GB/T 36959-2018信息安全技术　网络安全等级保护测评机构能力要求和评估规范.pdf

ICS 35.040 L 80 国 中华人民共和国国家标准 GB/T 36959-2018 信息安全技术 网络安全等级保护 测评机构能力要求和评估规范 Information security technology-Capability requirements and evaluation specification for assessment organization of classified protection of cybersecurity 2019-07-01 实施 2018-12-28 发布 国家市场监督管理总局啦告 中国国家标准化管理委员会保叩 GB/T 36959-2018 目次 前言 ………………………………………………………………………………………... ……. ... ... ill 引言 ……………………………………………………………………………………………… lV 1 范围 － 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 …………………………………………………………………………………·…… 1 4 测评机构能力要求 ………………………………… …………………………………………·… 2 4 . 1 测评机构的分级 …………………………………………………………………………………… 2 4 .2 等级测评人员的分级 ……………………………………………………………………………… 2 4 .3 1 级测评机构能力要求 …………….. ………………………………………………………. 2 4.4 H 级测评机构能力要求 4 .5 山级测评机构能力要求……………………………………………………………………. 11 4 .6 测评机构行为规范性要求 ………………………………………………………………………… 1 6 5 测评机构能力评估……………………………………………………………………………………… M 5. 1 评估流程 …………………………………………………………………………………………… 16 5.2 初次评估 ……………………………………………………………………………………· 18 5.3 期间评估 ……………………………………………………………………………………· 19 5.4 能力复评……………………………………………………………………………………· 四 附录A （规范性附录） 网络安全等级保护测评机构能力增强要求各级总结情况一览表…………… 20 附录B （规范性附录） 网络安全等级保护测评师能力要求 …………………………………………… 24 I GB/T 36959-2018 专职人员，不得兼任。 4.4.2.5 测评机构应制定完善的规章制度，包括但不限于以下内容： a) 保密管理制度 应根据国家有关保密规定制定保密管理制度，制度中应明确保密对象的范围、人员保密职责、 测评过程保密管理各项措施与要求，以及违反保密制度的罚则等内容。 b) 项目管理制度 测评机构应依据 GB/T 28449 制定完备的、符合自身特点的测评项目管理程序，主要应包括测 评工作的组织形式、工作职责，测评各阶段的工作内容和管理要求等。 c) 设备管理制度