【等保测评】网络安全服务认证技术规范（等级保护测评）

1 范围

本文件规定了网络安全等级保护测评服务提供者，开展等级保护测评服务需遵循的服务特性和服务管理的要求。

本文件适用于网络安全等级保护测评服务提供者开展测评服务时在服务设计、服务提供、服务交付、服务管理等方面应遵循的规范， 以确保测评服务的质量， 为测评服务的可靠性和可信性提供技术保障依据。

本文件用于认证中心在完成等级保护测评服务认证现场审查时的审查及评判的依据。

2  规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件； 不注日期的引用文件，其最新版本(包括所有的修改单) 适用于本文件。

GB/T 5271.8 信息技术 词汇 第8部分：安全

GB 17859   计算机信息系统 安全保护等级划分准则

GB/T 20984 信息安全技术 信息安全风险评估方法

GB/T 22239 信息安全技术 网络安全等级保护基本要求

GB/T 25069 信息安全技术 术语

GB/T 27000 合格评定 词汇和通用原则

GB/T 27065 合格评定 产品、过程和服务认证机构要求

GB/T 27400 合格评定 服务认证技术通则

GB/T 28448 信息安全技术 网络安全等级保护测评要求

GB/T 28449 信息安全技术 网络安全等级保护测评过程指南

GB/T 36959 信息安全技术 网络安全等级保护测评机构能力要求和评估规范

3  术语和定义

3.1 术语和定义

GB/T 5271.8、GB/T 22239、GB/T 25069、GB/T 27000、GB/T 27065、GB/T 27400、GB/T 28448、 GB/T 28449、GB/T 36959界定的以及下列术语和定义适用于本文件。

3.1.1

等级保护测评服务

至少有一项活动必需在等级保护测评服务提供者和网络运营者之间进行的服务提供者的输出。

              

3.1.2

等级保护测评服务提供者

即等级保护测评机构，依据GB/T 36959标准运行,经国家市场监督管理总局会同公安部等相关部门 审核确定的认证机构(以下简称认证中心)认证通过，从事等级保护测评工作的机构。

注1：本文件在没有歧义的情况下，简称为测评机构。

          

3.1.3

服务认证

服务提供者的服务及管理达到要求有关的第三方证明。 

[来源：GB/T 27400-2020，3.8]

          

3.1.4

授权签字人

经测评机构授权，签批带认证标识的网络安全等级保护测评报告的人员。

          

3.1.5

等级保护测评师

依据 GB/T 36959 提出的等级保护测评服务人员能力要求， 经授权的等级保护测评人员能力评估机构考核通过的专业测评技术人员。按照能力考核结果， 等级保护测评师分为初级测评师、中级测评师和高级测评师。

注1：本文件简称为测评师。

          

3.1.6

测评相关人员

本文中的测评相关人员指与测评项目实施相关的人员，包括测评师、渗透测试人员、业务受理人员、保密安全员、设备管理员和档案管理员等。

          

4  服务管理要求

4.1 法律法规要求

4.1.1 测评机构应严格遵守《中华人民共和国网络安全法》、《中华人民共和国民法典合同编》 、《中华人民共和国认证认可条例》、《关键信息基础设施安全保护条例》、《认证证书和认证标志管理办法》及公安部发布的网络安全相关行业监管文件等相关法律法规，并满足本文件规定的相关要求。

4.1.2 测评机构在单位性质、 产权关系、注册资金、责任义务等方面应满足以下要求：

a)由中国公民、法人或者国家投资， 在中华人民共和国境内注册成立的企事业单位；

b)产权关系明晰， 注册资金500万元以上，独立经营核算， 且无违法违规记录，需能提供单位性质、股权结构、出资情况、法人及股东身份等信息的文件材料；

c)在测评活动中，发现重大网络安全事件、重大网络安全风险隐患和重大网络安全威胁时，应按有关规定及时报告公安机关。

4.2 环境与设施设备要求

4.2.1 具有固定的办公场所，具体要求如下：

a) 原则上同一法人、同一注册地址在首次申请时只能有一个办公地址；

b) 办公地址应包括开展等保测评相关所有职能的场所，如机房、档案室、测评实验环境、测评办公区 域(不含办事处)等；    

c) 办公地址搬迁时需向认证中心提出申请，完成现场审查后方可获得新地址证书；

d) 可在同一城市进行办公场所扩充，地址扩充需向认证中心提出申请，完成现场审查后方可获得新地 址证书；

e) 不可开设分支机构；

f) 测评实验环境、档案室及测评办公区域需设置独立区域。

4.2.2 配备满足测评业务需要的检测评估工具、实验环境等