第一篇：中國信息安全測評中心揭牌

深化安全技術測評，維護國家信息安全

來源：明朝萬達 作者： 發布時間：2008-12-0

210月31日，中國信息安全測評中心揭牌儀式在北京中關村軟件園隆重舉行，正式拉開了中國信息安全測評中心啟用新名稱、履行新職能的重要一幕。

來自國家質檢總局、工業和信息化部、國家發改委等近三十個中央國家機關相關部門的領導，和來自信息安全界的知名院士專家，以及信息安全產業界的代表百余人親臨現場表示祝賀。

信息安全測評認證是信息安全保障的基礎性工作，特別是在當前我國信息技術與產業的核心競爭力還不強，關鍵技術、關鍵設備還受制于人的情況下，嚴格把住信息技術產品的市場準入關尤為重要。黨中央、國務院對信息安全測評認證工作高度重視，早在1997年第一屆國務院信息化工作領導小組就授權國家質檢總局啟動了信息安全產品測評認證體系建設工作。經過幾年的籌建和試運行，2001年中央批準在國家質檢總局設立了“中國信息安全產品測評認證中心”，負責我國的信息安全測評與認證工作。經過十年的發展，基本建立了對信息安全產品、信息系統安全性、信息安全服務資質和信息安全專業人員資質進行測評認證的能力；形成了較為完備的組織工作體系；對一千多個產品、系統和服務廠商實施了測評認證，對數千名信息安全專業人員進行了認證和國家注冊；主持制定了二十多項體現我國特色的測評技術國家標準；為十多個中央和國家部委提供了安全技術測評服務，在保障國家信息安全方面發揮了重要作用。

2004年10月，中國信息安全產品測評認證中心根據國家質檢總局等八部委聯合下發的《關于建立國家信息安全認證認可體系的通知》中實行測評和認證職能分離的要求，將信息安全產品的認證工作移交給新成立的“中國信息安全認證中心”，并更名為“中國信息安全測評中心”，繼續承擔信息安全產品的測評工作，為認證工作提供科學、權威、客觀、公正的技術依據；與此同時，增加對我國基礎信息網絡和重要信息系統進行風險評估的新職能。

根據中央領導“加快安全測評中心的建設”的重要指示精神，中國信息安全測評中心在國家質檢總局、工業和信息化部、中編辦、國家發改委、財政部、科技部等有關部門的大力支持下，先后落實了人員編制、辦公條件、科研裝備和運行經費，作為國家風險評估專控隊伍，近年來承擔了對我國基礎信息網絡和重要信息系統以及奧運

網絡信息系統的風險評估與安全檢查工作任務，發現了大量安全漏洞和網絡失泄密隱患，提出了有效整改建議，及時堵塞了漏洞、消除了隱患，為確保北京奧運會的成功舉辦和維護國家信息安全發揮了重要作用。

在今天的揭牌儀式上，來自各方的領導在致辭中對喬遷新址、肩負新使命的中國信息安全測評中心寄予了殷切厚望。中國信息安全測評中心的負責人表示，將不負重托，按照中央領導指示要求，繼續深化信息安全測評工作，組織科研攻堅，夯實業務基礎，實現重點突破，為確保我國信息化建設的健康、和諧、可持續發展恪盡職守，再立新功。

第二篇：國家信息安全測評

國家信息安全測評

信息安全服務資質申請指南

（風險評估一級）

?版權2014—中國信息安全測評中心

2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

目錄

目錄 2 引言 3

一、認定依據................................................................................................................................4

二、級別劃分................................................................................................................................4三、一級資質要求........................................................................................................................4

3.1 基本資格要求...................................................................................................................5 3.2 基本能力要求...................................................................................................................5

3.2.1 組織與管理要求.....................................................................................................5 3.2.2 技術能力要求.........................................................................................................5 3.2.3 人員構成與素質要求.............................................................................................6 3.2.4 設備、設施與環境要求.........................................................................................6 3.2.5 規模與資產要求.....................................................................................................6 3.2.6 業績要求.................................................................................................................6 3.3 安全風險評估過程能力要求...........................................................................................6 3.4 項目和組織過程能力要求...............................................................................................7

四、資質認定................................................................................................................................8

4.1認定流程圖........................................................................................................................8 4.2申請階段.............................................................................................................................9 4.3資格審查階段.....................................................................................................................9 4.4能力測評階段.....................................................................................................................9

4.4.1靜態評估..................................................................................................................9 4.4.2現場審核................................................................................................................10 4.4.3綜合評定................................................................................................................10 4.4.4資質審定................................................................................................................10 4.5證書發放階段...................................................................................................................10

五、監督、維持和升級..............................................................................................................11

六、處置......................................................................................................................................11

七、爭議、投訴與申訴..............................................................................................................11

八、獲證組織檔案......................................................................................................................12

