GB/T 36959-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力要求和評(píng)估規(guī)范

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T36959—2018

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)

測(cè)評(píng)機(jī)構(gòu)能力要求和評(píng)估規(guī)范

Informationsecuritytechnology—Capabilityrequirementsandevaluation

specificationforassessmentorganizationofclassifiedprotectionofcybersecurity

2018-12-28發(fā)布2019-07-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T36959—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

測(cè)評(píng)機(jī)構(gòu)能力要求

4………………………2

測(cè)評(píng)機(jī)構(gòu)的分級(jí)

4.1……………………2

等級(jí)測(cè)評(píng)人員的分級(jí)

4.2………………2

級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求

4.3Ⅰ……………2

級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求

4.4Ⅱ……………6

級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求

4.5Ⅲ……………11

測(cè)評(píng)機(jī)構(gòu)行為規(guī)范性要求

4.6…………16

測(cè)評(píng)機(jī)構(gòu)能力評(píng)估

5………………………16

評(píng)估流程

5.1……………16

初次評(píng)估

5.2……………18

期間評(píng)估

5.3……………19

能力復(fù)評(píng)

5.4……………19

附錄規(guī)范性附錄網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力增強(qiáng)要求各級(jí)總結(jié)情況一覽表

A()……………20

附錄規(guī)范性附錄網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)師能力要求

B()……………24

Ⅰ

GB/T36959—2018

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位公安部第三研究所公安部信息安全等級(jí)保護(hù)評(píng)估中心公安部網(wǎng)絡(luò)安全保衛(wèi)

:()、

局中關(guān)村信息安全測(cè)評(píng)聯(lián)盟

、。

本標(biāo)準(zhǔn)主要起草人羅崢李升劉靜王寧范春玲馬俊張宇翔李明劉香江雷朱建平

:、、、、、、、、、、、

畢馬寧沙淼淼

、。

Ⅲ

GB/T36959—2018

引言

中華人民共和國(guó)網(wǎng)絡(luò)安全法第二十一條規(guī)定國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度等級(jí)保護(hù)制度

《》,。

推進(jìn)工作的一個(gè)重要內(nèi)容是對(duì)等級(jí)保護(hù)對(duì)象開展安全測(cè)評(píng)通過(guò)測(cè)評(píng)掌握其安全狀況為整改建設(shè)和監(jiān)

,,

督管理提供依據(jù)開展安全測(cè)評(píng)應(yīng)選擇符合規(guī)定條件和相應(yīng)能力的測(cè)評(píng)機(jī)構(gòu)并規(guī)范化其測(cè)評(píng)活動(dòng)通

。,,

過(guò)專業(yè)化技術(shù)隊(duì)伍建設(shè)最終構(gòu)建起網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)體系在此背景下為確保有效指導(dǎo)測(cè)評(píng)機(jī)

,。,

構(gòu)的能力建設(shè)滿足等級(jí)保護(hù)工作要求特制定本標(biāo)準(zhǔn)

,,。

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力要求參考國(guó)際國(guó)內(nèi)測(cè)評(píng)與檢驗(yàn)檢測(cè)機(jī)構(gòu)能力建設(shè)與評(píng)定的相關(guān)

、

內(nèi)容結(jié)合網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作的特點(diǎn)對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的組織管理能力測(cè)評(píng)實(shí)

,,、

施能力設(shè)施和設(shè)備安全與保障能力質(zhì)量管理能力規(guī)范性保證能力等提出基本能力要求為規(guī)范網(wǎng)絡(luò)

、、、,

安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的建設(shè)和管理及其能力評(píng)估工作提供依據(jù)

。

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力評(píng)估規(guī)范部分結(jié)合網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作的特點(diǎn)從委托受

,

理評(píng)估準(zhǔn)備文件審核現(xiàn)場(chǎng)評(píng)估整改驗(yàn)收到評(píng)估報(bào)告提交等整個(gè)評(píng)估過(guò)程提出了規(guī)范性要求

、、、、,。

Ⅳ

GB/T36959—2018

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)

測(cè)評(píng)機(jī)構(gòu)能力要求和評(píng)估規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的能力要求和評(píng)估規(guī)范

。

本標(biāo)準(zhǔn)適用于擬成為或晉級(jí)為更高級(jí)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的能力建設(shè)運(yùn)營(yíng)管理和資格評(píng)

、

定等活動(dòng)

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求

GB/T28448

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南

GB/T28449

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T28448。

31

.

能力評(píng)估capabilityevaluation

依據(jù)標(biāo)準(zhǔn)和或其他規(guī)范性文件對(duì)測(cè)評(píng)機(jī)構(gòu)申請(qǐng)單位的能力進(jìn)行評(píng)審驗(yàn)證和評(píng)價(jià)的過(guò)程

(),、。

32

.

評(píng)估機(jī)構(gòu)evaluationorganization

對(duì)申請(qǐng)成為測(cè)評(píng)機(jī)構(gòu)的企事業(yè)單位進(jìn)行能力評(píng)估的專業(yè)技術(shù)機(jī)構(gòu)

。

33

.

初次評(píng)估first-timeevaluation