我的位置 首页  >  新闻动态  >  国内新闻

等级测评机构及测评人员的管理与监督、测评机构的业务范围和工作要求

来源:科技成果转化中心时间:2018-06-29
      

等级测评机构及测评人员的管理与监督

测评机构的业务范围和工作要求


分享传播总是一种美德

本期关键词

 测评机构  测评人员 

管理与监督  业务范围  工作要求


等级测评体系的建设主要包括测评机构的建设和规范管理,以及测评人员和测评活动的规范和管理。测评机构自然是由测评人员以一定组织形式,组成的一个机构。对机构的管理,一定程度上是对一个整体的管理,这个是针对法人的;而针对测评师的管理,则是具体到个人,这个是具体到每一个参与等级保护工作的自然人。自然人的不确定性,自然会引发法人的不确定性。若管理缺失或管理失当,则会引入新的风险。曾经我个人感慨说,法律规则是防止人变坏,而道德责任鼓励人变好。有效的管理,对网络安全等级保护工作的开展,其实是非常有必要的。

为什么要开展等级测评体系建设

等级测评体系建设主要包括测评机构的建设和规范管理,以及测评人员和测评活动的规范管理等。网络安全等级保护测评工作是网络安全等级保护工作的重要环节,是专门机构针对网络开展的一种专业性服务性的检测活动。等级测评工作涉及的网络范围广敏感性强,参与的测评机构及测评人员复杂,如果缺乏对测评机构和测评人员的管理,则难以保证等级测评的客观公正安全,甚至会给重要网络安全造成新的风险和隐患,危害国家安全和社会稳定。为加强对测评机构和测评人员的管理,稳步推进等级测评机构的建设,规范等级测评活动,提高测评机构和测评人员的技术能力和水平,在国家网络安全等级保护协调小组的领导下,在全国组织开展网络安全等级保护等级测评体系建设工作,以保障等级保护工作的顺利开展。

对测评机构和测评人员的管理

申请成为测评机构的单位(下称“申请单位”)可以向省级以上网络安全等级保护协调(领导)小组办公室提出申请,经过专门机构的能力评估和专门培训,对符合条件的申请单位,省级以上网络安全等级保护协调(领导)小组办公室推荐其成为等级测评机构,从事等级测评工作。省级网络安全等级保护协调(领导)小组办公室负责公布本地测评机构推荐目录,国家网络安全等级保护协调小组办公室负责公布《全国网络安全等级保护测评机构推荐目录》。

对测评人员实行等级测评师管理。

等级测评师分为初级、中级和高级。测评人员参加专门培训机构举办的专门培训和考试。考试合格的,由专门培训机构向测评人员颁发相应等级的“等级测评师证书”。“等级测评师证书”是测评人员上岗的基本条件。

等级测评机构应当按照国家网络安全等级保护管理制度和相关标准要求,为网络运营者提供安全客观公正的等级测评服务。

等级测评机构应当与网络运营者签署测评服务协议,不得泄露在等级测评服务中知悉的国家秘密、商业秘密、重要敏感信息和个人信息不得擅自发布、披露在等级测评服务中收集掌握的网络信息和系统漏洞、恶意代码、网络侵入等网络安全信息,防范测评风险。

等级测评机构应当对测评人员进行安全保密教育,与其签订安全保密责任书,明确测评人员的安全保密义务和法律责任;组织测评人员参加专业培训,培训合格的方可从事等级测评活动。

信息产业信息安全测评中心会同公安部信息安全等级保护评估中心,连续组织开展全国网络安全等级保护测评机构的技术能力验证和网络攻防比武工作,其工作目的:一是进一步提升全国等级测评机构的技术能力,保持测评机构对标准和出具测评结果的一致性;二是规范测评机构开展等级测评工作;三是提高测评机构的网络攻击和渗透能力。

