【正文】 級體系：遵照國家等級保護制度、滿足客戶實際需求，采用等級化、體系化和可信保障相結合的方法，為客戶建設一套覆蓋全面、重點突出、節(jié)約成本、持續(xù)運行的安全保障體系。2005年，公安部標準：《等級保護安全要求》、《等級保護定級指南》、《等級保護實施指南》、《等級保護測評準則》。 測評機構應投入專門的力量來從事測評實踐總結和測評技術研究工作，測評機構間應進行經驗交流和技術研討，保持與測評技術發(fā)展的同步性。 測評記錄的規(guī)范性a)測評記錄應當清晰規(guī)范，并獲得被測評方的書面確認； 信息安全等級測評機構能力要求b)測評機構應具有安全保管記錄的能力，所有的測評記錄應保存三年以上。 測評機構應建立并保存工作人員的人員檔案，包括人員基本信息、社會背景、工作經歷、培訓記錄、專業(yè)資格、獎懲情況等，保障人員的穩(wěn)定和可靠。明確其質量保證的職責。f)信息安全產品應獲得公安部計算機信息安全產品銷售許可證。,全面負責等級測評方面的技術工作。 測評人員應參加由公安部信息安全等級保護評估中心舉辦的專門培訓、考試并取得中心頒發(fā)的《等級測評師證書》（等級測評師分為初級、中級和高級）。b)項目管理制度測評機構應依據《信息系統(tǒng)安全等級保護定級指南》等技術標準制定符合自身特點的測評項目管理程序，主要應包括測評工作的組織形式、工作職責，測評各階段的工作內容和管理要求等?；緱l件依據《信息安全等級保護測評工作管理規(guī)范》（試行），信息安全等級測評機構（以下簡稱測評機構）應當具備以下基本條件：a)在中華人民共和國境內注冊成立（港澳臺地區(qū)除外）；b)由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）； c)產權關系明晰，注冊資金100萬元以上；d)從事信息系統(tǒng)檢測評估相關工作兩年以上，無違法記錄；e)工作人員僅限于中華人民共和國境內的中國公民，且無犯罪記錄；f)具有滿足等級測評工作的專業(yè)技術人員和管理人員，測評技術人員不少于10人； g)具備必要的辦公環(huán)境、設備、設施，使用的技術裝備、設施應當符合《信息安全等級保護管理辦法》對信息安全產品的要求；h)具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度； i)對國家安全、社會秩序、公共利益不構成威脅。第三篇：信息安全等級測評機構能力要求(試行)信息安全等級保護測評體系建設與測評工作規(guī)范性文件信息安全等級測評機構能力要求（試行）Competence for operation of bodies performing testing and evaluation of classified protection of information system security200 發(fā)布 200 實施公安部信息安全等級保護評估中心信息安全等級測評機構能力要求目錄 2 3 4 5 6 7 8 9 范圍......................................................................3 名詞解釋..................................................................3 基本條件..................................................................3 組織管理能力..............................................................4 測評實施能力..............................................................5 設施和設備安全與保障能力...................................................7 質量管理能力..............................................................8 規(guī)范性保證能力............................................................8 