机构能力要求测评机构应具备以下基本条件：b)独立经营核算，无违法违规记录，并提供单位性质、股权结构、出资情况、法定代表人及股东身份等信息的文件材料，证明其机构合规、产权关系明晰；e)具有固定的办公场所，配备符合测评业务需要的测试设备和工具、实验环境等；f)具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度；除外);4.3.2组织管理能力4.3.2.1测评机构管理者应掌握等级保护政策文件，熟悉相关的标准。4.3.2.2测评机构应按等级测评活动要求组织并设立相关部门，明确其职责、权限和相互关系，保证各项工作的有序开展。不低于70%。4.3.2.4测评机构应设置符合等级测评工作需要的岗位，如测评技术员、测评项目组长、技术主管、质量3主管、保密安全员、设备管理员和档案管理员等，岗位职责明确，人员稳定。a)应根据国家有关保密规定制定保密管理制度，制度中应明确保密对象的范围、人员保密职责和测评过程保密管理的各项措施与要求，以及违反保密制度的罚则等内容。b)依据GB/T28449—201c)应制定设备管理制度，主要包括机构人员在仪器设备(含测试设备和工具)管理中的相关职责，以及仪器设备的购置、使用和运行维护的工作内容和管理要求。d)应制定文档管理制度，主要包括机构人员在测评文档(含电子文档)管理中的相关职责，以及档案借阅、保管直至销毁的工作内容和管理要求。e)应制定人员管理制度，主要包括人员录用、考核、日常管理以及离职/离岗等方面的工作内容和管理要求。f)应制定培训教育制度，主要包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建立的工作内容和管理要求等。4.3.3测评实施能力4.3.3.1.2测评机构应组织测评人员进行岗前培训，通过考核后持证上岗。4.3.3.1.4测评机构具备专职渗透测试人员不少于2人，专职渗透测试人员应掌握主流的网络渗透技术，熟悉常见的漏洞的发现、利用以及修补方法，熟练使用渗透测试工具，并拥有相关的人员能力证书或证明。4.3.3.1.5测评人员除具备等级测评师资格外，应参加多种形式的测评业务和技术培训，测评师每年培训时长累计不少于40学时。4.3.3.1.6测评机构应指定1名技术主管，全面负责等级测评方面的技术工作，测评机构技术主管应具备大学本科(含)以上学历，取得高级测评师证书或具有本领域专业技术高级职称。4.3.3.2测评能力4.3.3.2.2测评机构应保证在其能力范围内从事测评工作，并有符合测评工作要求的资源，包括以下方面。a)安全技术测评实施能力，指依据GB/T22239和GB/T28448等标准，以及测评对象所属领域4c)安全测试与验证能力，指根据实际测评情况，开发与测试相关的作业指导书，借助专用测试设备和工具，实现性能测试、漏洞发现与问题验证等方面的能力。e)风险分析能力，指根据分析测评中发现的安全问题可能导致的安全事件及安全事件危害，来确定风险等级的能力。f)重大隐患和风险发现能力，指通过攻防演练、专项行动等验证安全措施有效性的实战化方法，以漏洞利用、权限提升和横向测试等方式，最大化模拟攻击链，识别被测对象安全问题，并基于“相关性、严重性、高发性”原则，发现网络和信息系统重大隐患和风险的能力。g)出具测评结论能力，指在上述安全测评和安全问题风险分析的基础上，找出系统保护现状与4.3.3.2.3测评机构应依据测评工作流程，有计划、按步骤地开展测评工作，并保证测评活动的每个环节都得到有效的控制，要求如下。a)测评准备阶段，收集被测评系统的相关资料信息，填写规范的系统调查表，全面掌握被测评系统的情况，为测评工作的开展打下基础。b)方案编制阶段，正确合理地确定被测评对象、测评指标(包括针对特定被测评系统类型的扩展要求)及测评内容等，并依据现行有效的标准开发测评方案、测评指导书和测评结果记录表格等。测评方案应通过技术评审并有相关记录，测评指导书应进行版本有效性维护，且符合以下要求：1)符合相关的等级测评标准；c)现场测评阶段，执行测评方案和测评指导书中的内容和要求，并依据操作规程熟练地使用测试设备和工具，规范、准确和完整地填写测评结果记录，获取证据，客观、真实和科学地反映出系统的安全保护状况，测评过程应予以监督并记录。d)报告编制阶段，客观描述被测评系统已采取的有效保护措施和存在的主要安全问题情况，指出被测评系统安全保护现状与相应等级的保护要求之间的差距，分析差距可能导致被测评系统面临的风险，并根据风险识别重大风险隐患问题，给出等级测评结论，形成测评报告，测评报告应依据公安行政主管部门统一制定的网络安全等级测评报告模版的格式和内容要求编写，测评报告应通过评审并有相关记录。4.3.4设施和设备安全与保障能力5有独立的法人资格；e)配备经具备资质的机构安全认证合格或安全检测符合要求的网络关键设备和网络安全专用f)测评机构的测评业务相关管理系统若涉及处理被测评单位的第三级及以上系统相关敏感数据(如网络拓扑、资产信息和安全问题等),依照最小必要原则留存并采用符合国家密码管理要求的密码技术和产品保证数据在存储过程中的保密性和完整性，管理系统原则上需符合第三级及以上网络安全等级保护要求，并完成定级、备案和第三方等级测评工作，测评结论为符合或基本符合，且不存在重大风险隐患。