1

基本条件

4.3.1 b)测评机构资金注册应达到要求500万元以上，独立经营核算，无违法违规记录，并提供单位性质、股权结构、出资情况、法人及股东身份等信息的文件材料，证明其机构合规、产权关系明晰；

4.4.1 b)测评机构资金注册应达到要求1000万元以上，独立经营核算，无违法违规记录，并提供单位性质、股权结构、出资情况、法人及股东身份等信息的文件材料，证明其机构合规、产权关系明晰；

4.5.1 b) 同Ⅱ级机构要求

2

4.3.1 c)测评机构的法人、机构负责人、报告授权签字人和测评相关人员应具有中华人民共和国国籍，长期在境内居住，无境外永久居留权，并提供无犯罪记录证明；

4.4.1 c)测评机构的法人、机构负责人、报告授权签字人和测评相关人员应具有中华人民共和国国籍，长期在境内居住，无境外永久居留权，并提供无犯罪记录证明并进行背景审查；

4.5.1 c)同Ⅱ级机构要求

3

4.3.1 d)从事网络安全服务2年及以上，具备一定的网络安全检测评估能力；

4.4.1 d)具备重要行业部门或省级以上网络安全服务机构资格，参与5年及以上重要行业部门或省级网络安全监督检查、专项技术支持等工作；

4.5.1 d)具备国家级行业主管部门网络安全相关服务机构资格，参与10年及以上国家级行业主管部门网络安全监督检查、专项技术支持等工作；

4

组织管理能力

4.3.2.2测评机构应按等级测评活动要求组织并设立相关部门，明确其职责、权限和相互关系，保证各项工作的有序开展。

4.4.2.2测评机构应明确设立开展等级测评业务的部门，确保测评活动的独立性。

4.5.2.2同Ⅱ级机构要求

5

4.3.2.3测评机构应具有胜任等级测评工作的专业技术人员和管理人员，大学本科（含）以上学历所占比例不低于70%。

4.4.2.3测评机构应具有胜任等级测评工作的专业技术人员和管理人员，大学本科（含）以上学历所占比例不低于90%。

4.5.2.3测评机构应具有胜任等级测评工作的专业技术人员和管理人员，均应具备大学本科（含）以上学历。

6

4.3.2.4测评机构应设置满足等级测评工作需要的岗位，如测评技术员、测评项目组长、技术主管、质量主管、保密安全员、设备管理员和档案管理员等，岗位职责明确，人员稳定。

4.4.2.4测评机构应设置满足等级测评工作需要的岗位，如测评技术员、测评项目组长、技术主管、质量主管、保密安全员、质量监督员、设备管理员和档案管理员等，岗位职责明确，人员稳定，其中技术主管、质量主管应为专职人员，不得兼任。

4.5.2.4同Ⅱ级机构要求

7

测评实施能力

4.3.3.1.3　测评技术员、测评项目组长和技术主管岗位人员应分别取得初、中、高级等级测评师证书，测评师数量不应少于15人，其中高级测评师不少于2人，中级测评师不少于5人。

4.4.3.1.3　测评技术员、测评项目组长和技术主管岗位人员应分别取得初、中、高级等级测评师证书，测评师数量不应少于30人，其中高级测评师不少于3人，中级测评师不少于10人。

4.5.3.1.3　测评技术员、测评项目组长和技术主管岗位人员应分别取得初、中、高级等级测评师证书，测评师数量不应少于50人，其中高级测评师不少于5人，中级测评师不少于15人。

4.3.3.2.1　测评机构应通过提供案例、过程记录等资料，证明其具有从事网络安全相关工作两年以上的工作经验。

4.4.3.2.1   4.4.3.2.1　测评机构每年开展等级测评的第三级（含）系统数量不应少于150个，其中依据等级保护技术标准的安全扩展要求，测评范围覆盖云计算、大数据、物联网、移动互联及工业控制等新技术领域的被测评系统类型不少于3个，数量不应少于50个。

4.5.3.2.14.5.3.2.1　测评机构每年开展等级测评的第三级（含）系统数量不应少于300个，其中依据等级保护技术标准的安全扩展要求，测评范围覆盖云计算、大数据、物联网、移动互联及工业控制等新技术领域的全部被测评系统类型，数量不应少于100个。

