等保测评(网络安全等级保护测评)是一项需要严格资质认可的专业活动,主要涉及两类资质:
1. 测评机构资质:
核心资质: 必须获得由公安部网络安全保卫局授权的《网络安全等级保护测评机构推荐证书》。
证书类型:
全国性测评机构推荐证书: 可在全国范围内开展测评业务。
地方性测评机构推荐证书: 主要在特定省份或区域内开展测评业务。
获取流程:
机构需满足公安部制定的严格条件(包括技术能力、人员配备、场地设施、管理制度、安全保密等)。
向所在地省级公安机关网安部门提交申请。
通过省级网安部门的初步审查和能力评估。
由公安部组织专家评审并最终批准授权。
证书有效期通常为3年,到期需重新申请。
重要性: 这是测评机构合法开展等保测评业务的最基本、最核心的资质。只有持有此证书的机构出具的测评报告才具有效力,才能用于备案。
2. 测评人员资质:
核心资质: 测评人员必须持有由公安部网络安全等级保护评估中心颁发的《网络安全等级测评师证书》。
证书等级:
初级测评师: 具备基本测评能力,需在高级或中级测评师指导下工作。
中级测评师: 具备独立承担部分或整体测评项目的能力,可担任项目负责人。
高级测评师: 具备深厚的理论基础和实践经验,能解决复杂问题,指导和培训初中级测评师,参与技术研究。
获取方式: 通过公安部组织的网络安全等级测评师考试。考试通常包括理论考试和实操考核。
注册要求: 测评师不仅需要通过考试获得证书,还需要在中国信息安全等级保护网上完成注册,并与所服务的、具有资质的测评机构绑定。未注册或未绑定有效机构的测评师不能从事测评工作。
持续教育: 测评师通常需要参加定期的继续教育培训,以保持知识更新和证书有效性。
总结关键资质:
测评机构
资质名称:网络安全等级保护测评机构推荐证书;
颁发/管理机构:公安部网络安全保卫局;
核心要求:合法开展测评业务的唯一许可
测评人员
资质名称:网络安全等级测评师证书 (初级/中级/高级);
颁发/管理机构:公安部信息安全等级保护评估中心
核心要求:具备从事测评工作的专业能力证明,必须注册绑定
其他相关要求/说明:
测评工具: 测评机构使用的漏洞扫描、渗透测试、配置核查等工具也应具备相应的资质或认证(如国家相关部门的检测认证),确保工具的准确性、有效性和安全性。
质量管理体系: 测评机构通常需要建立并运行完善的质量管理体系(如ISO 9001),确保测评过程的规范性和结果的可信度。
保密承诺: 测评机构和人员必须严格遵守国家保密法律法规,签署保密协议,确保在测评过程中接触到的被测单位敏感信息的安全。
年度能力验证: 获得资质的测评机构需要定期(通常每年)参加公安部组织的测评能力验证活动,以持续证明其技术能力和水平。
简单来说:
一个单位想做等保测评业务,必须拿到公安部发的《测评机构推荐证书》。
在这个单位里具体干活做测评的技术人员,每个人都必须持有公安部发的《等级测评师证》(初级、中级或高级),并且这个证要在官网注册绑定到该测评机构。
在选择等保测评机构时,务必查验其是否持有有效的《网络安全等级保护测评机构推荐证书》,并了解其测评师团队的数量、等级构成以及过往项目经验。可以在“中国信息安全等级保护网”上查询最新的推荐测评机构名单。