九、費用及周期..........................................................................................................................12

十、聯系方式..............................................................................................................................13

發布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

引言

中國信息安全測評中心是經中央批準成立的國家信息安全權威測評機構，職能是開展信息安全漏洞分析和風險評估工作，對信息技術產品、信息系統和風險評估的安全性進行測試與評估。對信息安全服務和人員的資質進行審核與評價。

中國信息安全測評中心的主要職能是：

1.為信息技術安全性提供測評服務； 2.信息安全漏洞分析； 3.信息安全風險評估；

4.信息技術產品、信息系統和風險評估安全測試與評估； 5.信息安全服務和信息安全人員資質測評； 6.信息安全技術咨詢、風險評估監理與開發服務。

“信息安全服務資質認定”是對信息安全服務的提供者的技術、資源、法律、管理等方面的資質、能力和穩定性、可靠性進行評估，依據公開的標準和程序，對其安全服務保障能力進行評定和確認。為我國信息安全服務行業的發展和政府主管部門的信息安全管理以及全社會選擇信息安全服務提供一種獨立、公正的評判依據。

本指南適用于所有向CNITSEC申請信息安全服務資質（風險評估一級）的境內外組織。

發布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

一、認定依據

信息安全服務（風險評估類）資質認定是對信息安全風險評估服務提供者的資格狀況、技術實力和信息安全風險評估實施過程質量保證能力等方面的具體衡量和評價。

信息安全服務（風險評估類）資質級別的評定，是依據《信息安全服務資質評估準則》和不同級別的信息安全服務資質（風險評估類）具體要求，在對申請組織的基本資格、技術實力、信息安全風險評估服務能力以及安全風險評估項目的組織管理水平等方面的評估結果基礎上的綜合評定后，由中國信息安全測評中心給予相應的資質級別。

二、級別劃分

信息安全服務（風險評估類）資質認定是對信息安全風險評估服務提供者的綜合實力的客觀評價和確認，信息安全服務（風險評估類）資質級別反映了信息安全風險評估服務提供者從事信息安全風險評估服務保障能力的成熟程度。資質級別劃分的主要依據包括：基本資格與基本能力要求、安全風險評估過程能力要求、項目與組織管理能力要求和其他補充要求等。

信息安全服務資質分為五個級別，由一級到五級依次遞增，一級是最基本級別，五級為最高級別。

一級：基本執行級 二級：計劃跟蹤級 三級：充分定義級 四級：量化控制級 五級：持續改進級三、一級資質要求

申請信息安全服務（風險評估一級）資質的組織需要在基本資格和基本能力、發布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

安全風險評估過程能力和項目與組織過程能力等幾個方面符合《信息安全服務資質具體要求（風險評估一級）》的規定。

3.1 基本資格要求

申請信息安全服務（風險評估一級）資質的組織必須是一個獨立的實體，具有工商行政管理部門頒發的營業執照，并遵守國家現行法律法規。

3.2 基本能力要求 3.2.1 組織與管理要求

1.必須擁有健全的組織和管理體系，為持續的信息安全風險評估服務提供保障；

2.必須具有專業從事信息安全風險評估服務的隊伍和相應的質量保證； 3.與安全風險評估服務相關的所有成員要簽訂保密合同，并遵守有關法律法規。

3.2.2 技術能力要求

1.了解信息系統技術的最新動向，有能力掌握信息系統的最新技術； 2.具有不斷的技術更新能力；

3.具有對信息系統的狀況進行調研、分析和描述的能力；

4.具有對信息系統面臨的安全威脅、存在的安全隱患進行信息收集、識別、分析能力；

5.具有對信息系統的資產及其影響進行識別、分析和評估的能力； 6.具有對信息系統的脆弱性進行識別分析和評估的能力； 7.具有根據信息安全風險的結果提出應對安全措施的能力； 8.具有應用國際國內最新信息安全風險評估方法的能力； 9.有跟蹤、了解、掌握、應用國際、國家和行業標準的能力。