風險控制能力.............................................................10 可持續(xù)性發(fā)展能力.........................................................10 11 測評機構能力約束性要求...................................................11 信息安全等級測評機構能力要求前言公安部頒布《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》（公信安[2010]303號），決定加快等級保護測評體系建設工作。第二十七條 等級測評機構有下列情形之一的，等保辦應取消其信息安全等級保護測評機構推薦證書，并向社會公告。第二十二條 取得信息安全等級保護測評機構推薦證書未滿一年的，不參加星級評定。第十九條 等級測評機構應定期向等保辦報送測評工作開展情況。等級測評師離職前，等級測評機構應與其簽訂離職保密承諾書，并收回上崗證。第十二條 信息安全等級保護測評機構推薦證書有效期為三年。申請單位應至少有10人獲得等級測評師證書，其中高級和中級測評師均不得少于1人。第五條 國家信息安全等級保護工作協(xié)調小組辦公室（以下簡稱“國家等保辦”）負責受理隸屬國家信息安全職能部門和重點行業(yè)主管部門申請單位提出的申請，并對其推薦的等級測評機構進行監(jiān)督管理。觸犯有關法律、法規(guī)和規(guī)章的，依法追究法律責任。年檢結論為取消的，備案證書作廢，信息安全等級測評機構應當自接到年檢結論之日起10日內交回備案證書。第十三條地級以上市公安機關公共信息網絡安全監(jiān)察部門應當自接到申請材料之日起15日內對申請材料進行初審。省公安廳公共信息網絡安全監(jiān)察部門應當自接到初審材料之日起15日內進行審查，符合條件的，發(fā)給備案證書。第二條本辦法所稱信息安全等級測評機構是指對信息系統(tǒng)的安全保護措施是否符合信息安全等級保護相關法律和標準進行評估的組織。第六條信息安全等級測評機構申請備案，應當向地級以上市公安機關公共信息網絡安全監(jiān)察部門提交下列資料：（一）備案申請書；（二）營業(yè)執(zhí)照復印件；（三）管理人員和專業(yè)技術人員的身份證明、學歷證明、計算機安全培訓合格證書復印件和無犯罪證明；（四）技術裝備情況及組織管理制度報告。第十條備案證書實行年檢制度。具備下列情形的，年審結論為合格：（一）遵守國家有關法律法規(guī)和本省有關規(guī)定；（二）上年度完成的測評項目總值不低于50萬元；（三）符合備案條件。第十七條公安機關公共信息網絡安全監(jiān)察部門對信息安全等級測評機構進行監(jiān)督、檢查和指導。等級測評機構，是指依據國家信息安全等級保護制度規(guī)定，具備本辦法規(guī)定的基本條件，經審核推薦，從事等級測評等信息安全服務的機構。第八條 通過初審的申請單位，應及時參加指定評估機構組織的測評人員培訓。第十一條 下列事項發(fā)生變更時，等級測評機構應在變更后5個工作日內向等保辦報告。第十三條 等級測評師上崗前，等級測評機構應組織崗前培訓。等級測評機構應在測評項目合同簽訂以及項目完成后5個工作日內，向受理信息系統(tǒng)備案的公安機關報告等級測評項目有關情況。第二十一條 等級測評機構應于每年底向等保辦提交星級評定所需材料。第二十五條國家等保辦負責組織開展等級測評機構能力驗證和抽查工作。第三十條 任何單位和個人如發(fā)現(xiàn)等級測評機構、等級測評師有違法、違規(guī)行為的，可向國家等保辦舉報、投訴。本規(guī)范適用于測評機構的建設和管理以及對測評機構能力進行評估等活動。其中測評技術人員不少于10人。e)培訓教育制度應包括培訓計劃的制定、培訓工作的實施、培訓的考核與上崗以及人員培訓檔案建立等的內容和要求。能夠針對測評中發(fā)現(xiàn)的問題，提出合理化的整改建議。測評方案應通過技術評審并有相關記錄，測評指導書應進行版本有效性維護，且滿足以下要求：l 符合相關的等級測評標準；l 提供足夠詳細的信息以確保測評數據獲取過程的規(guī)范性和可操作性。 測評設備和工具均應有正確的標識。信息安全等級測評機構能力要求 測評機構的人員應不受可能影響其測評結果的來自于商業(yè)、財務和其他方面的壓力。 