4.3.4.2测评机构应具备符合相关要求的机房以及必要的软、硬件设备，应搭建由符合等级保护基本要求的环境和扩展要求组成的典型应用系统的模拟或仿真系统，以符合网络仿真、技术培训和模拟测试的需要。4.3.4.3测评机构应配备符合等级测评工作需要的安全测试设备和工具，如网络协议分析、漏洞扫描、渗透测试和恶意行为检测工具等，在测试过程中辅助发现安全问题，测试设备和工具符合以下要求：c)商业性工具的采购应有正式的采购流程，并应保证合法版权且授权在有效期内；d)开源类工具应明确来源、版本和许可信息，禁止使用非官方发布或其他开源市场下载的版本，保证可溯源；测评机构应对开源类工具进行功能性、安全性等方面的检测认证或比对测试，检测认证单位需具备国家相关质检部门认定相应检测资质，比对测试应提供相应报告或证明；测评机构应建立开源工具全生存周期管理机制，定期复核其兼容性及安全合规状态；e)自主研发类工具应符合规范化的开发流程，具备包括研发过程文档、用户手册和维护指南等完善的技术文档，并进行代码审查、功能性测试和安全性验证，并保留测试验证材料；4.3.4.4测评机构应保证测试设备和工具运行状态良好，并通过持续更新、升级等手段保证其提供准确的测评数据，测试设备和工具均应有正确的标识，并对其在测评项目中的使用情况进行记录。4.3.4.5测评机构应对使用测试设备和工具的人员进行培训，培训合格的人员予以授权。4.3.4.6测评机构应建立专门的制度，对用于测评数据处理的计算机进行有效的运行维护，并保证计算机中数据记录的机密性、完整性和可控性。4.3.5质量管理能力4.3.5.1管理体系建设4.3.5.1.1测评机构应建立、实施和维护符合等级测评工作需要的文件化的管理体系，并保证测评机构各级人员能理解和执行，已经建立和运行质量管理体系的，应与质量管理体系整合实施。4.3.5.1.2测评机构应制定相应的质量目标，不断提升自身的测评质量和管理水平。4.3.5.1.3测评机构应指定1名质量主管，明确其质量保证的职责。质量主管不应受可能有损工作质64.3.5.2.1测评机构应保证管理体系的有效运行，发现问题及时反馈并采取纠正措施，保证其有效性。4.3.5.2.2测评机构应制定并遵守申诉、投诉和争议处理制度，并应记录采取的措施。4.3.6.1.1测评机构及其测评人员应执行有关管理规范和标准，开展客观、公正和安全的测评服务。4.3.6.1.2测评机构和人员应不受可能影响其测评结果的来自商业、财务和其他因素的压力或干扰。4.3.6.1.3测评人员与被测评单位或测评项目存在利益关系的，应予以回避。4.3.6.2安全与保密性保证能力4.3.6.2.1测评机构应重视安全保密工作，指派安全保密工作的责任人。4.3.6.2.2测评机构应依据保密管理制度，每年至少组织开展1次安全保密教育培训，测评机构和测评人员应保守在测评活动中知悉的工作秘密、商业秘密和敏感信息，以及被测单位未公开的任何数据和信息。4.3.6.2.3测评机构应明确岗位保密要求，与全体人员签订保密责任书，规定其应履行的安全保密义务和承担的法律责任，并负责检查落实。4.3.6.2.4测评人员离职或调离测评相关岗位前，测评机构应与其签订离职/离岗保密承诺书。4.3.6.2.5测评机构应保证等级测评相关信息的安全、保密和可控，这些信息包括但不限于：a)被测评单位提供的资料；b)等级测评活动生成的数据和记录，如测评方案、测评报告和原始记录等；d)在测评服务中知悉的工作秘密、商业秘密和敏感信息等；e)测评过程中收集掌握的安全事件、问题隐患、涉及的信息系统漏洞、恶意代码和网络入侵攻击等网络安全信息。4.3.6.2.6测评机构应依据国家数据安全相关标准，采取有效的技术和管理措施，保证等级测评相关信息的整个数据生存周期和处理活动的安全和保密，这些措施包括但不限于：c)测评数据应存储于专门的文件服务器，并建立访问控制机制，基于最小权限原则为测评相关人员分配测评数据访问权限，并对重要操作进行日志审计；d)应制定数据备份和恢复策略，保证数据在遭到破坏时能及时恢复；e)应建立数据安全事件监测和响应机制，及时发现和处置安全问题。4.3.6.2.7测评机构应建立专门的文档存储场所和数据安全存储环境，并管理测评相关数据信息，措施包括但不限于：a)建立安全的文档存储场所，配备防火、防盗、门禁控制和视频监控等安全措施；b)在报告打印、装订、存档和销毁等环节，采用安全的操作流程和专门设备，保证数据不被泄露。4.3.6.3规范性保证能力4.3.6.3.1测评机构应保证测评方法、程序和审批过程的规范性，措施如下：7a)测评机构应制定程序，保证与等级测评工作相关的所有工作程序、指导书、标准、工作表格和核查记录表等现行有效并便于测评人员获得；b)上述文件的发布实施应履行统一的审批程序，文件的变更和修订应有授权并及时进行版本维护。