返回
信息安全等级保护测评机构评优标准

信息安全等级保护测评机构评优标准

ID:42465550

大小:62.58 KB

页数:8页

时间:2019-09-15

信息安全等级保护测评机构评优标准_第1页
信息安全等级保护测评机构评优标准_第2页
信息安全等级保护测评机构评优标准_第3页
信息安全等级保护测评机构评优标准_第4页
信息安全等级保护测评机构评优标准_第5页
资源描述:

《信息安全等级保护测评机构评优标准》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、附件2:信息安全等级保护测评机构评优标准(试行)一、编制目的本标准的编制目的是通过统一的评价标准,以打分评价的方式选出工作表现和能力优秀的测评机构,从而鼓励先进、指引测评机构的发展方向。二、指标设定对测评机构的评价指标共设为8项:系统测评数量、测评师数量、工具配备、测评技术能力、业务经营能力、测评管理规范化、省级等保办对机构工作评价、国家等保办对机构工作评价。三、各项指标打分标准指标项前七项满分100分,其中系统测评数量20分、测评师数量10分、工具配备10分、测评技术能力30分、业务经营能力10分、测评管理规范化10分、省级等

2、保办对机构工作评价10分,国家等保办对机构工作评价作为加分项,满分10分。各项指标的打分标准如下:(1)系统测评数量打分标准根据测评系统数量计分,每个二级系统计0.05分,每个三级系统计0.2分,每个四级系统计0.3分,满分20分。测评系统数量依据测评机构当年度1月1日至12月31日期间所完成的第二级以上信息系统测评数量,以测评报告计数,以每个测评报告首页复印件作为证据(1)测评师数量打分标准A.测评师人数10-15人,中、高级人员少于4人,得1分。B.测评师人数10-15人且中、高级人员不少于4人,得3分。C.测评师人数16-

3、20人且中、高级人员不少于5人,得5分。D.测评师人数21-25人且中、高级人员不少于7人,得6分。E.测评师人数26-30人且中高、级人员不少于9人,得7分。F.测评师人数31-35人且中高、级人员不少于11人,得8分。G.测评师人数36-40人且中高、级人员不少于13人,得9分。H.测评师人数40人以上且中高、级人员不少于15人,得10分。备注:根据测评师证书和社保证明等材料为证据,若机构不同时满足高一级别两个要求,得低一级别分值。(2)工具配备打分标准A.机构具备安全问题发现类工具:漏洞扫描工具(网络和主机)—1分WEB安

4、全检测工具一1分恶意行为检测工具一1分数据库管理系统安全检测工具一1分B.机构具备安全问题分析与定位类工具:网络协议分析工具一2分源代码安全审计工具一2分C.机构具备安全问题验证类工具:渗透测试工具一2分。注意:根据A-C得分相加,得出工具配备项最后得分。(4)测评技术能力打分标准此项采用能力验证和抽查打分的结果。A.参加CNAS能力验证活动,得分=能力验证分值3/20oB•对所有机构根据测评项目文档抽查情况评价,得分项如下:a)测评项目调查表信息收集全面、准确,最高2分;b)测评方案内容完整,测评对象、指标和工具接入点准确合理

5、,最高3分;c)测评原始记录内容翔实、客观、准确,最高3分;d)测评报告内容完整,测评结果(单项/单元)准确、整体分析和风险分析方法正确,最高7分。注意:根据a)-d)得分相加,得出B得分。根据A-B得分相加,得出测评技术能力得分,如果机构未参加CNAS能力验证活动,则B)中各项分值加一倍,满分30分。(5)业务经营能力打分标准A.根据机构本年度的合同额(包括安全测评之外的安得1分;得2分;得3分;得4分;得5分;得6分;a)b)c)d)e)f)g)h)全服务等合同)打分:未达到100万的,得0分。达到100万的,达到200万的

6、,达到300万的,达到500万的,达到700万的,达到800万的,达到1000万的,得7分。A.根据机构渗透测试人员数量打分:a)有1人的,得1分;b)有2人的,得2分;c)有3人及以上的,得3分。注意:机构年度合同额应以本年度安全服务合同复印件为证据。渗透测试人员应提交名单和详细信息。根据A-B得分相加,得出此项最后得分。(6)测评管理规范化打分标准由省级等保办核查机构年度遵守《信息安全等级保护测评机构管理办法》情况。A.核实机构根据《测评机构管理办法》第十一条规定,是否及时进行变更报告情况,符合规定的;得2分,基本符合的,得

7、1分,不符合的,得0分;B.核实机构根据《测评机构管理办法》第十三条、第十四条和第十五条规定,规范测评师管理、保密管理及持续培训情况;符合规定的,得2分,基本符合的,得1分,不符合的,得0分;C•核实机构根据《测评机构管理办法》第十七条规定,及时提交等级测评项目报告表情况;符合规定的,得2分,基本符合的,得1分,不符合的,得0分;A.核实机构根据《信息安全等级保护测评机构管理办法》第十九条规定,及时报送测评机构开展情况和信息系统安全状况分析报告的情况;符合规定的,得2分,基本符合的,得1分,不符合的,得0分;B.核实机构等级测评

8、综合管理平台具备及使用情况;机构具备等级测评综合管理平台,能够使用平台规范测评管理流程、自动处理测评数据、自动生成报告的;得2分,基本符合的,得1分,不符合的,得0分。注意:根据A-E得分相加,得出此项最后得分。(7)省级等保办对测评机构工作评价打分标准A.根据

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。