發布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

3.2.3 人員構成與素質要求

1.具有充足的人力資源和合理的人員結構；

2.所有與信息安全服務有關的管理和銷售人員應具有基本的信息安全知識；

3.有相對穩定的從事信息安全風險評估服務的技術隊伍；

4.技術骨干人員應系統地掌握信息系統安全基礎理論和核心技術，并有足夠的專業工作經驗；

5.必須有2名以上(含2名)專職的注冊信息安全專業人員(CISP)。

3.2.4 設備、設施與環境要求

1.具有固定的工作場所和良好的工作環境；

2.具有實施信息安全風險評估服務的相關工具和設備。

3.2.5 規模與資產要求

1.有足夠的注冊資金和充足的流動資金；

2.具有與所申請安全服務業務范圍、承擔的安全風險評估規模相適應的服務體系；

3.有足夠的人員從事直接與信息安全風險評估服務相關的活動。

3.2.6 業績要求

1.應有從事信息安全風險評估服務的經驗；

2.近3年內在信息安全風險評估服務方面，沒有出現驗收未通過的情況。

3.3 安全風險評估過程能力要求

安全風險評估過程能力是評價信息安全風險評估服務專業水平高低的標志。申請組織應能實施以下6個安全風險評估過程域： 1.風險評估準備

發布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

2.評估系統資產的影響； 3.評估系統存在的脆弱性； 4.評估系統面臨的安全威脅； 5.評估系統已有的安全措施； 6.評估系統的安全風險。

3.4 項目和組織過程能力要求

項目和組織過程能力是評價信息安全風險評估服務規范性和質量保證成熟度標志。

申請組織應能實施以下6個項目和組織過程域： 1.質量保證； 2.管理項目風險； 3.規劃技術活動； 4.監控技術活動；

5.提供不斷發展的技能和知識； 6.與供應商協調。

發布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

四、資質認定

4.1認定流程圖

申請委托人申請不受理形式化審查申請階段資格審查階段受理決定受理靜態評估現場審核限期整改綜合評定不通過綜合評定通過資質審定不通過發證決定抽樣檢查通過證書發放不予發證能力測評階段證書發放階段公告證后監督證后監督階段

發布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

4.2申請階段

申請組織應首先到CNITSEC網站（http://www.tmdps.cnITSEC，同時提交申請費。在向CNITSEC遞交申請書前，須逐項檢查所填報的材料的完整性和正確性。

4.3資格審查階段

CNITSEC接到正式申請書及相關資料以及申請費后，根據所提交的資料進行資格審查，以確認申請單位是否滿足資質的基本資格要求，提交資料是否完整。

資格審查包括對申請單位所提交資料進行的形式化審查以及對申請單位的進一步調查和溝通。如果資格審查階段發現有不符合要求的內容，CNITSEC將要求申請組織補充資料等。

當通過資格審查階段后，CNITSEC將與申請組織簽訂合同，正式受理該申請，并通知相關費用的繳納事宜等。

4.4能力測評階段

當申請組織通過資格審查并繳納了相關費用后，資質申請進入能力測評階段。

能力測評階段包括靜態評估、現場審核、綜合評定和資質審定四個步驟。

4.4.1靜態評估

靜態評估是對申請組織資料進行符合性審查，是對申請組織的信息安全風險評估服務能力做出基本判斷，初步確定申請組織的信息安全風險評估服務能力水 發布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

平狀況，為現場審核做準備。如果在靜態評估階段發現申請組織的信息安全風險評估能力不能滿足資質要求，將要求申請組織進行整改，待整改完成達到后進入現場審核階段。

4.4.2現場審核

現場審核是對申請組織從事信息安全風險評估服務的綜合能力（包括技術能力、管理能力、質量保證、設施設備、工作環境、人員構成及素質、經營業績、資產狀況等方面）進行核實和確認。

通過靜態評估后，CNITSEC將與申請組織溝通現場審核事宜，安排審核組進行現場審核。

現場審核若發現需整改的不符合項，審核組將對申請組織提出限期整改的要求，并對整改效果進行驗證。

4.4.3綜合評定

在綜合評定階段，將依據靜態評估和現場審核結果，對申請組織的基本資格、基本能力、信息安全風險評估服務能力以及資質所要求的其他內容進行綜合評定，出具綜合評定報告。

對評定結果不符合的，CNITSEC將要求申請組織限期整改。申請組織完成整改并向CNITSEC提交整改報告后，CNITSEC將對整改結果進行驗證，整改仍不符合的，將不能通過能力測評。逾期未整改的，視作整改不符合。

4.4.4資質審定

根據綜合評定的報告，CNITSEC技術委員會將組織技術專家對申請組織的信息安全風險評估服務資質進行審查，并最終做出是否通過的決定。

4.5證書發放階段

資質審定通過后，CNITSEC將進行資質證書的制作、審批和發放，并在網站、報刊雜志等媒體上公布獲證組織的相關信息。

發布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

五、監督、維持和升級

獲得資質的組織需通過持續發展自身信息安全服務體系以保持基本能力及安全風險評估過程能力。CNITSEC將通過申訴系統、現場見證以及對信息安全服務項目進行抽樣檢查來驗證每個獲得資質組織的能力。

證書在三年有效期內實行年確認制度，每三年進行一次維持換證。獲證后，每年在證書簽發之日前30天內，獲證組織要向CNITSEC提交調查表，并到CNITSEC辦理年檢。CNITSEC年檢中發現獲證組織不符合資質認定要求的，將要求其限期整改，整改后仍不合格，CNITSEC將暫停或取消證書。

在證書有效期屆滿前90天內，由獲證組織提出維持換證申請。CNITSEC將依據信息安全服務資質維持有關政策進行評審，以確定獲證組織符合信息安全風險評估服務能力一級資質要求的持續性。