4.3.6.3.2测评机构应保证测评记录内容和管理的规范性，措施如下：a)测评记录应清晰规范，并获得被测评方的书面确认；4.3.6.3.3测评机构应保证测评报告内容和出具过程管理的规范性，措施如下：a)测评机构应按公安行政主管部门统一制定的网络安全等级测评报告模版格式出具测评报告；b)测评报告应包括所有测评结果、根据这些结果做出的专业判断以及理解和解释这些结果所需要的所有信息，以上信息均应全面、准确和清晰地表述，并可溯源；c)测评报告由测评项目组长作为第一编制人，技术主管或具备高级测评师资质的授权人员负责审核，机构管理者或其授权人员签发或批准；d)能力评估合格的测评机构应对出具的等级测评报告统一加盖测评机构能力合格专用标识并登记归档；4.3.7风险控制能力4.3.7.1测评机构应充分估计测评可能给被测评系统带来的风险，风险包括但不限于以下方面：a)测评机构由于自身能力或资源不足造成的风险；b)由于测试设备和工具接入或测试验证行为可能对被测评系统正常运行造成影响的风险，或被测评单位放弃测试验证而造成的安全事件发生的风险；c)测评活动造成系统重要数据信息(如网络拓扑、网络地址、业务流程、安全机制、安全隐患和有关文档等)泄露的风险等；d)测评记录被篡改、破坏和丢失风险；e)测评活动完成之后被测评单位否认、拒绝接受测评结果的风险。4.3.7.2测评机构应通过多种措施对上述可能存在的风险加以规避和控制，包括不限于以下方面：a)测评机构应通过合同评审，保证有能力和资源完成测评任务；b)测评机构应在渗透测试前进行风险告知，在采取风险规避措施并得到被测评单位以书面形式正式授权后方可实施，对于放弃测试验证应有被测评单位的正式盖章声明；c)测评机构应保证测试工具的安全性，定期对测试工具安全验证和升级维护，并归档相关记录；d)测评活动完成后，测评机构应及时与被测评方完成文件交接，清除残留的数据信息并进行记录；e)测评机构应通过技术措施保证测评数据的完整性，并及时进行备份保存；f)测评活动完成后，所有测评相关数据需保存归档，并通过存证、固证技术，保证对测评过程记录、测评结果报告等各类数据的真实可信、不被篡改。4.3.7.3测评机构在测评活动中，发生或发现重大网络安全事件、重大网络安全风险隐患和重大网络安全威胁时，应按有关规定及时报告公安机关。4.3.7.4测评机构应建立问题自查和追溯机制，对本机构测评后出现的安全问题、安全事件进行追溯，视问题严重情况依法依规给予责任追究、问题处理、内部整改，并上报公安机关和主管部门。4.3.8可持续性发展能力4.3.8.1测评机构应根据自身情况制定战略规划，通过不断的投入保证测评机构的持续建设和发展。84.3.8.2测评机构应定期对管理体系进行评审并持续改进，不断提高管理要求。设定中、远期质量体系建设目标，通过目标的实现，逐步提升质量管理能力。4.3.8.5测评机构应向社会宣传和解读网络安全等级测评工作所依据的法律法规、政策和标准，推动等级保护工作的落实与发展。4.3.8.6测评机构应通过参与网络安全主管部门或行业部门组织的网络安全攻防演练等方式增强实战化能力。4.4Ⅱ级测评机构能力要求测评机构应具备以下基本条件：b)测评机构资金注册应独立经营核算，无违法违规记录，并提供单位性质、股权结构、出资情况、法定代表人及股东身份等信息的文件材料，证明其机构合规、产权关系明晰；c)测评机构的法定代表人、机构负责人、报告授权签字人和测评相关人员应具有中华人民共和国国籍，长期在境内居住，无境外永久居留权，并提供无犯罪记录证明并进行背景审查；d)具备重要行业部门或省级以上网络安全服务机构资格，参与3年及以上重要行业部门或省级网络安全监督检查、重要活动网络安全保卫，及实战化专项技术支持等工作；e)具有固定的办公场所，配备符合测评业务需要的测试设备和工具、实验环境等；g)不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务(自用除外);h)测评机构所有在职人员不应兼职于信息系统安全集成或网络安全产品研发、生产和销售企业，或持有其股权(包括在此类上市企业中持股达到信息披露标准及以上的情形);i)国家网络安全监管部门提出的其他条件。4.4.2组织管理能力4.4.2.1测评机构管理者应掌握等级保护政策文件，熟悉相关的标准。4.4.2.2测评机构应明确设立开展等级测评业务的部门，保证测评活动的独立性。4.4.2.3测评机构应具有胜任等级测评工作的专业技术人员，大学本科(含)以上学历所占比例原则上4.4.2.4测评机构应设置符合等级测评工作需要的岗位，如测评技术员、测评项目组长、技术主管、质量主管、保密安全员、质量监督员、设备管理员和档案管理员等，岗位职责明确，人员稳定，其中技术主管、质量主管应为专职人员，不应兼任。a)应根据国家有关保密规定制定保密管理制度，制度中应明确保密对象的范围、人员保密职责和测评过程保密管理的各项措施与要求，以及违反保密制度的罚则等内容；9以及仪器设备的购置、使用和运行维护的工作内容和管理要求；f)应制定培训教育制度，主要包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建立的工作内容和管理要求等；4.4.3测评实施能力4.4.3.1人员能力4.4.3.1.1测评人员应取得等级测评师证书，具有把握国家法律政策，理解并掌握相关技术标准，熟悉等级测评的方法、流程和工作规范等方面的知识及能力，并有依据测评结果做出专业判断以及出具等级测评报告等任务的能力。