ICS35040

L80.

中華人民共和國國家標準

GB/T36959—2018

信息安全技術網絡安全等級保護

測評機構能力要求和評估規范

Informationsecuritytechnology—Capabilityrequirementsandevaluation

specificationforassessmentorganizationofclassifiedprotectionofcybersecurity

2018-12-28發布2019-07-01實施

國家市場監督管理總局發布

中國國家標準化管理委員會

GB/T36959—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

測評機構能力要求

4………………………2

測評機構的分級

4.1……………………2

等級測評人員的分級

4.2………………2

級測評機構能力要求

4.3Ⅰ……………2

級測評機構能力要求

4.4Ⅱ……………6

級測評機構能力要求

4.5Ⅲ……………11

測評機構行為規范性要求

4.6…………16

測評機構能力評估

5………………………16

評估流程

5.1……………16

初次評估

5.2……………18

期間評估

5.3……………19

能力復評

5.4……………19

附錄規范性附錄網絡安全等級保護測評機構能力增強要求各級總結情況一覽表

A()……………20

附錄規范性附錄網絡安全等級保護測評師能力要求

B()……………24

Ⅰ

GB/T36959—2018

前言

本標準按照給出的規則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位公安部第三研究所公安部信息安全等級保護評估中心公安部網絡安全保衛

:()、

局中關村信息安全測評聯盟

、。

本標準主要起草人羅崢李升劉靜王寧范春玲馬俊張宇翔李明劉香江雷朱建平

:、、、、、、、、、、、

畢馬寧沙淼淼

、。

Ⅲ

GB/T36959—2018

引言

中華人民共和國網絡安全法第二十一條規定國家實行網絡安全等級保護制度等級保護制度

《》,。

推進工作的一個重要內容是對等級保護對象開展安全測評通過測評掌握其安全狀況為整改建設和監

,,

督管理提供依據開展安全測評應選擇符合規定條件和相應能力的測評機構并規范化其測評活動通

。,,

過專業化技術隊伍建設最終構建起網絡安全等級保護測評體系在此背景下為確保有效指導測評機

,。,

構的能力建設滿足等級保護工作要求特制定本標準

,,。

網絡安全等級保護測評機構能力要求參考國際國內測評與檢驗檢測機構能力建設與評定的相關

、

內容結合網絡安全等級保護測評工作的特點對網絡安全等級保護測評機構的組織管理能力測評實

,,、

施能力設施和設備安全與保障能力質量管理能力規范性保證能力等提出基本能力要求為規范網絡

、、、,

安全等級保護測評機構的建設和管理及其能力評估工作提供依據

。

網絡安全等級保護測評機構能力評估規范部分結合網絡安全等級保護測評工作的特點從委托受

,

理評估準備文件審核現場評估整改驗收到評估報告提交等整個評估過程提出了規范性要求

、、、、,。

Ⅳ

GB/T36959—2018

信息安全技術網絡安全等級保護

測評機構能力要求和評估規范

1范圍

本標準規定了網絡安全等級保護測評機構的能力要求和評估規范

。

本標準適用于擬成為或晉級為更高級網絡安全等級保護測評機構的能力建設運營管理和資格評

、

定等活動

。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術信息系統安全等級保護測評要求

GB/T28448

信息安全技術網絡安全等級保護測評過程指南

GB/T28449

3術語和定義

界定的以及下列術語和定義適用于本文件

GB/T28448。

31

.

能力評估capabilityevaluation

依據標準和或其他規范性文件對測評機構申請單位的能力進行評審驗證和評價的過程

(),、。

32

.

評估機構evaluationorganization

對申請成為測評機構的企事業單位進行能力評估的專業技術機構

。

33

.

初次評估first-timeevaluation