无要求

4.4.3.2.2测评机构应具备开展跨省(直辖市)运行的大型系统的测评实施能力。

4.5.3.2.2测评机构应具备开展全国联网运行的超大型系统的测评实施能力。

4.3.3.2.4测评机构应通过参加相关安全测评能力验证活动来检验并提升测评实施能力。

4.4.3.2.8测评机构应通过参加相关安全测评能力验证活动来检验并提升测评实施能力，且能力验证的结果应达到良以上水平。

4.5.3.2.8 测评机构应通过参加相关安全测评能力验证活动来检验并提升测评实施能力，且能力验证的结果应达到优秀以上水平。

4

组织管理能力

4.3.2.2测评机构应按等级测评活动要求组织并设立相关部门，明确其职责、权限和相互关系，保证各项工作的有序开展。

4.4.2.2测评机构应明确设立开展等级测评业务的部门，确保测评活动的独立性。

4.5.2.2同Ⅱ级机构要求

8

4.4.3.1.4　测评机构应有专门对渗透测试人员团队，团队人数不少于5人，渗透测试团队应具有参加省部级（含以上）重要网络和信息系统安全防护、检测评估、监测预警、主动防御、事件处置的经验和工作经历。

4.4.3.1.4同Ⅰ级机构要求

4.5.3.1.4　测评机构应建设专门的攻防实验室，实验室技术人员不少于10人，实验室应具有参加各类国家级安全监测、通报预警、演习演练、应急处置的技术对抗经验，集攻防实战、技术研究与人才培养的综合性平台。

4

组织管理能力

4.3.2.2测评机构应按等级测评活动要求组织并设立相关部门，明确其职责、权限和相互关系，保证各项工作的有序开展。

4.4.2.2测评机构应明确设立开展等级测评业务的部门，确保测评活动的独立性。

4.5.2.2同Ⅱ级机构要求

9

4.3.3.1.6　测评机构应指定一名技术主管,全面负责等级测评方面的技术工作。

4.4.3.1.6　评机构应指定一名技术主管,全面负责等级测评方面的技术工作。测评机构技术主管应具备大学本科（含）以上学历，取得本领域专业技术高级职称，并从事等级测评工作满5年。

4.5.3.1.6　评机构应指定一名技术主管,全面负责等级测评方面的技术工作。测评机构技术主管应具备大学本科（含）以上学历，取得本领域专业技术高级职称，并从事等级测评工作满10年。

10

无要求

4.4.3.2.3　测评机构应加强信息技术在测评实施中的应用，借助自动化手段，规范测评流程，优化资源配置，减少人为因素可能造成的差错，提高测评工作的效率。

4.5.3.2.3　测评机构应建立信息化平台，通过数据采集、处理和报告自动化生成等功能，提高测评工作效率和规模化实施能力。

11

组织管理能力

4.3.2.2测评机构应按等级测评活动要求组织并设立相关部门，明确其职责、权限和相互关系，保证各项工作的有序开展。

4.4.2.2测评机构应明确设立开展等级测评业务的部门，确保测评活动的独立性。

4.5.2.2同Ⅱ级机构要求

12

无要求

4.4.3.2.4　测评机构应建立完善的测评方法研发、维护和更新机制，持续提高自身测评技术能力。

4.5.3.2.4　同Ⅱ级机构要求

13

无要求

4.4.3.2.5　测评机构应结合被测评系统的行业特点和业务类型，分析普遍存在的安全问题，并提出针对性的整改建议。

4.5.3.2.5　测评机构应针对被测评系统的行业特点开展安全状况分析，通过对安全问题的深入分析，提出全面的建设整改解决方案。

14

设施和设备安全与保障能力

4.3.4.1f)测评机构的测评业务相关管理系统（平台）若涉及处理被测评单位的第三级及以上系统相关数据（如网络拓扑、资产信息和安全问题等），应依照最小必要原则留存并采用密码技术保证数据在传输和存储过程中的保密性和完整性，管理系统（平台）原则上应当满足第三级及以上网络安全等级保护要求，并完成定级、备案和第三方等级测评工作，且测评结论为符合或基本符合。

4.4.4.1 f) 同I级机构要求

4.5.4.1f) 同Ⅱ级机构要求

4

组织管理能力

4.3.2.2测评机构应按等级测评活动要求组织并设立相关部门，明确其职责、权限和相互关系，保证各项工作的有序开展。

4.4.2.2测评机构应明确设立开展等级测评业务的部门，确保测评活动的独立性。

4.5.2.2同Ⅱ级机构要求

15

4.3.4.2　测评机构应具备符合相关要求的机房以及必要的软、硬件设备，应搭建由主流网络设备、安全设备、操作系统、数据库和web应用系统组成的基础环境，以满足网络仿真、技术培训和模拟测试的需要。

4.4.4.2同Ⅰ级机构要求

4.5.4.2　测评机构应具备符合相关要求的机房以及必要的软、硬件设备，应搭建由主流网络设备、安全设备、操作系统、数据库和web系统组成的基础环境，并能针对新技术新应用进行实验部署，以满足网络仿真、技术培训和模拟测试的需要。