4.4.3.1.2测评机构应组织测评人员进行岗前培训，通过考核后持证上岗。4.4.3.1.4测评机构应有专门的渗透测试小组，小组人数不少于5人，渗透测试小组应具有参加省部级(含以上)重要网络和信息系统安全防护、检测评估、监测预警、主动防御和事件处置的经验和工作经历。训时长累计不少于40学时。4.4.3.1.6测评机构应指定1名技术主管，全面负责等级测评方面的技术工作。测评机构技术主管应具备大学本科(含)以上学历，取得高级测评师证书或具有本领域专业技术高级职称，并从事等级测评工4.4.3.1.7测评机构应建立并保存工作人员的人员档案，包括人员基本信息、社会背景、工作经历、培训记录、专业资格和奖惩情况等，保障人员的稳定和可靠。4.4.3.2.1测评机构每年开展等级测评的第三级(含)以上系统数量不应少于150个，其中依据等级保护技术标准的安全扩展要求，测评范围覆盖云计算、大数据、物联网、移动互联网及工业控制系统等新技术领域的被测评系统类型不应少于3个，数量不应少于50个。4.4.3.2.2测评机构应具备开展跨省(直辖市)运行的信息系统的测评实施能力。4.4.3.2.3测评机构应保证在其能力范围内从事测评工作，并有资源来符合测评工作要求，包括以下方面。c)安全测试与验证能力，指在真实网络攻防对抗环境中，应具备的问题隐患挖掘和风险深入排查能力。e)风险分析能力，指根据分析测评中发现的安全问题可能导致的安全事件及安全事件危害，来确定风险等级的能力。f)重大隐患和风险发现能力，指通过攻防演练、专项行动等验证安全措施有效性的实战化方法、以漏洞利用、权限提升和横向测试等方式，最大化模拟攻击链，识别被测对象安全问题，并基于“相关性、严重性、高发性”原则，发现网络和信息系统重大隐患和风险的能力，且应具备向省部级漏洞管理平台(或工作机制)常态化报送高危及以上漏洞的能力。4.4.3.2.4测评机构应加强信息技术在测评实施中的应用，借助自动化手段，规范测评流程，优化资源配置，减少人为因素可能造成的差错，提高测评工作的效率。4.4.3.2.5测评机构应建立完善的测评方法研发、维护和更新机制，持续提高自身测评技术能力。4.4.3.2.6测评机构应结合被测评系统的行业特点和业务类型，分析普遍存在的安全问题，并提出针对性的整改建议。4.4.3.2.7测评机构应依据测评工作流程，有计划、按步骤地开展测评工作，并保证测评活动的每个环节都得到有效的控制，要求如下。a)测评准备阶段，收集被测评系统的相关资料信息，填写规范的系统调查表，全面掌握被测评系统的情况，为测评工作的开展打下基础。b)方案编制阶段，正确合理地确定被测评对象、测评指标(包括针对特定测评系统类型的扩展要求)及测评内容等，并依据现行有效的标准开发测评方案、测评指导书和测评结果记录表格等。测评方案应通过技术评审并有相关记录，测评指导书应进行版本有效性维护，且符合以下要求：1)符合相关的等级测评标准；2)提供的信息可保证测评数据获取过程的规范性和可操作性。c)现场测评阶段，执行测评方案和测评指导书中的内容和要求，并依据操作规程熟练地使用测试设备和工具，规范、准确和完整的填写测评结果记录，获取证据，客观、真实和科学地反映出系统的安全保护状况，测评过程应予以监督并记录。d)报告编制阶段，客观描述被测评系统已采取的有效保护措施和存在的主要安全问题情况，指出被测评系统安全保护现状与相应等级的保护要求之间的差距，分析差距可能导致被测评系统面临的风险，并根据风险识别重大风险隐患问题，给出等级测评结论，形成测评报告，测评报告应依据公安行政主管部门统一制定的网络安全等级测评报告模版的格式和内容要求编写，测评报告应通过评审并有相关记录。4.4.4设施和设备安全与保障能力a)产品研制、生产单位是由中国公民、法人投资或国家投资或控股的，在中华人民共和国境内具有独立的法人资格；e)配备经具备资质的机构安全认证合格或安全检测符合要求的网络关键设备和网络安全专用产品；f)测评机构的测评业务相关管理系统若涉及处理被测评单位的第三级及以上系统相关敏感数据(如网络拓扑、资产信息和安全问题等),依照最小必要原则留存并采用符合国家密码管理要求的密码技术和产品保证数据在存储过程中的保密性和完整性，管理系统原则上需符合第三级及以上网络安全等级保护要求，并完成定级、备案和第三方等级测评工作，测评结论为符合或基本符合，且不存在重大风险隐患。4.4.4.2测评机构应具备符合相关要求的机房以及必要的软、硬件设备，应搭建由符合等级保护基本要求的环境和扩展要求组成的典型应用系统的模拟或仿真系统，以符合网络仿真、技术培训和模拟测试的需要。a)测试设备和工具的使用应符合国家相关法律法规和政策要求，并应符合数据安全和个人信息保护的原则。b)测试设备和工具应建立档案，配备使用说明和操作规程。c)商业性工具的采购应有正式的采购流程，并应保证合法版权且授权在有效期内。