入网安评

开展入网安评（网络安全评估）需满足机构资质、人员资质、技术能力及合规管理四大核心要求，测试机构需符合专业资质、设备设施、质量体系及行业认可等特定标准，具体如下：

一、入网安评资质要求

1.机构资质

强制性认证：需取得中国网络安全审查技术与认证中心（CCRC）颁发的信息安全风险评估服务资质、国家认证认可监督管理委员会（CNCA）的检验检测机构资质认定（CMA）、中国合格评定国家认可委员会（CNAS）实验室认可。

专项资质：涉及等级保护测评、商用密码应用安全性评估、工业控制安全等领域需对应专项资质（如等级保护测评资质、密码应用安全性评估资质）。

行业准入：通信网络安全服务需通过“通信网络安全服务能力评定”（分风险评估、安全设计与集成、应急响应、安全培训四类，每类分三级，三级为最高）。

2.人员资质

专业认证：团队需包含注册信息安全专业人员（CISP）、认证信息安全经理（CISM）、CISSP（国际信息系统安全认证专家）、网络安全等级保护测评师等。

经验要求：项目负责人需具备3年以上相关项目经验，技术负责人需高级职称及8年以上行业经验，安全评价师需占团队20%以上且注册至本机构。

3.技术能力

具备漏洞扫描、渗透测试、安全基线核查等工具及实验环境，能独立完成安全需求分析、风险评估、脆弱性检测及应急方案制定。

需建立质量管理体系（如ISO 17020/17025），并通过内审、模拟评审及外部认证。

4.合规管理

遵守《网络安全法》《数据安全法》《安全评价检测检验机构管理办法》等法规，落实保密制度，签订保密责任书，确保不泄露国家秘密、商业秘密及用户隐私。

办公场所需符合安全标准（如档案室独立、防火防潮），设备需定期检定并覆盖全部检测项目。

二、测试机构特定要求

1.专业资质与行业认可

需具备软件测试、网络安全等领域的专业知识和经验，成员需计算机科学/软件工程相关专业学历及ISTQB（国际软件测试资格委员会）等认证。

需通过行业认证（如CMA、CNAS），并参与行业标准制定、发表论文或学术研究以建立声誉。

2.资源与设备

配备固定办公场所、专用测试工具（如漏洞扫描器、安全基线工具）、实验环境及7×24小时应急支持能力。

检测设备需唯一性标识管理，校准证书需在有效期内，涉及危化品检测的需通过消防验收。

3.质量保证体系

建立测试流程、质量控制标准、测试用例管理及缺陷跟踪体系，实施内部质量审核及外部认证评估。

需提供项目管理制度有效运行的证据（如培训记录、考核结果、整改报告等）。

4.地域与流程合规

跨区域业务需向当地省级应急管理部门备案，资质证书有效期通常为3-5年，到期前需申请延续或扩项。

申请流程包括材料自查、线上申报、技术审查（形式审查+现场评审）、整改复核及证书领取，需提交法定代表人实名认证、电子签章等材料。

三、地域差异与注意事项

广东省：安全评价机构需额外提交“无违规承诺书”，乙级机构申请升级甲级需满2年且无重大违规记录。

上海市：甲级机构需在沪设立常驻分支机构，西藏自治区对高原特殊环境检测设备有单独要求。

其他：需关注应急管理部、工信部等部门最新政策（如《安全评价检测检验机构管理办法》应急管理部令第1号），建议咨询专业机构或当地主管部门获取实时信息。

综上，入网安评及测试机构需严格遵循资质、人员、技术、合规四维要求，并结合地域政策动态调整，以确保评估结果权威有效。

标签：入网安评、网络安全评估