GB/T 36959-2026 网络安全技术 网络安全等级保护测评机构能力要求和评估规范

;

ICS35.03003.120.20

;

CCSL70A00

中华人民共和国国家标准

/—

GBT369592026

代替/—

GBT369592018

网络安全技术网络安全等级保护测评

机构能力要求和评估规范

—

CbersecurittechnoloCaabilitreuirementsandevaluation

yygypyq

secificationforcbersecuritclassifiedrotectionassessmentoranization

pyypg

2026-05-25发布2026-12-01实施

国家市场监督管理总局

发布

国家标准化管理委员会

/—

GBT369592026

目次

前言…………………………Ⅲ

引言…………………………Ⅳ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4测评机构能力要求………………………2

4.1测评机构的分级……………………2

4.2等级测评人员的分级………………2

4.3Ⅰ级测评机构能力要求……………2

4.4Ⅱ级测评机构能力要求……………8

4.5Ⅲ级测评机构能力要求……………14

4.6测评机构行为规范性要求…………20

5测评机构能力评估流程…………………21

5.1评估流程……………21

5.2初次评估……………22

5.3期间评估……………23

5.4能力复评……………23

()…………………

附录规范性网络安全等级保护测评师能力要求

A24

A.1初级等级测评师…………………24

A.2中级等级测评师…………………24

A.3高级等级测评师…………………24

参考文献……………………25

Ⅰ

/—

GBT369592026

前言

/—《:》

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GBT1.120201

起草。

本文件代替/—《信息安全技术网络安全等级保护测评机构能力要求和评估规

GBT369592018

》,/—,,:

范与GBT369592018相比除结构调整和编辑性改动外主要技术变化如下

)(、);

删除了注册资金的要求见年版的和

a20184.3.14.4.14.5.1

)(、);

增加了专职渗透人员能力要求见和

b4.3.3.1.44.4.3.1.44.5.3.1.4

)(、,、

更改了技术主管的任职要求见和年版的和

c4.3.3.1.64.4.3.1.64.5.3.1.620184.3.3.1.54.4.3.1.5

4.5.3.1.5);

)(、);

d增加了被测评系统类型要求见4.4.3.2.14.5.3.2.1

)(、);

增加了重大隐患和风险发现能力和出具测评结论能力要求见和

e4.3.3.2.24.4.3.2.34.5.3.2.3

)(、);

增加了参加能力验证活动的要求见和

f4.3.3.2.44.4.3.2.84.5.3.2.8

)(、);

增加了测评业务相关管理系统的网络安全等级保护要求见和

g4.3.4.14.4.4.14.5.4.1

)(、,、

更改了安全测试设备和工具的要求见和年版的

h4.3.4.34.4.4.34.5.4.320184.3.4.24.4.4.2

和4.5.4.2);

)(、);

增加了数据生存周期和处理活动中安全和保密的具体措施见和

i4.3.6.2.64.4.6.2.64.5.6.2.6

)(、,、、、

更改了规范性保证能力见和年版的

j4.3.6.34.4.6.34.5.6.320184.3.6.34.3.6.44.3.6.5

、、、、和);

4.4.6.34.4.6.44.4.6.54.5.6.34.5.6.44.5.6.5

)(、)。

增加了风险规避和控制的具体措施见和

k4.3.7.24.4.7.24.5.7.2

。。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

本文件由全国网络安全标准化技术委员会(/)提出并归口。

SACTC260

:、、、

本文件起草单位公安部第三研究所公安部网络安全保卫局浙江东安检测技术有限公司山东新

、、、

潮信息技术有限公司中国电子信息产业集团有限公司第六研究所国家信息技术安全研究中心中检

()、、、

集团天帷网络安全技术合肥有限公司国家信息中心上海计算机软件技术开发中心中国软件评测

()、、

中心工业和信息化部软件与集成电路促进中心河北华测信息技术有限公司云南南天电子信息产业

、、、

股份有限公司上海文鳐信息科技有限公司国家广播电视总局监管中心广州竞远安全技术股份有限

、、、

公司山西因弗美讯科技有限公司广州华南检验检测中心有限公司中国电子科技集团公司第十五研

、、、、

究所国家工业信息安全发展研究中心中国电子技术标准化研究院海南正邦信息科技有限公司西安

、、、

西电安行永道信息安全技术有限公司中国电力科学研究院有限公司浙江辰龙检测技术有限公司

、、

深圳市网安计算机安全检测技术有限公司国家计算机网络应急技术处理协调中心联通数字科技有限

、、。

公司中国人寿养老保险股份有限公司华夏银行股份有限公司

:、、、、、、、、、、、

本文件主要起草人罗峥李升石铀任娟娟刘静赵大鹏朱建兴张振峰王李乐张笑笑郭敏

、、、、、、、、、、、、、

张杰吴晓艳孙晓丽武建双耿同成吴建华李婧林峰徐杨子凡仲凯韬李炎杨普煜石竹

、、、、、、、、、、、、、、

梁承东王海宾谭剑成刘健陈雪鸿徐克超林明瑜王斌肖红阳祝利锋张瑶袁静罗瑞盟赵帅

、、、、、、、、、、、。

杨继牟家刘薛辉蒋斌刘佳卜天王京源徐金鹏魏治锬杨雪熳华珊赵大荔

本文件及其所代替文件的历次版本发布情况为:

———年首次发布为/—;

2018GBT369592018

———本次为第一次修订。

Ⅲ

/—

GBT369592026

引言

《》,。

中华人民共和国网络安全法第二十一条规定国家实行网络安全等级保护制度等级保护制度

,,

推进工作的一个重要内容是对等级保护对象开展安全测评通过基于实战化的测评活动全面掌握其安

,,。

全状况及时发现重大风险隐患为整改建设和监督管理提供依据开展安全测评需选择符合规定条件

,,,

和相应能力的测评机构并规范化其测评活动通过专业化技术队伍建设最终构建起网络安全等级保

,,,,

护测评体系在此背景下为确保有效指导测评机构的能力建设满足等级保护工作要求特制定本

文件。

Ⅳ

/—

GBT369592026

网络安全技术网络安全等级保护测评

机构能力要求和评估规范

1范围

本文件规定了网络安全等级保护测评机构的能力要求和能力评估。

、,

本文件适用于网络安全等级保护测评机构的管理能力建设以及对网络安全等级保护测评机构的

能力评估等活动。

2规范性引用文件

。,

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

,;,()

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

本文件。

/信息安全技术网络安全等级保护基本要求

GBT22239

/信息安全技术网络安全等级保护测评要求

GBT28448

3术语和定义

下列术语和定义适用于本文件。

3.1

网络安全等级保护测评机构assessmentoranizationofclassifiedrotectionofcbersecurit

gpyy

从事网络安全等级保护测评活动的专业第三方检测评估机构。

3.2

等级测评师classifiedcbersecuritrotectionassessor

yyp

经能力认定的从事网络安全等级保护测评的专业技术人员。

3.3

能力评估caabilitevaluation

py

/,(“”)

依据标准和或其他规范性文件对网络安全等级保护测评机构以下简称测评机构申请单位的

、。

能力进行评审验证和评价的过程

3.4

评估机构evaluationoranization

g

经授权对申请成为测评机构的企事业单位进行能力评估的专业技术机构。

3.5

初次评估first-timeevaluation

,、。

评估机构依据本文件和相关文件首次对测评机构能力进行核查验证和评价的过程

3.6

期间评估continuousevaluation

为已经获得资质证书的测评机构是否持续地符合能力要求而在证书有效期内安排的定期或不定期

、。

的评估抽查等活动

1