若獲證組織相關資料變動時，須及時通知CNITSEC，并申請更改。若獲證組織實體發生變化，需要進行資質證書的轉移，可到CNITSEC網站（http://www.tmdps.cnITSEC申請二級資質。

六、處置

獲證組織存在違規行為時，CNITSEC有權視組織違規情節輕重予以以下處置：警告、限期整改、暫停證書、取消證書。

七、爭議、投訴與申訴

對CNITSEC所作的評審、復查、處置等決定有異議時，可向CNITSEC提出書面申訴。CNITSEC將會責成與所申訴、投訴事項無利益相關的人員進行調查，CNITSEC在調查基礎上做出結論。

發布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

獲證組織應妥善處理因自身行為而發生的投訴，保留記錄并采取措施防止問題的再發生。CNITSEC將在必要時查閱獲證組織的申訴/投訴記錄。

八、獲證組織檔案

CNITSEC將對每個獲證組織建立專項檔案，所有資料將保存10年以上。

九、費用及周期

信息安全服務資質認定收費劃分為如下四個部分：

（一）申請費：2000元

（二）測評費：3000元/人日

（三）審定與注冊費（含證書費）：3000元

（四）年金（含標志使用費）：5000元/年

未獲得安全工程類服務資質的機構，首次申請風險評估資質（一級）費用： 2000（申請費）＋3000×3×2(三人二日測評費)+3000（審定與注冊費）+15000（三年年金）＝38000元。

未獲得安全工程類服務資質的機構，風險評估資質（一級）維持費用： 2000（申請費）＋3000×2×2.5(二人二日半測評費)+3000（審定與注冊費）+5000（三年年金）＝35000元。

已獲得安全工程類服務資質的機構，申請風險評估資質（一級）費用（首次申請和維持）：

2000（申請費）＋3000×3×0.5(三人二日測評費)+3000（審定與注冊費）=9500元

已獲得安全工程類服務資質的機構申請風險評估資質時不再重復收取年金。

申請組織還應承擔因現場審核活動審核組成員所發生的交通和食宿費用。

從受理到頒發證書的周期為四個月，但由于申請方原因（如，資料補充需要的時間等）造成的時間延誤不計算在內。發布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

十、聯系方式

名 稱：中國信息安全測評中心 資質評估處 地 址：中國北京市海淀區上地西路8號院1號樓 郵 編：100085 傳 真：010－82341100 咨詢電話：

資質受理： 010－82341582、010－82341568 證后管理： 010－82341553

發布日期：2014年5月1日

第三篇：山東省網絡與信息安全測評中心業務介紹

附件：山東省網絡與信息安全測評中心簡介

中國賽寶（山東）實驗室/山東賽寶電子信息產品監督檢測研究院（山東省電子產品監督檢驗所），始建于1973年，是我省電子信息領域唯一的法定專職電子信息產品監督檢驗機構。1994年成為信息產業部國家重點實驗室的核心成員——“中國賽寶（山東）實驗室”。1997年成為中國實驗室國家認可委員會按IEC/ISO國際標準認可的校準/檢測實驗室，同年，成為中國國家進出口商品檢驗實驗室認可委員會認可的國家級實驗室。2000年成為國家質檢總局、國家工商行政管理總局、國家信息產業部、國家公安部、最高人民法院等五部委授權的微機、視聽、家電、頻控產品消費爭議仲裁實驗室和公共安全技術防范以及司法鑒定機構。

近30年來，隨著我國電子信息產業的飛速發展，我院（所）的組織管理、環境試驗條件、網絡環境條件、軟件測評認證條件、信息安全測評認證條件、人員素質、儀器設備配置日趨完善，先后取得以下資質和授權：

? 中國信息安全產品測評認證中心山東測評中心辦事處

? 山東省網絡與信息安全測評中心

? 最高人民法院授權司法鑒定機構

? 國家公安部山東安全防范工程檢測機構

? 信息產業部授權的山東省計算機信息系統集成資質認證中心

? 山東省信息產業廳授權的山東省信息系統工程監理評審中心

? 山東省建設廳智能建筑產品質量監督檢驗實驗室

? 山東省勞動和社會保障廳計算機專業職業技能鑒定所

? 山東省電子信息產品例行試驗中心

我所現有員工125人，各類專業技術人員110人，其中電子信息科學領域研究員、碩士生導師5名，高級工程師46人，政府各類技術專家庫成員30余人。技術業務領域涉及信息網絡工程檢測、公共安全技術防范系統、技防產品、電子元部件、視聽整機產品及視聽工程、電教語音及多媒體教學設備、微機系統及應用產品、通訊類產品、電力自動化設備等30余類上千種產品，并涵蓋信息化工程、智能化建筑、園區各個系統。