16

4.3.4.4　测评机构应确保测试设备和工具运行状态良好，并通过持续更新、升级等手段保证其提供准确的测评数据，测试设备和工具均应有正确的标识，并对其在测评项目中的使用情况进行详细记录。

4.4.4.4　测评机构应确保测试设备和工具运行状态良好，并通过持续更新、升级等手段保证其提供准确的测评数据，测试设备和工具均应有正确的标识和使用记录。

4.5.4.4　同Ⅱ级机构要求

17

质量管理能力

4.3.5.1.3　测评机构应指定一名质量主管，明确其质量保证的职责。质量主管不应受可能有损工作质量的利益冲突影响，并有权直接与测评机构最高管理层沟通。

4.4.5.1.3　测评机构应指定一名质量主管，明确其质量保证的职责。质量主管应熟悉质量管理体系相关知识，并拥有相应能力证明或资质证书，不应受可能有损工作质量的利益冲突影响，并有权直接与测评机构最高管理层沟通。

4.5.5.1.3同Ⅱ级机构要求

4

组织管理能力

4.3.2.2测评机构应按等级测评活动要求组织并设立相关部门，明确其职责、权限和相互关系，保证各项工作的有序开展。

4.4.2.2测评机构应明确设立开展等级测评业务的部门，确保测评活动的独立性。

4.5.2.2同Ⅱ级机构要求

18

无要求

4.4.5.2.3　测评机构应建立并实施内部管理体系审核和管理评审机制，以验证管理体系的符合性及有效性，确保在管理体系运行过程中发现的问题及时得到解决。

4.5.5.2.3同Ⅱ级机构要求

19

无要求

4.4.5.3　质量监督能力

4.5.5.3　质量监督能力

测评机构质量监督员对测评活动实施质量监督。监督员应具备丰富的安全测评经验、精通安全测评技术、并能对测评结果做出权威判断。

测评机构质量监督员对全体等级测评师开展监督，监督内容包括现场测评活动、测评过程规范性和测评结论的准确性等。

20

保证能力

无要求

4.4.6.1.3　测评机构应以公开方式，向社会公布其开展网络安全等级测评工作所依据的法律法规、政策、标准和规范。

4.5.6.1.3测评机构应以公开方式，向社会公布其开展网络安全等级测评工作所依据的法律法规、政策、标准和规范。

21

无要求

4.4.6.4　安全管理能力

4.5.6.4　安全管理能力

测评机构应重视自身的安全，通过部署安全措施提高安全管理能力。

测评机构应当制定安全方针和目标，并在其指导下建立、实施和维护符合自身等级测评工作要求的安全管理体系,通过体系的有效运行提升安全管理能力。

4

组织管理能力

4.3.2.2测评机构应按等级测评活动要求组织并设立相关部门，明确其职责、权限和相互关系，保证各项工作的有序开展。

4.4.2.2测评机构应明确设立开展等级测评业务的部门，确保测评活动的独立性。

4.5.2.2同Ⅱ级机构要求

22

风险控制能力

无要求

4.4.7.4　测评机构应建立问题自查和追溯机制，对本机构测评后出现的安全问题、安全事件进行追溯，视问题严重情况依据给予责任追究、问题处理、内部整改、并上报主管部门。

4.5.7.4　同Ⅱ级机构要求

23

可持续性发展能力

4.3.8.2　测评机构应定期对管理体系进行评审并持续改进，不断提高管理要求。设定中、远期目标，通过目标的实现，逐步提升质量管理能力。

4.4.8.2　测评机构应定期对管理体系进行评审并持续改进，不断提高管理要求。设定中、远期目标（如获得相应管理体系资质认可），通过目标的实现，逐步提升质量管理能力。

4.5.8.2同Ⅱ级机构要求

24

4.3.8.3　测评机构应根据培训制度做好培训工作，并保存培训和考核记录。

4.4.8.3　测评机构应实施完善的培训制度，以确保其人员在专业技术和管理方面持续满足等级测评工作的需要。除常规培训外，应根据人员的工作岗位需求，制定详细和有针对性的培训计划，并进行岗位培训、考核和评定。

4.5.8.3　测评机构应制定长期的人才队伍建设规划，有计划、有步骤的培养满足岗位需求和未来发展所需的各类职业技能和专业技术人才。

25

4.3.8.4　测评机构应投入专门的力量从事测评实践总结和测评技术研究工作，测评机构间应进行经验交流和技术研讨，保持与测评技术发展的同步性。

4.4.8.4　测评机构应跟踪国内外新技术、新应用和新业态的发展，组织开展相关领域网络安全的专项课题研究和实践，确保技术能力与当前的技术发展同步。

4.5.8.4同Ⅱ级机构要求