周末谈等保：等级保护测评机构分级思维导图

关注“祺印说信安”公众号回复“211115” 可自取“等级保护测评机构分级思维导图清晰版”

最近，很多从事等级保护测评的人，应该都已经开始关注《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》，我们都知道在此前全国二百多家测评机构，是一视同仁的没有级别区分，无论你的机构测评师只有15个人还是有50多个人，都是没有级别之分，都是一样的。

对于现存在测评机构，可谓“生来平等”，但是随着等级保护进入2.0的，这个标准自然将起到它应有的作用，而这点在18年这个标准征求意见稿阶段，我和我们单位的冀老师已经就此交流过看法，而冀老师为了让公司能够提前布局合规，也多次将正式标准发到公司群里，让大家提前认知和学习。

根据对等级保护近二十年的政策文件了解到，等级保护是一个不断发展不断成熟的工作，属于在发展中不断调优，不断适应的政策。17年等级保护开始进入2.0阶段，而接下来等级保护将全面进入2.0阶段，以一种全新的姿态展现在世人面前。

我们知道在《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度。等级保护制度推进工作的一个重要内容是对等级保护对象开展安全测评,通过测评掌握其安全状况,为整改建设和监督管理提供依据。

开展安全测评应选择符合规定条件和相应能力的测评机构,并规范化其测评活动,通过专业化技术队伍建设,最终构建起网络安全等级保护测评体系。在此背景下,为确保有效指导测评机构的能力建设,满足等级保护工作要求,制定《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》。

标准引言部分说到：网络安全等级保护测评机构能力要求参考国际、国内测评与检验检测机构能力建设与评定的相关内容,结合网络安全等级保护测评工作的特点,对网络安全等级保护测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力等提出基本能力要求,为规范网络安全等级保护测评机构的建设和管理及其能力评估工作提供依据。

《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》适用于拟成为或晋级为更高级网络安全等级保护测评机构的能力建设、运营管理和资格评定等活动。该标准根据测评机构的综合能力和水平，进行了分级。测评机构按能力要求分为三级,级别由低到高依次是Ⅰ级、Ⅱ级和Ⅲ级,级差是通过增加新的能力要求条款或在原条款基础上提出增强要求来实现。

下图，是我通过《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》进行整理的思维导图，如果有兴趣的朋友可以通过篇首提示获取原图。

测评师一直是有分级的，按能力要求分为三级,级别由低到高依次是初级、中级、高级。而不同的级别的测评师，也有不同的能力要求，在下面的图片中也将展示我整理的思维导图。

做对用户有真实价值的网络安全服务

---

一起揭穿网络安全的一些常见的神话！

网络安全等级保护：网络产品和服务安全通用要求之增强级安全通用要求

网络安全等级保护：网络产品和服务安全通用要求之基本级安全通用要求

网络安全等级保护：信息技术服务从业人员能力培养

原文始发于微信公众号（河南等级保护测评）：周末谈等保：等级保护测评机构分级思维导图