d)开源类工具应明确来源、版本和许可信息，禁止使用非官方发布或其他开源市场下载的版本，保证可溯源；测评机构应对开源类工具进行功能性、安全性等方面的检测认证或比对测试，检测认证单位需具备国家相关质检部门认定相应检测资质，比对测试应提供相应报告或证明；测评机构应建立开源工具全生存周期管理机制，定期复核其兼容性及安全合规状态。e)自主研发类工具应符合规范化的开发流程，具备包括研发过程文档、用户手册和维护指南等完善的技术文档，并进行代码审查、功能性测试和安全性验证，并保留测试验证材料。f)测评机构应具备测试设备和工具的供应链安全管理能力，识别和防范测试数据泄露、篡改和非法访问等安全风险。4.4.4.5测评机构应对使用测试设备和工具的人员进行培训，培训合格的人员予以授权。4.4.4.6测评机构应建立专门的制度，对用于测评数据处理的计算机进行有效的运行维护，并保证计算机中数据记录的机密性、完整性和可控性。4.4.5质量管理能力4.4.5.1管理体系建设4.4.5.1.1测评机构应建立、实施和维护符合等级测评工作需要的文件化的管理体系，并保证测评机构各级人员能理解和执行。已经建立和运行质量管理体系的，应与质量管理体系整合实施。4.4.5.1.2测评机构应制定相应的质量目标，不断提升自身的测评质量和管理水平。4.4.5.1.3测评机构应指定1名质量主管，明确其质量保证的职责。质量主管应熟悉质量管理体系相关知识，并拥有相应能力证明或资质证书，不应受可能有损工作质量的利益冲突影响，并有权直接与测评机构最高管理层沟通。4.4.5.2.1测评机构应保证管理体系的有效运行，发现问题及时反馈并采取纠正措施，保证其有效性。4.4.5.2.2测评机构应制定并遵守申诉、投诉和争议处理制度，并应记录采取的措施。4.4.5.2.3测评机构应建立并实施内部审核和管理评审机制，以验证管理体系的符合性及有效性，保证在管理体系运行过程中发现的问题及时得到解决。4.4.5.3质量监督能力测评机构质量监督员对测评活动实施质量监督。监督员应具备丰富的安全测评经验、精通安全测评技术，并能对测评结果做出权威判断。4.4.6.1公正性保证能力4.4.6.1.2测评机构和人员应不受可能影响其测评结果的来自商业、财务和其他因素的压力或干扰。4.4.6.1.3测评人员与被测评单位或测评项目存在利益关系的，应予以回避。4.4.6.1.4测评机构应以公开方式，向社会公布其开展网络安全等级测评工作所依据的法律法规、政策和标准。4.4.6.2安全与保密性保证能力4.4.6.2.2测评机构应依据保密管理制度，每年至少组织开展1次安全保密教育培训，测评机构和测评人员应保守在测评活动中知悉的工作秘密、商业秘密和敏感信息等，以及被测单位未公开的任何数据和信息。4.4.6.2.3测评机构应明确岗位保密要求，与全体人员签订保密责任书，规定其应履行的安全保密义务和承担的法律责任，并负责检查落实。4.4.6.2.4测评人员离职或调离测评相关岗位前，测评机构应与其签订离职/离岗保密承诺书。a)被测评单位提供的资料；b)等级测评活动生成的数据和记录，如测评方案、测评报告和原始记录等；c)依据上述信息做出的分析与专业判断；e)测评过程中收集掌握的安全事件、问题隐患、涉及的信息系统漏洞、恶意代码和网络入侵攻击等网络安全信息。4.4.6.2.6测评机构应依据国家数据安全相关标准，采取有效的技术和管理措施，保证等级测评相关信息的整个数据生存周期和处理活动的安全和保密，这些措施包括但不限于：b)应采用密码技术和产品保证测评数据传输和存储过程中的保密性和完整性；c)测评数据应存储于专门的文件服务器，并建立访问控制机制，基于最小权限原则为测评相关人员分配测评数据访问权限，并对重要操作进行日志审计；e)应建立数据安全事件监测和响应机制，及时发现和处置安全问题。4.4.6.2.7测评机构应建立专门的文档存储场所和数据安全存储环境，并管理测评相关数据信息，措施包括但不限于：4.4.6.3规范性保证能力4.4.6.3.1测评机构应保证测评方法、程序和审批过程的规范性，措施如下：a)测评机构应制定程序，保证与等级测评工作相关的所有工作程序、指导书、标准、工作表格和核查记录表等现行有效并便于测评人员获得；b)上述文件的发布实施应履行统一的审批程序，文件的变更和修订应有授权并及时进行版本维护。4.4.6.3.2测评机构应保证测评记录内容和管理的规范性，措施如下：a)测评记录应清晰规范，并获得被测评方的书面确认；4.4.6.3.3测评机构应保证测评报告内容和出具过程管理的规范性，措施如下：a)测评机构应按公安行政主管部门统一制定的网络安全等级测评报告模版格式出具测评报告；b)测评报告应包括所有测评结果、根据这些结果做出的专业判断以及理解和解释这些结果所需要的所有信息，以上信息均应全面、准确和清晰地表述，并可溯源；c)测评报告由测评项目组长作为第一编制人，技术主管或具备高级测评师资质的授权人员负责审核，机构管理者或其授权人员签发或批准；d)能力评估合格的测评机构应对出具的等级测评报告统一加盖测评机构能力合格专用标识并登记归档；4.4.6.4安全管理能力测评机构应重视自身的安全，通过部署安全措施提高安全管理能力。