1、 等级测评机构应具备必要的办公环境、设备、设施和
管理系统。
2 、等级测评机构应具备满足等级测评工作需要的工具，
如漏洞扫描器、协议分析仪、性能测试仪和渗透测试工具 等。
3 、等级测评机构应具备符合相关要求的机房以及必要的
软、硬件设备，用于满足信息系统仿真、技术培训和模拟 测试的需要。
内容
1 2 3 4 5
2、测评机构资质-注册资金，营业执照
2、测评机构资质-测评机构能力评估报告
2、测评机构资质-测评机构能力评估合格证书
2、测评机构资质-测评机构推荐证书
2、测评机构资质-测评机构推荐证书
2、测评机构资质-测评人员认证证书
2、测评机构资质-测评机构ISO9000证书
2、测评机构资质-测评机构计量认证证书
1、测评机构要求-业务范围
地方测评机构在本地开展测评业务，行业测评机构在行
业内开展测评业务。行业测评机构在地方开展测评业务前，应与本地 等级保护协调（领导）小组办公室协调；
承担有关部门委托的安全测评专项任务； 配合当地公安网安部门对信息系统进行监督、检查； 开展风险评估、信息安全培训、咨询服务和信息安全工程监理； 为当地信息安全等级保护工作提供技术支持和服务； 其他有关文件规定的职责任务。
1、测评机构要求-禁止开展的活动
承担信息系统安全建设整改工作； 将等级测评任务分包、外包； 信息安全产品开发、营销和信息系统集成活动； 限定被测评单位购买、使用其指定的信息安全产品； 未经许可占有、使用有关测评信息、资料及数据文件； 其他可能影响测评客观、公正的活动。
1、测评机构要求-设施与设备
（如操作系统、数据库系统、网络设备等）的弱点进行分析，或实施基 于弱点的攻击。此类工具又可进一步细分为脆弱性扫描工具、渗透测试 工具和静态分析工具；
2）等级测评辅助工具：主要实现对数据的采集、现状分析和趋
势分析等单项功能；
3）等级测评管理工具：主要用于规范等级测评的过程和操作方
法；或者是用于收集测评所需要的数据和资料，并根据测评知识库和推 理专家知识库辅助测评人员进行测评结果判断。
等级测评活动是确保信息安全等级保护工作的关键环节，通过测评 能够了解系统的安全现状与等级保护要求之间的差距，明确安全整 改的目标与方向。工具测试作为一种高灵活性的辅助测试手段，在 测评活动中发挥着重要作用。
3、测评工具-分类
根据在等级测评过程中任务的不同，等级测评工具可以分成如下三大类：
1）等级测评安全测试工具：主要用于对信息系统的主要部件
2、测评机构资质-测评机构税务登记证
2、测评机构资质1 2 3 4 5
要求 资质 工具 收费 等级测评管理工具
3、测评工具
等级测评最主要的手段是访谈，因此主观因素的干扰不可避免。自 动化、规范化的等级测评工具必不可少。优秀的测评工具应能够清 晰的梳理测评流程；合理分配测评项目到各个专业技术团队；通过 丰富的测评知识库有效降低等级测评难度，提高等级测评效率；测 评案例的模板化(如：门户网站、数据库等）；对测评结果自动进行 分析，提取出不符合项，进行风险分析；安全趋势分析(对历年的自 查与等级测评结果进行关联分析)。
当前比较流行的扫描工具有：天镜脆弱性扫描与管理系统、绿盟极光远程安全评估系统、 明鉴数据库/WEB应用弱点扫描器、ISS Internet Scanner、Appscan、Nessus 等。
中国公民，且无犯罪记录；
（六）具有胜任等级测评工作的专业技术人员和管理人员，大
学本科（含）以上学历所占比例不低于80%。其中测评技术人员不少 于10人；
（七）具备必要的办公环境、设备、设施及完备的安全管理制
度；
（八）对国家安全、社会秩序、公共利益不构成威胁; （九）应当具备的其他条件。
1、测评机构要求-申请材料
3、测评工具-安全测试工具
包括脆弱性扫描工具、渗透性测试工具和静态分析工具。
脆弱性扫描工具又称为安全扫描器或漏洞扫描仪，是目前应用比较广泛的测评工具之一， 主要用于识别网络、操作系统、数据库系统的脆弱性。通常情况下，这些工具能够发现 软件和硬件中已知的弱点，以决定系统是否易受已知攻击的影响。目前常见的脆弱性扫 描工具有以下几种类型： 1）基于网络的扫描器：在网络中运行，能够检测如防火墙的错误配置或连接到网络上 的易受攻击的网络服务器的关键漏洞； 2）基于主机的扫描器：发现主机的操作系统、特殊服务和配置的细节，发现潜在的用 户行为风险，如密码强度不够，也可实施对文件系统的检查； 3）分布式网络扫描器：由远程扫描代理、对这些代理的即插即用更新机制、中心管理 点三部分构成，用于分布式网络的脆弱性扫描； 4）数据库脆弱性扫描器：对数据库的授权、认证和完整性进行详细的分析，也可以识 别数据库系统中潜在的弱点。
信息系统安全等级保护 要求、资质、工具和收费
内容
1 2 3 4 5
要求 资质 工具 收费 等级测评管理工具
1、测评机构要求-基本条件
（一）在中华人民共和国境内注册成立（港澳台地区除外）； （二）由中国公民投资、中国法人投资或者国家投资的企事业
单位（港澳台地区除外）；
（三）产权关系明晰，注册资金100万元以上； （四）从事信息系统检测评估相关工作两年以上； （五）单位法人及主要工作人员仅限于中华人民共和国境内的
要求 资质 工具 收费 等级测评管理工具
2、测评机构资质
（1）注册资金最好在1000万元，营业执照。 （2）测评机构能力评估报告。 （3）测评机构能力评估合格证书。 （4）测评机构推荐证书。 （5）测评机构ISO9000质量管理体系证书。 （6）测评机构计量认证证书。 （7）测评机构税务登记证。 （8）测评机构组织机构代码证。
（一）《信息安全等级保护测评机构申请书》； （二）当地公安网安部门的推荐意见； （三）营业执照及其他注册证明文件； （四）《内设组织机构与岗位设置情况表》； （五）《工作人员基本情况表》、证明材料和声明； （六）《办公场地、设备与设施情况表》； （七）《安全测评设备、工具配备情况表》； （八）信息系统安全测评能力报告； （九）保密管理、项目管理、质量管理、人员管理和培训教育等相关管理文件； （十）需要提供的其他材料。