关于明确信息安全等级保护测评机构管理有关事项的通知

　　关于明确信息安全等级保护测评机构管理有关事项的通知（广公（网监）[2009]421号）
　　广公（网监）[2009]421号

各地级以上市公安局网警支队（网监科）、信息安全等级保护测评机构：
　　6月18日，公安部十一局在上海召开会议，对等级测评机构管理相关问题进行了明确，要求开展等级测评的单位不得从事下列活动：一是承担信息系统安全建设整改工作；二是将等级测评任务分包、外包；三是信息安全产品开发、营销和信息系统集成活动；四是限定被测评单位购买、试用其指定的信息安全产品；五是未经许可占有、使用被测评单位有关信息、资料及数据文件。为贯彻落实会议精神，进一步规范我省等级测评单位管理，现将有关事项明确如下：
　　一、进一步规范测评服务管理。根据公安部十一局要求，为确保测评活动的公正性，承担测评工作的机构不宜从事信息安全整改、集成服务。为此，已在我省办理信息安全等级保护测评机构备案的单位，要在7月20日前，以单位名义向原受理的公安网监部门以及我总队提供承诺书，声明在我省开展等级测评工作不违反以上要求。新申请等级测评的单位，也须提供申请书和承诺书。我总队将对提供承诺书的情况在备案目录中公示，以便于信息系统运营、使用单位、主管部门选用提供各类测评服务。未提供承诺书的单位，我总队也将予以公示，供信息系统运营、使用单位在实施安全整改时选用提供差距评估服务。
　　二、提高测评工作装备水平。为统一工具标准，我总队制定了《信息安全等级保护测评工具选用指引》（以下简称《指引》），对测评所需的必备工具和选用工具进行了明确。各测评机构要对照《指引》要求，结合本单位实际，对测评工具进行补充完善，切实满足测评工作需求，提升测评工作质量。
　　三、推动信息安全等级保护整改。各级公安网监部门要按照《广东省深化信息系统安全等级保护工作方案》要求，加大各类测评机构和安全服务机构的监督指导力度，发挥其作用，为信息系统运营、使用单位、主管部门提供差距评估、整改方案制订和实施、安全测评等服务，大力推动信息系统的安全整改，切实推动我省信息安全等级保护工作深入开展。

　　附件：信息安全等级保护测评工具选用指引
　　广东省公安厅网警总队
　　二〇〇九年七月十六日
　　信息安全等级保护测评工具选用指引
　　一、必须配置测试工具
　　（一）漏洞扫描探测工具。
　　1.网络安全漏洞扫描系统。
　　2.数据库安全扫描系统。
　　（二）木马检查工具。
　　1.专用木马检查工具。
　　2.进程查看与分析工具。
　　二、选用配置测试工具
　　（一）漏洞扫描探测工具。
　　应用安全漏洞扫描工具。
　　（二）软件代码安全分析类。
　　软件代码安全分析工具。
　　（三）安全攻击仿真工具
　　（四）网络协议分析工具
　　（五）系统性能压力测试工具
　　1.网络性能压力测试工具
　　2.应用软件性能压力测试工具
　　（六）网络拓扑生成工具
　　（七）物理安全测试工具
　　1.接地电阻测试仪
　　2.电磁屏蔽性能测试仪
　　（八）渗透测试工具集
　　（九）安全配置检查工具集
　　（十）等级保护测评管理工具