4.4.7风险控制能力4.4.7.1测评机构应充分估计测评可能给被测评系统带来的风险，风险包括但不限于以下方面：a)测评机构由于自身能力或资源不足造成的风险；b)由于测试设备和工具接入或测试验证行为可能对被测评系统正常运行造成影响的风险，或被测评单位放弃测试验证而造成的安全事件发生的风险；c)测评活动造成系统重要数据信息(如网络拓扑、网络地址、业务流程、安全机制、安全隐患和有关文档等)泄露的风险等；d)测评记录被篡改、破坏和丢失风险；e)测评活动完成之后被测评单位否认、拒绝接受测评结果的风险。4.4.7.2测评机构应通过多种措施对上述可能存在的风险加以规避和控制，包括不限于以下方面：a)测评机构应通过合同评审，保证有能力和资源完成测评任务；b)测评机构应在渗透测试前进行风险告知，在采取风险规避措施并得到被测评单位以书面形式正式授权后方可实施，对于放弃测试验证应有被测评单位的正式盖章声明；c)测评机构应保证测试工具的安全性，定期对测试工具安全验证和升级维护，并归档相关记录；d)测评活动完成后，测评机构应及时与被测评方完成文件交接，清除残留的数据信息并进行记录；e)测评机构应通过技术措施保证测评数据的完整性，并及时进行备份保存；4.4.7.3测评机构在测评活动中，发生或发现重大网络安全事件、重大网络安全风险隐患和重大网络安全威胁时，应按有关规定及时报告公安机关。4.4.7.4测评机构应建立问题自查和追溯机制，对本机构测评后出现的安全问题、安全事件进行追溯，视问题严重情况依法依规给予责任追究、问题处理、内部整改，并上报公安机关和主管部门。4.4.8可持续性发展能力4.4.8.1测评机构应根据自身情况制定战略规划，通过不断的投入保证测评机构的持续建设和发展。4.4.8.2测评机构应定期对管理体系进行评审并持续改进，不断提高管理要求。设定中、远期质量体系建设目标，通过目标的实现，逐步提升质量管理能力。4.4.8.3测评机构应实施完善的培训制度，以保证其人员在专业技术和管理方面持续符合等级测评工作的需要。除常规培训外，应根据人员的工作岗位需求，制定有针对性的培训计划，并进行岗位培训、考核和评定。4.4.8.4测评机构应跟踪国内外新技术、新应用和新业态的发展，组织开展相关领域网络安全的专项课题研究和实践，保证技术能力与当前的技术发展同步。4.4.8.5测评机构应向社会宣传和解读网络安全等级测评工作所依据的法律法规、政策和标准，推动等级保护工作的落实与发展。4.5Ⅲ级测评机构能力要求测评机构应具备以下基本条件：c)测评机构的法定代表人、机构负责人、报告授权签字人和测评相关人员应具有中华人民共和国国籍，长期在境内居住，无境外永久居留权，并提供无犯罪记录证明并进行背景审查；d)具备国家级行业主管部门网络安全相关服务机构资格，参与5年及以上国家级行业主管部门网络安全监督检查、重大活动网络安全保卫，及实战化专项技术支持等工作；e)具有固定的办公场所，配备符合测评业务需要的测试设备和工具、实验环境等；f)具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度；除外);4.5.2组织管理能力4.5.2.1测评机构管理者应掌握等级保护政策文件，熟悉相关的标准。4.5.2.2测评机构应明确设立开展等级测评业务的部门，保证测评活动的独立性。不低于90%。a)应根据国家有关保密规定制定保密管理制度，制度中应明确保密对象的范围、人员保密职责和测评过程保密管理的各项措施与要求，以及违反保密制度的罚则等内容。c)应制定设备管理制度，主要包括机构人员在仪器设备(含测试设备和工具)管理中的相关职责，以及仪器设备的购置、使用和运行维护的工作内容和管理要求。f)应制定培训教育制度，主要包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建立的工作内容和管理要求等。4.5.3测评实施能力4.5.3.1.2测评机构应组织测评人员进行岗前培训，通过考核后持证上岗。4.5.3.1.3测评师数量不应少于45人，其中高级测评师不少于5人，中级测评师不少于10人，人员比4.5.3.1.4测评机构应建设专门的攻防实验室，实验室技术人员不少于10人，实验室应具有参加各类国家级安全监测、通报预警、演习演练和应急处置的技术对抗经验，集攻防实战、技术研究与人才培养的综合性平台。4.5.3.1.5测评人员除具备等级测评师资格外，应参加多种形式的测评业务和技术培训，每年培训时长累计不少于40学时。4.5.3.1.6测评机构应指定1名技术主管，全面负责等级测评方面的技术工作。测评机构技术主管应具备大学本科(含)以上学历，取得高级测评师证书或具有本领域专业技术高级职称，并从事等级测评工作满10年。4.5.3.2测评能力4.5.3.2.1测评机构每年开展等级测评的第三级(含)系统数量不应少于304.5.3.2.2测评机构应具备开展全国联网运行的信息系统的测评实施能力。4.5.3.2.3测评机构应保证在其能力范围内从事测评工作，并有资源来符合测评工作要求，包括以下方面。