山東省網絡與信息安全測評中心于2005年11月經山東省信息化工作領導小組辦公室、山東省信息產業廳批準，授權山東省電子產品監督檢驗所組建，這是我省唯一一家從事網絡與信息安全測評業務的職能機構，為山東信息化主管部門及各行業信息化主管部門及企、事業單位提供第三方安全技術服務。

山東省網絡與信息安全測評中心依據中國信息安全產品測評認證中心《授權機構管理辦法（試行）》和《授權測評機構專業技術能力指南》，建立了中心質量保證體系，形成質量體系相關文件，依據ISO/IEC 17025《測試和校準實驗室能力要求的通用要求》建立完整的文件化質量體系和測評技術方法體系。

山東省網絡與信息安全測評中心的信息安全測試評估業務通過了山東省質量技術監督局計量認證、中國實驗室國家認可委員會（CNAL）的實驗室認可。

山東省網絡與信息安全測評中心負責對外開展山東省信息產業廳、山東省網絡與信息安全協調小組辦公室及中國信息安全產品測評認證中心授權的相關業務，主要范圍為：

1.遵照國信辦[2006]5號文件的要求，對網絡與信息系統的設計、驗收及運行維護

階段進行安全性測評與信息系統安全風險評估；

2.山東省信息化工程驗收評測；

3.對山東省信息化工作領導小組辦公室、山東省網絡與信息安全協調小組及其辦公

室提供技術支撐和應急救援響應工作。

4.其他經中國信息安全產品測評認證中心批準的相關業務。

5.提供信息安全解決方案、咨詢及服務。

第四篇：信息安全等級測評實施細則(稿)

信息安全等級保護等級測評實施細則

第一章 總則

第一條【目的】為加強信息安全等級測評機構建設和管理，規范等級測評活動，保障信息安全等級保護制度的貫徹落實，根據《信息安全等級保護管理辦法》等有關規范制訂本實施細則。

第二條【適用范圍】本細則適用于等級測評機構、測評人員和測評活動的規范管理。

第三條【等級測評定義】等級測評是測評機構依據國家信息安全等級保護制度規定，受有關單位委托，按照有關管理規范和技術標準，對信息系統安全等級保護狀況進行檢測評估的活動。

第四條【測評機構定義】測評機構是經有關部門能力認可，經有關部門推薦，在一定范圍內從事信息系統安全等級測評等工作的專業技術機構。

第五條【基本原則】測評機構應當按照有關規定和統一標準提供“客觀、公正、安全”的測評服務，按照統一的測評報告模版出具測評報告。

第六條【保密要求】測評機構和測評人員應當遵守《國家保密法》的規定，保守在測評活動中知悉的國家秘密、商業秘密、敏感信息和個人隱私等。

第七條【管理體制】測評機構應當接受各級信息安全等級保護協調（領導）小組和公安網安部門的監督管理，并接受有關部門的業務管理和技術指導。

第二章 測評機構

第八條【總體要求】測評機構分為地區性、行業性測評機構，按照屬地管理和行業管理相結合的原則進行建設和管理。

第九條【職責分工】國家信息安全等級保護協調小組辦公室主管等級測評機構的建設和管理工作，指導行業等級測評機構的建設和管理工作，并委托專門的技術能力審驗機構對測評機構的技術能力進行評估、審查并確認。

各省（區、市）等級保護協調（領導）小組辦公室負責本地等級測評機構的建設管理工作。

第十條【基本條件】申請成為等級測評機構的單位（以下簡稱申請單位）應當具備以下基本條件：

（一）在中華人民共和國境內注冊成立（港澳臺地區除外）；

（二）由中國公民投資、中國法人投資或者國家投資的企事業單位（港澳臺地區除外）；

（三）產權關系明晰，注冊資金100萬元以上；

（四）從事信息系統檢測評估相關工作兩年以上；

（五）單位法人及主要工作人員僅限于中華人民共和國境內的中國公民，且無犯罪記錄；

（六）具有勝任等級測評工作的專業技術人員和管理人員，大學本科（含）以上學歷所占比例不低于80%。其中測評技術人員不少于10人；

（七）具備必要的辦公環境、設備、設施及完備的安全管理制度；

（八）對國家安全、社會秩序、公共利益不構成威脅;

（九）應當具備的其他條件。

第十一條【申請提交】地方申請單位應向屬地省（區、市）等級保護協調（領導）小組辦公室提交申請，行業申請單位向國家信息安全等級保護工作協調小組辦公室提交申請，并填寫申請書，申請成為等級測評機構。

