网络安全等保测评机构正式纳入检验机构能力认可准则
信安客 2022-06-30
中国合格评定国家认可委员会近日发布通知,自2022年7月1日起实施《检验机构能力认可准则在网络安全等级测评领域的应用说明》。
该领域2022年7月1日后初次申请认可的检验机构,须应按此文件实施;2022年7月1日前初次申请已获受理、但尚未实施现场评审的检验机构,鼓励在现场评审时按此文件实施;已获认可的检验机构,应在最近一次现场评审实施并完成转化。
特此通知。
该领域2022年7月1日后初次申请认可的检验机构,须应按此文件实施;2022年7月1日前初次申请已获受理、但尚未实施现场评审的检验机构,鼓励在现场评审时按此文件实施;已获认可的检验机构,应在最近一次现场评审实施并完成转化。
各相关机构及人员:
网络安全等级测评领域是中国合格评定国家认可委员会(CNAS)检验机构认可的重要技术领域。为满足网络安全等级测评领域检验机构认可需求, CNAS秘书处组织编制了CNAS-CI01-A018《检验机构能力认可准则在网络安全等级测评领域的应用说明》。经过公开征求意见,并经相关批准程序,现予以发布。
此文件于2022年6月30日发布,并于2022年7月1日起实施。实施与转化方案如下:鉴于本文件与监管部门相关要求的一致性,该领域2022年7月1日后初次申请认可的检验机构,须应按此文件实施;2022年7月1日前初次申请已获受理、但尚未实施现场评审的检验机构,鼓励在现场评审时按此文件实施;已获认可的检验机构,应在最近一次现场评审实施并完成转化。
CNAS-CI01-A018《检验机构能力认可准则在网络安全等级测评领域的应用说明》可在CNAS网站(https://www.cnas.org.cn)“检验机构认可/认可规范/认可应用准则”栏目中查找下载。
网络安全等级测评领域是中国合格评定国家认可委员会(CNAS)检验机构认可的重要技术领域。为满足网络安全等级测评领域检验机构认可需求, CNAS秘书处组织编制了CNAS-CI01-A018《检验机构能力认可准则在网络安全等级测评领域的应用说明》。经过公开征求意见,并经相关批准程序,现予以发布。
此文件于2022年6月30日发布,并于2022年7月1日起实施。实施与转化方案如下:鉴于本文件与监管部门相关要求的一致性,该领域2022年7月1日后初次申请认可的检验机构,须应按此文件实施;2022年7月1日前初次申请已获受理、但尚未实施现场评审的检验机构,鼓励在现场评审时按此文件实施;已获认可的检验机构,应在最近一次现场评审实施并完成转化。
CNAS-CI01-A018《检验机构能力认可准则在网络安全等级测评领域的应用说明》可在CNAS网站(https://www.cnas.org.cn)“检验机构认可/认可规范/认可应用准则”栏目中查找下载。
特此通知。
中国合格评定国家认可委员会秘书处
2022年6月23日
2022年6月23日
在文件《检验机构能力认可准则在网络安全等级测评领域的应用说明》中明确了对网络安全等保测评机构人员的要求,具体如下:
6.1.1 网络安全等级测评机构应具有胜任等级测评活动的测评人员和管理人员,大学本科及以上学历所占比例不低于70%。检验机构应设置满足等级测评活动需要的岗位,包括测评项目组长、测评项目组员、渗透测试工程师、保密安全员等,岗位职责明确。
注:测评人员包括测评项目组员、测评项目组长、渗透测试工程师和技术主管等岗位人员。
6.1.2 网络安全等级测评机构中测评项目组员、测评项目组长和技术主管岗位人员应分别取得初、中、高级等级测评师证书,数量不应少于15人,渗透测试工程师应取得行业认可的技术能力证明,渗透测试工程师数量不应少于2人。
信安客注:目前国内行业认可的渗透测试技术能力证明资质推荐CISP-PTE(注册渗透测试工程师认证),该认证是国家对渗透测试从业人员职业能力的权威认可与资格证明。
6.1.3 网络安全等级测评机构测评人员应理解和掌握相关技术标准,熟悉等级测评的方法、流程和工作规范等方面的知识及能力,应取得等级测评师资格并有依据测评结果做出专业判断以及出具等级测评报告等任务的能力,授权签字人应取得高级测评师资格。
6.1.5 网络安全等级测评机构应保留测评人员能力考核、授权记录,等级测评师证书应作为测评人员授权上岗的必要条件之一,未取得等级测评师证书的测评人员,不得授权上岗承担等级测评项目。
6.1.7 测评人员上岗前,网络安全等级测评机构应组织岗前培训。同时检验机构应组织测评人员参加多种形式的测评业务和技术培训,根据每个测评人员的测评活动领域制订培训计划,测评人员每年培训时长累计不少于40学时,或按照监管部门的要求进行培训。
6.1.10 网络安全等级测评机构应建立并保存测评人员的人员技术档案,包括人员基本信息、工作经历、培训记录、项目经历、监督记录、专业资格等。
6.1.13 网络安全等级测评机构中的测评人员离职前,检验机构应与其签订离职保密承诺书。检验机构应加强对测评人员的监督管理,每年至少一次组织开展安全保密教育培训。
6.1.1 网络安全等级测评机构应具有胜任等级测评活动的测评人员和管理人员,大学本科及以上学历所占比例不低于70%。检验机构应设置满足等级测评活动需要的岗位,包括测评项目组长、测评项目组员、渗透测试工程师、保密安全员等,岗位职责明确。
注:测评人员包括测评项目组员、测评项目组长、渗透测试工程师和技术主管等岗位人员。
6.1.2 网络安全等级测评机构中测评项目组员、测评项目组长和技术主管岗位人员应分别取得初、中、高级等级测评师证书,数量不应少于15人,渗透测试工程师应取得行业认可的技术能力证明,渗透测试工程师数量不应少于2人。
信安客注:目前国内行业认可的渗透测试技术能力证明资质推荐CISP-PTE(注册渗透测试工程师认证),该认证是国家对渗透测试从业人员职业能力的权威认可与资格证明。
6.1.3 网络安全等级测评机构测评人员应理解和掌握相关技术标准,熟悉等级测评的方法、流程和工作规范等方面的知识及能力,应取得等级测评师资格并有依据测评结果做出专业判断以及出具等级测评报告等任务的能力,授权签字人应取得高级测评师资格。
6.1.5 网络安全等级测评机构应保留测评人员能力考核、授权记录,等级测评师证书应作为测评人员授权上岗的必要条件之一,未取得等级测评师证书的测评人员,不得授权上岗承担等级测评项目。
6.1.7 测评人员上岗前,网络安全等级测评机构应组织岗前培训。同时检验机构应组织测评人员参加多种形式的测评业务和技术培训,根据每个测评人员的测评活动领域制订培训计划,测评人员每年培训时长累计不少于40学时,或按照监管部门的要求进行培训。
6.1.10 网络安全等级测评机构应建立并保存测评人员的人员技术档案,包括人员基本信息、工作经历、培训记录、项目经历、监督记录、专业资格等。
6.1.13 网络安全等级测评机构中的测评人员离职前,检验机构应与其签订离职保密承诺书。检验机构应加强对测评人员的监督管理,每年至少一次组织开展安全保密教育培训。
