网络信息安全等级保护测评认证时认证机构如何选择?
来源:本站
作者:中联信科
日期:2021-09-10 17:11:54
浏览:
928
企业是不能够进行等级测评的,为了落实等级保护工作,企业需要寻找网络安全等级保护测评机构来进行测评。但测评机构的选择需要慎重,一方面,国家对于网络安全等级保护测评机构有着严格的规范;另一方面,如果选择的等级测评机构不行,最终损害的还是企业自己的利益。这篇文章就告诉大家:网络安全等级保护测评机构怎么选?国家规定的网络安全等级保护测评机构应该具备哪些资质和条件?企业选择等级测评机构的时候要注意什么?
一、等级测评和测评机构
等级测评工作,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。
测评机构,是指依据国家网络安全等级保护制度规定,符合本办法规定的基本条件,经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐,从事等级测评工作的机构。
测评机构实行推荐目录管理。测评机构由省级以上等保办根据本办法规定,按照统筹规划、合理布局的原则,择优推荐。国家等保办编制《全国网络安全等级保护测评机构推荐目录》,并在中国网络安全等级保护网网站发布并及时更新。省级等保办应及时将本地测评机构推荐情况报国家等保办。所以企业在选择等保测评机构的时候,可以同时结合实际需求(如地理位置、费用)和等保办的推荐名单。
二、国家规定的网络安全等级保护测评机构应该具备哪些资质和条件?
申请等保测评机构的单位应该具备这些条件:
(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
(二)产权关系明晰,注册资金 500 万元以上,独立经营核算,无违法违规记录;
(三)从事网络安全服务两年以上,具备一定的网络安全检测评估能力;
(四)法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民,且无犯罪记录;
(五)具有网络安全相关工作经历的技术和管理人员不少于 15 人,专职渗透测试人员不少于 2 人,岗位职责清晰,且人员相对稳定;
(六)具有固定的办公场所,配备满足测评业务需要的检测评估工具、实验环境等;
(七)具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度;
(八)不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务(自用除外);
(九)应具备的其他条件。
初步申请通过后,申请成为等保测评机构的单位还要接受复审,主要是对测评师的要求,比如申请单位应至少有 15人获得测评师证书,其中高级测评师不少于 1 人,中级测评师不少于 5 人。对于满足申请条件,且通过复审的单位,等保办会颁发《网络安全等级保护测评机构推荐证书》。
同时,等保办会于每年 12 月份对所推荐测评机构进行年审。年审通过的,等保办在推荐证书副本上加盖等级保护专用章或等保办印章,发放测评师注册标识。年审未通过的,等保办会责令测评机构限期整改。拒不整改或整改不符合要求的,测评机构的等级测评业务会被暂停。
此外,等保测评推荐证书并不是永久性的。测评机构推荐证书有效期为三年,测评机构应在推荐证书期满前 30 日内,向等保办申请期满复审。
最后,省级以上等保办会对测评机构和测评业务开展情况进行监督、检查、指导。国家等保办每年组织对测评机构及测评活动开展监督抽查。测评项目实施过程中,测评机构应接受被测网络备案公安机关的监督、检查和指导。
三、网络安全等级保护测评机构怎么选?企业选择等级测评机构的时候要注意什么?
测评机构至少应该具有该省市信息安全等级保护协调小组办公室发放的《信息安全等级保护测评机构推荐证书》才算是有测评资质,同时部分省份还要求测评机构在用户单位所在地级市公安网安部门备案,备案成功后方可在当地开展等级保护测评工作。
此外,企业在选择测评机构的时候,可以通过CNAS、ISO9000、27001、信息安全服务资质、各级网络安全应急支撑单位等来判断该测评机构的实力如何。测评的工程师是否通过CIIP-T、CISP、CISSP等技术认证也可以纳入考虑范畴。
企业在选择等级测评机构的时候还要注意:
①测评机构所提出的测评费用是指整个测评的费用,还是只是某个部分的费用,比如测评报告的编写是否要单独付费?②测评机构的资质是不是最新的?证书是否已经过了有效期?测评机构年审是否通过?③测评机构最终确定后,企业还要对测评过程给予关注,看看测评机构的测评流程是否完备和合规。
整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,中联竭诚为您提供等保项目的一站式服务,全面覆盖等保定级、备案、建设整改以及测评阶段,能帮助您高效通过等保测评,落实网络安全等级保护工作。