第十二條【申請材料】申請單位在申請時應提供以下材料，并對申請材料的真實性負責。

（一）《信息安全等級保護測評機構申請書》；

（二）當地公安網安部門的推薦意見；

（三）營業執照及其他注冊證明文件；

（四）《內設組織機構與崗位設置情況表》；

（五）《工作人員基本情況表》、證明材料和聲明；

（六）《辦公場地、設備與設施情況表》；

（七）《安全測評設備、工具配備情況表》；

（八）信息系統安全測評能力報告；

（九）保密管理、項目管理、質量管理、人員管理和培訓教育等相關管理文件；

（十）需要提供的其他材料。

第十三條【初審】省級（含）以上等級保護協調（領導）小組辦公室收到申請材料后，應在30日內完成初審。

第十四條【技術能力審驗】初審通過的，由技術能力審驗機構評估、審查并確認申請單位的技術能力。

技術能力審驗周期最長為一個月。審驗期滿前，技術能力審驗機構應向等級保護協調（領導）小組辦公室出具審驗意見，并加蓋專門印章。

第十五條【核準】省級（含）以上等級保護協調（領導）

小組辦公室對通過技術能力審驗的申請單位進行復核，并出具核準意見。

第十六條【目錄公布】測評機構實行目錄管理。各省級信息安全等級保護協調（領導）小組辦公室公布本地等級測評機構目錄，并向國家信息安全等級保護工作協調小組辦公室備案。國家信息安全等級保護工作協調小組辦公室公布《全國信息安全等級測評機構目錄》。

第十七條【業務范圍】測評機構應當在規定的業務范圍內開展測評業務。

（一）地方測評機構在本地開展測評業務，行業測評機構在行業內開展測評業務。行業測評機構在地方開展測評業務前，應與本地等級保護協調（領導）小組辦公室協調；

（二）承擔有關部門委托的安全測評專項任務；

（三）配合當地公安網安部門對信息系統進行監督、檢查；

（四）開展風險評估、信息安全培訓、咨詢服務和信息安全工程監理；

（五）為當地信息安全等級保護工作提供技術支持和服務；

（六）其他有關文件規定的職責任務。

第十八條【禁止行為】測評機構不得從事下列活動：

（一）承擔信息系統安全建設整改工作；

（二）將等級測評任務分包、外包；

（三）信息安全產品開發、營銷和信息系統集成活動；

（四）限定被測評單位購買、使用其指定的信息安全產品；

（五）未經許可占有、使用有關測評信息、資料及數據文件；

（六）其他可能影響測評客觀、公正的活動。第十九條【風險告知】在開展測評過程中，對可能影響信息系統正常運行的，測評機構應當事先告知被測評單位，并協助其采取相應的預防措施。

第二十條【人員管理】測評機構應當建立完備的人員檔案，嚴格履行人員錄用、考核、離崗等程序，對進入重要信息系統進行測評的人員，應該進行背景審查，確保人員可靠。

第二十一條【制度管理】測評機構應當建立并落實保密管理、項目管理、質量管理、人員管理、培訓教育等管理制度。

第二十二條【能力建設】測評機構要加強技術能力和管理能力建設，應在測評機構推薦目錄公布后兩年內至少通過一項實驗室或檢查機構資質認定。

第三章 人員管理

第二十三條【人員要求】測評人員應遵守國家有關法律法規、技術標準和測評人員行為準則，認真履行本細則規定 的責任和義務，為用戶提供安全、客觀、公正的測評服務，保證測評的質量和效果。

第二十四條【個人聲明】測評人員應當提供本人社會背景、工作經歷和獎懲情況的證明材料，聲明相關材料的真實性并承擔法律責任。

第二十五條【持證上崗】測評人員上崗前應接受培訓，培訓合格的由測評機構頒發上崗證。測評人員持證上崗。

第二十六條【分級管理】測評機構技術人員實行分級管理，由低到高分為初級等級測評師、中級等級測評師和高級等級測評師。

測評技術人員應當接受專門業務培訓，考試合格的獲得等級測評師證書。

第二十七條【培訓與考試】國家信息安全等級保護協調小組辦公室制定并公布培訓計劃，指定專門培訓機構具體承擔等級測評師的培訓、考試工作。專門培訓機構向考試合格的人員頒發等級測評師證書。

第二十八條【證書管理】專門培訓機構依據等級測評師證書管理辦法辦理證書的審核、頒發、建檔、公布、查詢、年審、換發和撤銷，并向省級以上等級保護工作協調小組辦公室備案。

第二十九條【備案】行業測評機構每年應將本單位等級測評師培訓、獲證情況向國家信息安全等級保護工作協調小組辦公室備案。

地方測評機構每年應將本單位等級測評師培訓、獲證情況向本省（區市）等級保護協調（領導）小組辦公室備案。

各地等級保護協調（領導）小組辦公室每年應將本地等級測評師培訓、獲證情況向國家等級保護協調小組辦公室備案。

第三十條【年審管理】等級測評師實行年審制度。專門培訓機構對等級測評師每年進行一次年審，并將年審結果報等級保護協調（領導）小組辦公室。

對未通過年審的等級測評師，測評機構應暫停其開展測評工作。專門培訓機構應對年審不通過的等級測評師開展培訓。

第三十一條【變更告知】等級測評機構的主要管理人員和技術人員工作變動的，應及時到等級保護協調（領導）小組辦公室變更備案。

第三十二條【人員法律責任】測評人員在測評工作中具有徇私舞弊、收受賄賂等違反有關法律法規行為的，應由專門培訓機構撤銷違規人員等級測評師證書，并按照有關規定進行處罰。