b)安全管理测评实施能力，指依据GB/T22239和GB/T28448等标准，制定包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等方面测评指导书，对相应的被测评系统进行测试评估，获取测评记录并进行结果判定的能力。c)安全测试与验证能力，指在真实网络攻防对抗环境中，应具备的问题隐患挖掘和风险深入排查能力。e)风险分析能力，指根据分析测评中发现的安全问题可能导致的安全事件及安全事件危害，来确定风险等级的能力。f)重大隐患和风险发现能力，指通过攻防演练、专项行动等验证安全措施有效性的实战化方法、以漏洞利用、权限提升和横向测试等方式，最大化模拟攻击链，识别被测对象安全问题，并基于“相关性、严重性、高发性”原则，发现网络和信息系统重大隐患和风险的能力，且应具备向国家级漏洞管理平台(或工作机制)常态化报送高危及以上漏洞的能力。4.5.3.2.4测评机构应建立信息化平台，通过数据采集、处理和报告自动化生成等功能，提高测评工作效率和规模化实施能力。4.5.3.2.5测评机构应建立完善的测评方法研发、维护和更新机制，持续提高自身测评技术能力。4.5.3.2.6测评机构应针对被测评系统的行业特点开展安全状况分析，通过对安全问题的深入分析，提出全面的建设整改解决方案。a)测评准备阶段，收集被测评系统的相关资料信息，填写规范的系统调查表，全面掌握被测评系统的情况，为测评工作的开展打下基础。b)方案编制阶段，正确合理地确定测评对象、测评指标(包括针对特定被测评系统类型的扩展要求)及测评内容等，并依据现行有效的标准开发测评方案、测评指导书和测评结果记录表格等。测评方案应通过技术评审并有相关记录，测评指导书应进行版本有效性维护，且符合以下要求：1)符合相关的等级测评标准；d)报告编制阶段，客观描述被测评系统已采取的有效保护措施和存在的主要安全问题情况，指出被测评系统安全保护现状与相应等级的保护要求之间的差距，分析差距可能导致被测评系统面临的风险，并根据风险识别重大风险隐患问题，给出等级测评结论，形成测评报告，测评报告应依据公安行政主管部门统一制定的网络安全等级测评报告模版的格式和内容要求编写，测评报告应通过评审并有相关记录。4.5.3.2.8测评机构应通过参加市场监督管理部门组织的相关安全测评能力验证等活动来检验并提升测评实施能力。4.5.4设施和设备安全与保障能力a)产品研制、生产单位是由中国公民、法人投资或国家投资或控股的，在中华人民共和国境内具有独立的法人资格；b)产品的核心技术、关键部件具有我国自主知识产权；c)产品研制、生产单位声明没有故意留有或设置漏洞、后门、木马等程序和功能；d)对国家安全、社会秩序、公共利益不构成危害；e)应配备经具备资质的机构安全认证合格或安全检测符合要求的网络关键设备和网络安全专用f)测评机构的测评业务相关管理系统若涉及处理被测评单位的第三级及以上系统相关敏感数据(如网络拓扑、资产信息和安全问题等),依照最小必要原则留存并采用符合国家密码管理要求的密码技术和产品保证数据在存储过程中的保密性和完整性，管理系统原则上需符合第三级及以上网络安全等级保护要求，并完成定级、备案和第三方等级测评工作，测评结论为符合或4.5.4.2测评机构应具备符合相关要求的机房以及必要的软、硬件设备，应搭建由符合等级保护基本要求的环境和扩展要求组成的典型应用系统的模拟或仿真系统，并能针对新技术新应用进行实验部署，以符合网络仿真、技术培训和模拟测试的需要。c)商业性工具的采购应有正式的采购流程，并应保证合法版权且授权在有效期内。e)自主研发类工具应符合规范化的开发流程，具备包括研发过程文档、用户手册和维护指南等完善的技术文档，并进行代码审查、功能性测试和安全性验证，并保留测试验证材料。f)测评机构应具备测试设备和工具的供应链安全管理能力，识别和防范测试数据泄露、篡改和非法访问等安全风险。4.5.4.4测评机构应保证测试设备和工具运行状态良好，并通过持续更新、升级等手段保证其提供准确的测评数据，测试设备和工具均应有正确的标识，并对其在测评项目中的使用情况进行记录。4.5.4.5测评机构应对使用测试设备和工具的人员进行培训，培训合格的人员予以授权。4.5.5质量管理能力4.5.5.1管理体系建设4.5.5.1.1测评机构应建立、实施和维护符合等级测评工作需要的文件化的管理体系，并保证测评机构各级人员能理解和执行。已经建立和运行质量管理体系的，应与质量管理体系整合实施。4.5.5.1.3测评机构应指定1名质量主管，明确其质量保证的职责。质量4.5.5.2.1测评机构应保证管理体系的有效运行，发现问题及时反馈并采取纠正措施，保证其有效性。4.5.5.2.3测评机构应建立并实施内部审核和管理评审机制，以验证管理体系的符合性及有效性，保证在管理体系运行过程中发现的问题及时得到解决。4.5.5.3质量监督能力测评机构质量监督员对全体等级测评师开展监督，监督内容包括现场测评活动、测评过程规范性和测评结论的准确性等。4.5.6.1公正性保证能力4.5.6.1.1测评机构及其测评人员应执行有关管理规范和标准，开展客观、公正和安全的测评服务。4.5.6.1.2测评机构和人员应不受可能影响其测评结果的来自商业、财务和其他因素的压力或干扰。