等保测评机构由省级以上等保办根据本办法规定,按照统筹规划、合理布局的原则,择优推荐。国家等保办编制《全国网络安全等级保护测评机构推荐目录》,并在中国网络安全等级保护网网站发布并及时更新。
省级等保办应及时将本地测评机构推荐情况报国家等保办。企业在选择等保测评机构的时候,可以结合实际需求(如地理位置、费用)和等保办的推荐名单。
等保测评机构应该具备以下资质和条件:
(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
(二)产权关系明晰,注册资金 500 万元以上,独立经营核算,无违法违规记录;
(三)从事网络安全服务两年以上,具备一定的网络安全检测评估能力;
(四)法人、主要负责人、测评人员中华人民共和国境内的中国公民,且无犯罪记录;
(五)具有网络安全相关工作经历的技术和管理人员不少于 15 人,专职渗透测试人员不少于 2人,岗位职责清晰,且人员相对稳定;
(六)具有固定的办公场所,配备满足测评业务需要的检测评估工具、实验环境等;
(七)具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度;
(八)不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务(自用除外);
(九)应具备的其他条件。初步申请通过后,申请成为等保测评机构的单位还要接受复审,主要是对测评师的要求,比如申请单位应至少有15人获得测评师证书,其中测评师不少于 1 人,中级测评师不少于 5 人。
对于满足申请条件,且通过复审的单位,等保办会颁发《网络安全等级保护测评机构推荐证书》。等保办会于每年 12月份对所推荐测评机构进行年审。年审通过的,等保办在推荐证书副本上加盖等级保护专用章或等保办印章,发放测评师注册标识。年审未通过的,等保办会责令测评机构限期整改。拒不整改或整改不符合要求的,测评机构的等级测评业务会被暂停。
等保测评推荐证书并不是性的。测评机构推荐证书有效期为三年,测评机构应在推荐证书期满前 30日内,向等保办申请期满复审。
Zui后,省级以上等保办会对测评机构和测评业务开展情况进行监督、检查、指导。国家等保办每年组织对测评机构及测评活动开展监督抽查。测评项目实施过程中,测评机构应接受被测网络备案公安机关的监督、检查和指导。
网络安全等级保护测评机构怎么选?企业选择等级测评机构的时候要注意什么?测评机构至少应该具有该省市信息安全等级保护协调小组办公室发放的《信息安全等级保护测评机构推荐证书》才算是有测评资质,部分省份还要求测评机构在用户单位所在地级市公安网安部门备案,备案成功后方可在当地开展等级保护测评工作。
企业在选择测评机构的时候,可以通过CNAS、ISO9000、27001、信息安全服务资质、各级网络安全应急支撑单位等来判断该测评机构的实力如何。测评的工程师是否通过CIIP-T、CISP、CISSP等技术认证也可以纳入考虑范畴。Zui后,二级及以上的系统都需要通过等级测评。等级测评机构测评结束以后,要出具测评报告,测评报告模板会由公安机关提供。测评报告撰写完毕之后,还要提交给公安机关。