第四章 測評活動

第三十三條【用戶要求】信息系統運營使用單位應當選擇《等級測評機構推薦目錄》中的等級測評機構，定期對信息系統開展等級測評，并加強對測評過程的監督管理。

第三十四條【整改前測評】信息系統安全建設整改前，信息系統運營使用單位可以選擇測評機構進行等級測評，掌握信息系統安全狀況，排查系統安全隱患和薄弱環節，明確安全建設整改需求。

第三十五條【整改后測評】信息系統安全建設整改后，信息系統運營使用單位應當再選擇測評機構進行等級測評，檢測系統安全保護狀況與標準要求的符合性，進一步查找安全隱患和問題，并進行風險分析，為進一步整改提供依據。

第三十六條【定期測評】第三級以上（含）信息系統應當每年至少進行一次等級測評，測評完成后，信息系統運營使用單位應及時向受理備案的公安機關提交測評報告。

第三十七條【測評機構規范】測評機構應建立規范的質量管理體系，依據《信息系統安全等級保護測評要求》等標準規范對信息系統進行測評，按照公安部制訂的信息系統安全等級測評報告格式編制測評報告。

第三十八條【測評費用】測評機構應當參照國家信息化工程建設項目人工計費標準合理收取測評服務費用。為防止惡意競爭，影響測評質量，測評機構開展測評業務收費應當不低于最低收費限額。

第三十九條【安全責任】測評機構應當針對等級測評工作制定保密管理規范，明確保密崗位與職責，定期對工作人員進行保密教育，與其簽訂《保密責任書》，規定應當履行的安全保密義務和承擔的法律責任，并負責檢查落實。

第五章 監督管理

第四十條【監管主體】各級等級保護協調（領導）小組辦公室對等級測評機構、測評人員、測評活動等進行監督、檢查，處理對測評機構的投訴。

第四十一條【年審】各級等級保護工作協調（領導）小組辦公室對備案的測評機構及測評人員實施年審管理，每年對測評機構的能力和工作進行審核、審查，并公布審核、審查結果。

第四十二條【機構違規】測評機構違反規定，情節輕微的，由等級保護協調領導機構辦公室責令其限期改正或予以通報、警告。

測評機構出現以下情況之一的，按照相應規定和程序，由等級保護協調（領導）機構決定撤銷其測評機構資格并及時向社會公告。

（一）違反法律、法規并被起訴的；

（二）發生重大泄密事件的；

（三）運營管理不規范，嚴重影響測評質量，經整改仍無法達到要求的；

（四）與被測評單位共同隱瞞在安全評估過程中發現的安全漏洞，未按要求寫入評估報告的；

（五）在評估過程中弄虛作假，編造安全評估報告的；

（六）不履行規定的責任和義務，經通報批評、警告仍不改正的；

（七）測評機構成立后一年內不開展測評業務的；

（八）由于自身原因主動提出退出的；

（九）連續兩次年審未通過的；

（十）違反其他有關規定的。

第四十三條【爭議處理】測評機構應當嚴格遵循申訴、投訴及爭議處理制度，妥善處理爭議事件，及時采取糾正和改進措施。

第四十四條【監督自身要求】各級等級保護協調（領導）小組辦公室應嚴格依照本細則的有關規定，按照公平、公正的原則開展監督檢查工作。

第四十五條【變更】測評機構性質、經營（業務）范圍、隸屬關系、法定代表人等重要事項發生變化的，應在30日內向等級保護協調（領導）機構辦理變更手續。

第五篇：信息安全等級保護測評

TopSec可信等級體系 天融信等級保護方案

Hacker.cn 更新時間:08-03-27 09:37 來源:硅谷動力 作者:中安網

1.等級保護概述

1.1為什么要實行等級保護？

信息系統與社會組織體系是具有對應關系的，而這些組織體系是分層次和級別的，因此各種信息系統是具有不同等級的重要性和社會、經濟價值的。對信息系統的基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統中各子系統的重要程度進行區別對待就是級別的客觀要求。信息安全必須符合這些客觀要求，這就需要對信息系統進行分級、分區域、分階段進行保護，這是做好國家信息安全的必要條件。

