《GBT 22240-2020 信息安全技术 网络安全等级保护定级指南》要求“安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本标准组织进行专家评审、主管部门核准和备案审查,最终确定其安全保护等级。
由于在《GBT 22240-2020 信息安全技术 网络安全等级保护定级指南》中没有对评审专家进行定义,所以在实际开展定级工作中会有很多不同,比如北京要求有测评师参与评审,有些地方自己组织认定了一批评审专家,有些地方套用政府采购评审专家,有些地方可自由选择。对于没有明确要求的地区进行等保定级专家评审时,可参考以下人员构成方案:
第一、公安网安主管部门工作人员,他们从事这项工作每年对大量新系统进行了定级审核,可以作为专家组成员。
第二、测评机构持证工作人员,他们长年在一线进行等保工作会接触很多系统,对标准对系统情况比较熟悉可以作为专家组成员,邀请的测评机构成员资质应为:中、高级测评师。
第三,相关网络安全专家,比如各个单位信息中心或者网络安全的负责人,行业主管部门负责网络安全的人员,高校负责网络安全、计算机等教学人员,CISP等国家认证持证人员等。
定级评审专家至少3人,人员中包括:网安人员、测评机构中高级测评师及其他网络安全专家。