鼎信的员工都是在取得测评师证的基础上,参与等级测评工作。在等级测评工作中我们难免会接触到客户的信息,这些信息存在不同的分类。保密意识是不可或缺的内容,鼎信在保密意识强化方面是持续不间断的,同时每一个入职员工都签署了必备的保密协议。鼎信参与测评的人员,一直秉持持续提升技术能力,加强安全保密意识教育,规范测评过程中的行为,提升网络攻击和渗透能力,将能力提升紧密参与等级测评工作中去。 

测评机构的业务范围和工作要求

1.业务范围

测评机构除了从事等级测评活动,还可以从事网络安全等级保护定级等级保护安全建设整改网络安全等级保护宣传教育等工作的技术支持,以及风险评估网络安全培训应急保障安全运维网络安全咨询网络安全工程监理等工作。

从业务范围内,大家应该可以看到,网络安全等级保护定级、等级保护安全建设整改、网络安全等级保护教育等工作也是非常重要的,当然这也是独立出来的服务。另外,鼎信也期待与广大新老朋友在风险评估、网络安全培训、应急保障、安全运维、安全网络咨询和网络安全工程监理方面进行全方位的接触与合作,期待以我们的技术为大家提供一个更加安全的网络运行环境。网络安全是相对持续性的,没有网络安全就没有国家安全,然而网络安全是动态的,需要我们不断跟进技术发展,提升防护能力。

2.工作要求

从事等级测评工作的机构及其人员应当遵守国家有关法律法规,依据国家有关技术标准和《网络安全等级保护测评机构管理办法》的相关规定,开展客观、公正、安全的测评服务,不得从事危害国家安全、社会秩序、公共利益及被测单位利益的活动

测评机构应当按照公安部统一制定的《信息系统安全等级测评报告模版》规定的格式出具测评报告,根据网络规模和所投入的成本合理收取测评服务费用。

测评机构应严格按照网络安全等级保护标准规范独立开展等级测评工作,依据《信息系统安全等级测评报告模版》出具网络安全等级测评报告,确保测评质量,全面、客观地反映被测网络的安全保护状况。

测评机构开展测评项目不受地域、行业限制。等级测评机构应在测评项目合同签订及项目完成后5个工作日内,向受理网络备案的公安机关报告等级测评项目的有关情况

测评项目实施过程中,等级测评机构应接受等保办的监督检查指导测评项目完成后,等级测评机构应请被测评网络运营者对测评服务情况进行评价,评价情况由被测单位反馈至等保办等级测评机构应定期向等保办报送测评工作开展情况。根据测评实践,于每年年底编制并报送网络安全状况分析报告。

从上面的内容,我们知道在等级测评过程中,我们等保机构包括现场测评的测评师应当遵循国家的有关法律法规,依据国家的技术标准和管理办法进行开展工作,并提出规范了禁止行为,不得从事危害国家安全、社会秩序、公共利益及被测评单位利益的活动。其中,国家、社会、公共利益方面大家常识中都理解,而被测评单位有时对自身的利益还是倍加关注,从这起讲到的规范中,我们看到对保护被测评单位的利益上也是作出明确规定的。而我们的报告也不是随意性的,是要遵循模板格式,作到保证测评质量,做到客观、公正、安全。另外,如果你选择了我们鼎信测评,那么对自己所属行业、所在地域是否为我们测评服务的行业或区域范围,在读了以上内容后,您应该可以打消此方面的顾虑。作为我们测评机构,开展测评项目是不受地域、行业限制的。另外,等保办对我们的监督、检查、指导,也为等级测评的客观公正提供了监管保障。

等级保护制度的实行,是各方协作共同推进的一项事业。是我国网络安全工作中的重要一环,做好网络安全工作中的每一环,环环相扣才能把我国从网络大国打造成为一个网络强国。各司其职,陈力就列,能者共进,为网络安全等级保护制度的实行而努力!

 


……往期也精彩……

分享是美德,传播是善良

等级测评业务的开展与应用等级测评标准的注意事项

等级测评依据的标准

等级测评工作的基本含义、目的、时机

网络安全等级保护工作的开展情况

健全完善网络安全等级保护制度的主要内容和任务

       (科技成果转化中心供稿)