測評機構應采取技術和管理措施來確保等級測評相關信息的安全、保密和可控，這些信息包括但不限于： a)被測評單位提供的資料；b)等級測評活動生成的數據和記錄； c)依據上述信息做出的分析與專業(yè)判斷。 測評機構應定期對管理體系進行評審并持續(xù)改進，不斷提高管理要求。信息安全等級保護工作非常重要，為此從2003年開始國家發(fā)布了一系列政策文件，具體如下：2003年9月，中辦國辦頒發(fā)《關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號），這是我國第一個信息安全保障工作的綱領性文件，戰(zhàn)略目標為經過五年努力，基本形成國家信息安全保障體系，實行等級保護制度。（2）實際需求－適應客戶實際情況。信息安全合規(guī)測評具有強制性和周期性（定期檢測），是國家信息安全部門督促合規(guī)性要求落地實施，保障信息安全的重要手段。該法案由美國眾議院金融服務委員會主席奧克斯利和參議院銀行委員會主席塞班斯聯(lián)合提出，又被稱作《2002年塞班斯奧克斯利法案》（簡稱塞班斯法案），法案對美國《1933年證券法》、《1934年證券交易法》做了不少修訂，在會計職業(yè)監(jiān)管、公司治理、證券市場監(jiān)管等方面做出了許多新規(guī)定。審批辦理流程：(1)、產品檢測。在信息安全合規(guī)性要求中，等級保護和分級保護以其涉及范圍廣，實施具有高度專業(yè)化和復雜性的特點，成為信息安全合規(guī)測評工作的重點和難點，后面的文章將會對這兩個概念進行重點解讀。第三級：安全標記保護級除具有第二級系統(tǒng)審計保護級的所有功能外，還它要求對訪問者和訪問對象實施強制訪問控制，并能夠進行記錄，以便事后的監(jiān)督、審計。涉密信息系統(tǒng)安全分級保護根據其涉密信息系統(tǒng)處理信息的最高密級，可以劃分為秘密級、機密級和機密級（增強）、絕密級三個等級：秘密級：信息系統(tǒng)中包含有最高為秘密級的國家秘密，其防護水平不低于國家信息安全等級保護三級的要求，并且還必須符合分級保護的保密技術要求。如：國家事務處理信息系統(tǒng)（黨政機關辦公系統(tǒng)）；金融、稅務、工商、海關、能源、交通運輸、社會保障、教育等基礎設施的信息系統(tǒng)；國防工業(yè)企業(yè)、科研等單位的信息系統(tǒng)等。整體測評主要測評分析信息系統(tǒng)的整體安全性。等級測評提高內部人員的信息安全意識合規(guī)測評過程中，第三方咨詢專家將與被服務單位人員密切合作。本活動的主要任務是掌握被測系統(tǒng)的詳細情況，準備測試工具，為編制測評方案做好準備。等級測評的方法和強度等級測評的基本方法一般包括訪談、檢查和測試等三種。正確選擇測評對象的種類和數量是整個等級測評工作能夠獲取足夠證據、了解到被測系統(tǒng)的真實安全保護狀況的重要保證。如果多個定級對象共用物理環(huán)境或管理體系，而且測評指標不能分開，則不能分開的測評指標應采用就高原則。等級測評活動包括測評準備、方案編制、現(xiàn)場測評、分析及報告編制四個基本階段。等級測評活動結束后，測評機構應在15個工作日內向被測評信息系統(tǒng)的運營、使用單位提供等級測評報告，并應同時向省、市兩級等保辦提交第三級（含）以上信息系統(tǒng)的等級測評報告。為客觀反映被測評信息系統(tǒng)的安全狀況，測評活動要保證必需的廣度和深度，以滿足國家標準和行業(yè)標準的測評指標的要求。測評活動應盡可能降低成本，減少投入。省內信息系統(tǒng)的等級測評工作原則上由省內等級測評機構完成，特殊行業(yè)等級測評機構或省外其他等級測評機構在省內開展等級測評活動時，應在省等保辦辦理登記備案手續(xù)，按照本規(guī)范開展等級測評活動，并接受省等保辦的監(jiān)督管理。第三級信息系統(tǒng)單個業(yè)務系統(tǒng)等級測評全過程，一般不少于10個工作日。同時，在測評操作過程中還應該嚴格遵循等級測評的相關原則。在測評對象確定中應兼顧工作投入與結果產出兩者的平衡關系。檢查是測評人員通過簡單比較或使用專業(yè)知識分析的方式獲得測評證據的方法，包括：評審、核查、審查、觀察、研究和分析等方法。本活動的主要任務是確定與被測信息系統(tǒng)相適應的測評對象、測評指標及測評內容等，并根據需要重用