标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
CNAS-CI01-A018-2022 检验机构能力认可准则在网络安全等级保护测评领域的应用说明.pdf6.1.1网络安全等级测评机构应具有胜任等级测评活动的测评人员和管理人员,大学 本科及以上学历所占比例不低于70%。检验机构应设置满足等级测评活动需要的岗位 包括测评项目组长、测评项目组员、渗透测试工程师、保密安全员等,岗位职责明确 注:测评人员包括测评项目组员、测评项目组长、渗透测试工程师和技术主管等岗位人员。 6.1.2网络安全等级测评机构中测评项目组员、测评项目组长和技术主管岗位人员应 分别取得初、中、高级等级测评师证书,数量不应少于15人,渗透测试工程师应取得 行业认可的技术能力证明,渗透测试工程师数量不应少于2人。 6.1.3网络安全等级测评机构测评人员应理解和掌握相关技术标准,熟悉等级测评的 方法、流程和工作规范等方面的知识及能力,应取得等级测评师资格并有依据测评结 果做出专业判断以及出具等级测评报告等任务的能力,授权签字人应取得高级测评师 资格。 6.1.5网络安全等级测评机构应保留测评人员能力考核、授权记录,等级测评师证书 应作为测评人员授权上岗的必要条件之一,未取得等级测评师证书的测评人员,不得 授权上岗承担等级测评项目。 6.1.7测评人员上岗前,网络安全等级测评机构应组织岗前培训。同时检验机构应 组织测评人员参加多种形式的测评业务和技术培训,根据每个测评人员的测评活动领 域制订培训计划,测评人员每年培训时长累计不少于40学时,或按照监管部门的要求 进行培训。
应作为测评人员授权上岗的必要条件之一,未取得等级测评师证书的测评人员,不得 授权上岗承担等级测评项目。 6.1.7测评人员上岗前,网络安全等级测评机构应组织岗前培训。同时检验机构应 组织测评人员参加多种形式的测评业务和技术培训,根据每个测评人员的测评活动领 域制订培训计划,测评人员每年培训时长累计不少于40学时,或按照监管部门的要求 进行培训。 6.1.10网络安全等级测评机构应建立并保存测评人员的人员技术档案,包括人员基
组织测评人员参加多种形式的测评业务和技术培训,根据每个测评人员的测评 域制订培训计划,测评人员每年培训时长累计不少于40学时,或按照监管部门 进行培训。
6.1.10网络安全等级测评机构应建立并保存测评人员的人员技术档案,包括人员基 本信息、工作经历、培训记录、项目经历、监督记录、专业资格等。 6.1.13网络安全等级测评机构中的测评人员离职前,检验机构应与其签订离职保密 承诺书。检验机构应加强对测评人员的监督管理,每年至少一次组织开展安全保密教 育培训。
6.2.1网络安全等级测评机构应具有固定的办公场所和机房,配备满足测评业务需要 的网络协议分析、漏洞扫描(至少包括Web漏洞、主机漏洞)、渗透测试等必要的软 硬件安全测评工具,商业化工具需要得到正版授权SL 279-2016 水工隧洞设计规范,所有检验活动涉及到的工具应纳 入设备管理。 注:如果软硬件安全测评工具是租赁(相关软硬件安全测评工具不允许从最终用户租赁)或 由其他机构(如设备的制造者或安装者)提供的,所用设备的自身安全性、持续适用性应由检验 机构独立承担。 6.2.13网络安全等级测评机构应在安全测评工具投入使用前进行核验,且在每次项 目使用前检查确认测评工具升级到最新版本(包括漏洞库、规则库等),以保证安全
2022年6月30日发布
2022年7月1日实施
测评工具自身的安全性、持续适用性。当安全测评工具有重大版本变更时,要重新进 行验证。机构自行研发的工具需要经过功能性、安全性和结果准确性验证,并保留验 证材料
安全等级测评机构不应将网络安全等级测
7.1.1网络安全等级测评机构应制定符合等级测评活动方面标准要求的测评过程管 理程序。 7.1.2网络安全等级测评活动的检验对象抽取原则需要符合GB/T28449《信息安全技 术网络安全等级保护测评过程指南》附录B的要求。 7.1.9如果检验机构的检验活动现场涉及安全作业要求,如能源、化工、工业生产控 制等涉及生产安全的环境,应制订安全实施测评的文件化指导书。
7.2检验项目和样品的处置
7.3.1网络安全等级测评机构应提供漏洞扫描工具的升级和扫描记录,至少应包括工 具名称、工具版本、升级后的最新漏洞库版本、升级日期和升级人员等。
7.4检验报告和检验证书
7.4.2网络安全等级测评机构应按照行业统一规范的网络安全等级测评报告模板格 式出具测评报告。 7.4.4测评报告应包括所有测评结果、根据这些结果做出的专业判断以及理解和解释 这些结果所需要的所有信息DL/T 288-2012 架空输电线路直升机巡视技术导则,以上信息均应正确、准确、清晰地表述。
2022年6月30日发布
2022年7月1日实施
8.1方式 8.2管理体系文件(方式A) 8.3文件控制(方式A) 8.4记录控制(方式A) 8.5管理评审(方式A)
8.5.2网络安全等级测评机构的管理评审输入除了应满足基本认可准则的要求,还
立包括以下相关信息: a)测评机构基本条件符合情况; b)测评机构管理制度执行情况; c)测评机构相关事项变更报告、审查情况; d)测评师管理、行为规范情况; e)测评项目实施情况; f)测评报告及相关数据文档管理情况; g)行政主管部门监督检查的结果等。 .6内部审核(方式A) .7纠正措施(方式A) .8预防措施(方式A)
SZDBZ 56-2012 园林绿化建设工程监理规范2022年6月30日发布
2022年6月30日发布
2022年7月1日实施