4.5.6.1.3测评人员与被测评单位或测评项目存在利益关系的，应予以回避。4.5.6.1.4测评机构应以公开方式，向社会公布其开展网络安全等级测评工作所依据的法律法规、政策和标准。4.5.6.2安全与保密性保证能力4.5.6.2.1测评机构应重视安全保密工作，指派安全保密工作的责任人。4.5.6.2.2测评机构应依据保密管理制度，每年至少组织开展1次安全保密教育培训，测评机构和测评人员应保守在测评活动中知悉的工作秘密、商业秘密和敏感信息等，以及被测单位未公开的任何数据和信息。4.5.6.2.3测评机构应明确岗位保密要求，与全体人员签订保密责任书，规定其应履行的安全保密义务和承担的法律责任，并负责检查落实。4.5.6.2.4测评人员离职或调离测评相关岗位前，测评机构应与其签订离职/离岗保密承诺书。4.5.6.2.5测评机构应保证等级测评相关信息的安全、保密和可控，这些信息包括但不限于：a)被测评单位提供的资料；b)等级测评活动生成的数据和记录，如测评方案、测评报告和原始记录等；c)依据上述信息做出的分析与专业判断；e)测评过程中收集掌握的安全事件、问题隐患、涉及的信息系统漏洞、恶意代码和网络入侵攻击等网络安全信息。4.5.6.2.6测评机构应采取有效的技术手段和管理措施，并管理测评相关数据信息措施包括但不限于：a)应与被测评单位在服务协议中明确约定数据安全保护的相关内容并应涵盖测评全过程相关数据的安全保护措施；b)应采用密码技术和产品保证测评数据传输和存储过程中的保密性和完整性；c)测评数据应存储于专门的文件服务器，并建立访问控制机制，基于最小权限原则为测评相关人员分配测评数据访问权限，并对重要操作进行日志审计；d)应制定数据备份和恢复策略，保证数据在遭到破坏时能及时恢复；e)应建立数据安全事件监测和响应机制，及时发现和处置安全问题。a)建立安全的文档存储场所，配备防火、防盗、门禁控制和视频监控等安全措施；b)在报告打印、装订、存档和销毁等环节，采用安全的操作流程和专门设备，保证数据不被泄露。4.5.6.3规范性保证能力b)上述文件的发布实施应履行统一的审批程序，文件的变更和修订应有授权并及时进行版本维护。4.5.6.3.2测评机构应保证测评记录内容和管理的规范性，措施如下：a)测评记录应清晰规范，并获得被测评方的书面确认；b)测评记录应翔实、完整，不应漏记、补记和追记。4.5.6.3.3测评机构应保证测评报告内容和出具过程管理的规范性，措施如下：a)测评机构应按公安行政主管部门统一制定的网络安全等级测评报告模版格式出具测评报告；b)测评报告应包括所有测评结果、根据这些结果做出的专业判断以及理解和解释这些结果所需要的所有信息，以上信息均应全面、准确和清晰地表述，并可溯源；c)测评报告由测评项目组长作为第一编制人，技术主管或具备高级测评师资质的授权人员负责审核，机构管理者或其授权人员签发或批准；d)能力评估合格的测评机构应对出具的等级测评报告统一加盖测评机构能力合格专用标识并登记归档；4.5.6.4安全管理能力测评机构应制定安全方针和目标，并在其指导下建立、实施和维护符合自身等级测评工作要求的安全管理体系，通过体系的有效运行提升安全管理能力。4.5.7风险控制能力4.5.7.1测评机构应充分估计测评可能给被测评系统带来的风险，风险包括但不限于以下方面：a)测评机构由于自身能力或资源不足造成的风险；c)测评活动造成系统重要数据信息(如网络拓扑、网络地址、业务流程、安全机制、安全隐患和有关文档等)泄露的风险等；d)测评记录被篡改、破坏和丢失风险；e)测评活动完成之后被测评单位否认、拒绝接受测评结果的风险。4.5.7.2测评机构应通过多种措施对上述可能存在的风险加以规避和控制，包括不限于以下方面：b)测评机构应在渗透测试前进行风险告知，在采取风险规避措施并得到被测评单位以书面形式正式授权后方可实施，对于放弃测试验证应有被测评单位的正式盖章声明；c)测评机构应保证测试工具的安全性，定期对测试工具安全验证和升级维护，并归档相关记录；d)测评活动完成后，测评机构应及时与被测评方完成文件交接，清除残留的数据信息并进行记录；e)测评机构应通过技术措施保证测评数据的完整性，并及时进行备份保存；4.5.7.3测评机构在测评活动中，发生或发现重大网络安全事件、重大网络安全风险隐患和重大网络安全威胁时，应按有关规定及时报告公安机关。4.5.7.4测评机构应建立问题自查和追溯机制，对本机构测评后出现的安全问题、安全事件进行追溯，视问题严重情况依法依规给予责任追究、问题处理、内部整改，并上报公安机关和主管部门。4.5.8可持续性发展能力4.5.8.1测评机构应根据自身情况制定战略规划，通过不断的投入保证测评机构的持续建设和发展。4.5.8.2测评机构应定期对管理体系进行评审并持续改进，不断提高管理要求。设定中、远期质量体系建设目标，通过目标的实现，逐步提升质量管理能力。4.5.8.4测评机构应跟踪国内外新技术、新应用和新业态的发展，组织开展相关领域网络安全的专项课题研究和实践，保证技术能力与当前的技术发展同步。4.5.8.5测评机构应向社会宣传和解读网络安全等级测评工作所依据的法律法规、政策和标准，