附件2：
信息安全等级保护测评机构评优标准
（试行）
一、编制目的
本标准的编制目的是通过统一的评价标准，以打分评价的方式选出工作表现和能力优秀的测评机构，从而鼓励先进、指引测评机构的发展方向。

二、指标设定
对测评机构的评价指标共设为8项：系统测评数量、测评师数量、工具配备、测评技术能力、业务经营能力、测评管理规范化、省级等保办对机构工作评价、国家等保办对机构工作评价。

三、各项指标打分标准
指标项前七项满分100分，其中系统测评数量20分、测评师数量10分、工具配备10分、测评技术能力30分、业务经营能力10分、测评管理规范化10分、省级等保办对机构工作评价10分，国家等保办对机构工作评价作为加分项，满分10分。

各项指标的打分标准如下：
（1）系统测评数量打分标准
根据测评系统数量计分，每个二级系统计0.05分，每个三级系统计0.2分，每个四级系统计0.3分，满分20分。

测评系统数量依据测评机构当年度1月1日至12月31
日期间所完成的第二级以上信息系统测评数量，以测评报告计数，以每个测评报告首页复印件作为证据
（2）测评师数量打分标准
A.测评师人数10-15人，中、高级人员少于4人，得
1分。

B.测评师人数10-15人且中、高级人员不少于4人，
得3分。

C.测评师人数16-20人且中、高级人员不少于5人，
得5分。

D.测评师人数21-25人且中、高级人员不少于7人，
得6分。

E.测评师人数26-30人且中高、级人员不少于9人，
得7分。

F.测评师人数31-35人且中高、级人员不少于11人，
得8分。

G.测评师人数36-40人且中高、级人员不少于13人，
得9分。

H.测评师人数40人以上且中高、级人员不少于15人，
得10分。

备注：根据测评师证书和社保证明等材料为证据，若机构不同时满足高一级别两个要求，得低一级别分值。

（3）工具配备打分标准
A.机构具备安全问题发现类工具：
漏洞扫描工具（网络和主机）—1分
WEB安全检测工具—1分
恶意行为检测工具—1分
数据库管理系统安全检测工具—1分
B.机构具备安全问题分析与定位类工具：
网络协议分析工具—2分
源代码安全审计工具—2分
C.机构具备安全问题验证类工具：渗透测试工具—2
分。

注意：根据A-C得分相加，得出工具配备项最后得分。

（4）测评技术能力打分标准
此项采用能力验证和抽查打分的结果。

A.参加CNAS能力验证活动，得分＝能力验证分值
3/20。

B.对所有机构根据测评项目文档抽查情况评价，得分
项如下：
a)测评项目调查表信息收集全面、准确，最高2分；
b)测评方案内容完整，测评对象、指标和工具接入
点准确合理，最高3分；
c)测评原始记录内容翔实、客观、准确，最高3分；
d)测评报告内容完整，测评结果（单项/单元）准
确、整体分析和风险分析方法正确，最高7分。

注意：根据a）-d）得分相加，得出B得分。

根据A-B 得分相加，得出测评技术能力得分，如果机构未参加CNAS 能力验证活动，则B）中各项分值加一倍，满分30分。

（5）业务经营能力打分标准
A.根据机构本年度的合同额（包括安全测评之外的安
全服务等合同）打分：
a)未达到100万的，得0分。

b)达到100万的，得1分；
c)达到200万的，得2分；
d)达到300万的，得3分；
e)达到500万的，得4分；
f)达到700万的，得5分；
g)达到800万的，得6分；
h)达到1000万的，得7分。

B.根据机构渗透测试人员数量打分：
a)有1人的，得1分；
b)有2人的，得2分；
c)有3人及以上的，得3分。

注意：机构年度合同额应以本年度安全服务合同复印件为证据。

渗透测试人员应提交名单和详细信息。

根据A-B得分相加，得出此项最后得分。

（6）测评管理规范化打分标准
由省级等保办核查机构年度遵守《信息安全等级保护测评机构管理办法》情况。

A.核实机构根据《测评机构管理办法》第十一条规定，
是否及时进行变更报告情况，符合规定的；得2分，
基本符合的，得1分，不符合的，得0分；
B.核实机构根据《测评机构管理办法》第十三条、第
十四条和第十五条规定，规范测评师管理、保密管
理及持续培训情况；符合规定的，得2分，基本符合的，得1分，不符合的，得0分；
C.核实机构根据《测评机构管理办法》第十七条规定，
及时提交等级测评项目报告表情况；符合规定的，
得2分，基本符合的，得1分，不符合的，得0分；
D.核实机构根据《信息安全等级保护测评机构管理办
法》第十九条规定，及时报送测评机构开展情况和
信息系统安全状况分析报告的情况；符合规定的，
得2分，基本符合的，得1分，不符合的，得0分；
E.核实机构等级测评综合管理平台具备及使用情况；
机构具备等级测评综合管理平台，能够使用平台规
范测评管理流程、自动处理测评数据、自动生成报
告的；得2分，基本符合的，得1分，不符合的，得0分。

注意：根据A-E得分相加，得出此项最后得分。

（7）省级等保办对测评机构工作评价打分标准
A.根据机构积极对外开展等级保护的法规政策宣贯、
培训情况，根据年度内对外培训人数打分：
a)累计培训人数9人以内的，得0分；
b)累计培训人数10-19人的，得1分；
c)累计培训人数达到20人的，得2分；
d)累计培训人数达到60人的，得3分；
e)累计培训人数达到80人的，得4分；
f)累计培训人数达到100人的，得5分。

B.根据机构对公安机关安全检查、事件处置、网络安
全专项、应急职守工作的技术支持情况，根据年度支持次数打分:
a)支持1次的，得1分；
b)累计支持2次的，得2分；
c)累计支持3次的，得3分；
d)累计支持4次的，得4分；
e)累计支持5次及以上的，得5分。

注意：根据A-B得分相加，得出此项最后得分。

（8）国家等保办对测评机构工作评价打分标准
A.根据机构组织/支持部十一局或国家重要行业部门
开展大型等级保护宣贯、培训、技术交流、论坛等活动的支持次数打分：
a)支持1次的，得1分；
b)累计支持2次及以上的，得2分。

B.机构组织/参与制定等级保护相关的国家标准/行业
标准/地方标准或规范性文件的项目数量打分：
a)组织一项的，得1分；
b)组织一项的，得2分；
c)组织三项及以上的，得3分。

仅仅参与的，得分减半；
C.机构组织/参与等级保护工具（系统）研发，或者积
极支持部十一局专项工作的，根据支持配合次数打分：
a)支持1次的，得1分；
b)支持2次的，得2分；
c)支持3次及以上的，得3分。

D.根据机构在等级保护新技术研究方面有相关的研究
课题/报告以及在技术大会和体系大会中报送论文
情况打分：
a)有研究课题/报告的，得1分；
b)论文总数在3篇以下的，得0分；
c)论文总数在3篇及以上，优秀论文1篇及以上的，
得1分。

注意：根据A-D得分相加，得出此项最后得分。