1.2等級保護的政策文件

信息安全等級保護工作非常重要，為此從2003年開始國家發布了一系列政策文件，具體如下：

2003年9月，中辦國辦頒發《關于加強信息安全保障工作的意見》（中辦發[2003]27號），這是我國第一個信息安全保障工作的綱領性文件，戰略目標為經過五年努力，基本形成國家信息安全保障體系，實行等級保護制度。

2004年11月，四部委會簽《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）：等級保護是今后國家信息安全的基本制度也是根本方法、等級保護制度的重要意義、原則、基本內容、工作職責分工、工作要求和實施計劃。2005年9月，國信辦文件，《關于轉發《電子政務信息安全等級保護實施指南》的通知》（國信辦[2004]25號）：基本原理、定級方法、安全規劃與設計、實施與運營、大型復雜電子政務系統等級保護過程。

2005年，公安部標準：《等級保護安全要求》、《等級保護定級指南》、《等級保護實施指南》、《等級保護測評準則》。

2006年1月，四部委會簽《關于印發《信息安全等級保護管理辦法的通知》（公通字[2006]7號）。

1.3 等級保護的管理結構－北京為例

等級保護的實施和落實離不開各級管理機構的指導和監督，這在等級保護的相關文件中已經得到了規定，下面以北京市為例來說明管理機構的組成和職責，具體如下圖所示：

1.4等級保護理論的技術演進

在等級保護理論被提出以后，經過相關部門的努力工作，逐漸提出了一系列原則、技術和框架，已經具備實施等級保護工作的基礎條件了，其具體演進過程如下圖所示：

1.5等級保護的基本需求

一個機構要實施等級保護，需要基本需求。由于等級保護是國家推動的旨在規范安全工作的基本工作制度，因此各級組織在這方面就存在如下需求：

（1）政策要求－符合等級保護的要求。系統符合《基本要求》中相應級別的指標，符合《測評準則》中的要求。

（2）實際需求－適應客戶實際情況。適應業務特性與安全要求的差異性，可工程化實施。

1.6基本安全要求的結構

對系統進行定級后，需要通過努力達到相應等級的基本安全要求，在總體上分為技術要求和管理要求，技術上又分為物理安全、網絡安全、主機安全、應用安全、數據安全，在管理要求中又分為安全管理機構、安全管理制度等5項，具體如下圖所示：

2.等級保護實施中的困難與出路

由于等級保護制度還處于探討階段，目前來看，尚存在如下困難：

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統，否則：

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善

3.管理難度太大，管理成本高

4.大型客戶最關注的關鍵要求指標超出《基本要求》規定

針對上述問題，在下面幾小節分別給出了堅決辦法。

2.1安全體系設計方法

需求分析－1

問題1：標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

需求：從組織整體出發，綜合考核所有系統

方法：引入體系設計方法

2.2保護對象框架設計方法

需求分析－2

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

需求：準確地進行大系統的分解和描述，反映實際特性和差異性安全要求

方法：引入保護對象框架設計方法

保護對象框架－政府行業

保護對象框架－電信行業

保護對象框架－銀行業

2.3安全平臺的設計與建設方法

需求分析－3

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

需求：統一規劃，集中建設，避免重復和分散，降低成本，提高建設水平

方法：引入安全平臺的設計與建設方法

平臺定義：為系統提供互操作性及其服務的環境

2.4建立安全運行體系

需求分析－4

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善

需求：建立長效機制，建立可持續運行、發展和完善的體系

方法：建立安全運行體系

2.5安全運維工作過程

需求分析－5

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善

3.管理難度太大，管理成本高

需求：需要高水平、自動化的安全管理工具

方法：TSM安全管理平臺

2.6 TNA可信網絡架構模型

需求分析－6

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善

3.管理難度太大，管理成本高

4.大型客戶最關注的關鍵指標超出《基本要求》規定

需求：在《基本要求》基礎上提出更強的措施，滿足客戶最關注的指標

方法：引入可信計算的理念，提供可信網絡架構

3.總體解決方案－TopSec可信等級體系

按照上面解決等級保護目前困難的方法，總體解決方案就是建立TopSec可信等級體系：

遵照國家等級保護制度、滿足客戶實際需求，采用等級化、體系化和可信保障相結合的方法，為客戶建設一套覆蓋全面、重點突出、節約成本、持續運行的安全保障體系。

實施后狀態：一套持續運行、涵蓋所有安全內容的安全保障體系，是企業或組織安全工作所追求的最終目標

特質：

等級化：突出重點，節省成本，滿足不同行業、不同發展階段、不同層次的要求

整體性：結構化，內容全面，可持續發展和完善，持續運行

針對性：針對實際情況，符合業務特性和發展戰略

3.1可信等級體系設計方法

3.2信息安全保障體系總體框架

3.3體系設計的成果

安全組織體系

安全策略體系

安全技術體系

安全運行體系

3.4安全體系的實現

4.成功案例

某國有大型企業已經采用了我們的可信等級體系，取得了良好的效果。