信息安全等級保護測評機構(gòu)管理規(guī)定

1、并對其推薦的等級測評機構(gòu)進行監(jiān)督管理。信息安全等級保護測評機構(gòu)管理規(guī)定Company number 1089WT-1898YT-1W8CB-9UUT-92108信息安全等級保護測評機構(gòu)管理辦法第一條為加強信息安全等級保護測評機構(gòu)管理，規(guī)范等級測評行 為，提高測評技術(shù)能力和服務(wù)水平，根據(jù)信息安全等級保護管理辦 法等有關(guān)規(guī)定，制定本辦法。第二條等級測評工作，是指等級測評機構(gòu)依據(jù)國家信息安全等級保 護制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標準，對非涉及國家秘密信息系 統(tǒng)安全等級保護狀況進行檢測評估的活動。等級測評機構(gòu)，是指依據(jù)國家信息安全等級保護制度規(guī)定，具備本 辦法規(guī)定的基本條件，經(jīng)審核推薦，從事等級測

2、評等信息安全服務(wù)的機 構(gòu)。第三條等級測評機構(gòu)推薦管理工作遵循統(tǒng)籌規(guī)劃、合理布局、安全 規(guī)范的方針，按照“誰推薦、誰負責，誰審核、誰負責”的原則有序開 展。第四條等級測評機構(gòu)應(yīng)以提供等級測評服務(wù)為主，可根據(jù)信息系統(tǒng) 運營使用單位安全保障需求，提供信息安全咨詢、應(yīng)急保障、安全運 維、安全監(jiān)理等服務(wù)。第五條國家信息安全等級保護工作協(xié)調(diào)小組辦公室（以下簡稱“國 家等保辦”）負責受理隸屬國家信息安全職能部門和重點行業(yè)主管部門 申請單位提出的申請，并對其推薦的等級測評機構(gòu)進行監(jiān)督管理。省級信息安全等級保護工作協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室（以下簡稱 “省級等保辦”）負責受理本?。▍^(qū)、直轄市）申請單位提出的申請，第

3、六條申請成為等級測評機構(gòu)的單位（以下簡稱“申請單位”）應(yīng) 具備以下基本條件：（一）在中華人民共和國境內(nèi)注冊成立，由中國公民、法人投資或 者國家投資的企事業(yè)單位；（二）產(chǎn)權(quán)關(guān)系明晰，注冊資金100萬元以上；（三）從事信息系統(tǒng)安全相關(guān)工作兩年以上，無違法記錄；（四）測評人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪 記錄；（五）具有信息系統(tǒng)安全相關(guān)工作經(jīng)驗的技術(shù)人員，不少于10人;（六）具備必要的辦公環(huán)境、設(shè)備、設(shè)施，使用的技術(shù)裝備、設(shè)施 應(yīng)滿足測評工作需求；（七）具有完備的安全保密管理、項目管理、質(zhì)量管理、人員管理 和培訓教育等規(guī)章制度；（八）自覺接受等保辦的監(jiān)督、檢查和指導(dǎo)，對國家安全、社會

4、秩 序、公共利益不構(gòu)成威脅；（九）不涉及信息安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成等業(yè) 務(wù)；（+）應(yīng)具備的其他條件。第七條申請時，申請單位應(yīng)向等保辦提交以下材料：（一）信息安全等級保護測評機構(gòu)申請表；（二）從事信息系統(tǒng)安全相關(guān)工作情況；（三）檢測評估工作所需軟硬件及其他服務(wù)保障設(shè)施配備情況;（四）有關(guān)管理制度建設(shè)情況；（五）申請單位及其測評人員基本情況；（六）應(yīng)提交的其他材料。等保辦收到申請材料后，應(yīng)在10個工作口內(nèi)組織初市，并出具初審 結(jié)果告知書。第八條通過初審的申請單位，應(yīng)及時參加指定評估機構(gòu)組織的測評 人員培訓?？荚嚭细竦娜藛T，取得等級測評師證書。等級測評師分為初級、中級和高級。申請單位應(yīng)

5、至少有10人獲得等 級測評師證書，其中高級和中級測評師均不得少于1人。第九條指定評估機構(gòu)應(yīng)根據(jù)標準規(guī)范對申請單位開展能力評估，出 具信息安全等級保護測評機構(gòu)能力評估報告，并及時將申請單位能力評 估有關(guān)情況報送等保辦。第十條等保辦組織專家對通過能力評估的申請單位進行審核。審核 通過的，頒發(fā)信息安全等級保護測評機構(gòu)推薦證書。省級等保辦應(yīng)及時將本地等級測評機構(gòu)推薦情況報國家等保辦，國 家等保辦定期發(fā)布公告，在中國信息安全等級保護網(wǎng)發(fā)布.全國信 息安全等級保護測評機構(gòu)推薦目錄。第十一條下列事項發(fā)生變更時，等級測評機構(gòu)應(yīng)在變更后5個工作 日內(nèi)向等保辦報告。（一）等級測評機構(gòu)名稱、地址、測評人員和主要負責

6、人發(fā)生變更的;（二）等級測評機構(gòu)法人、股權(quán)結(jié)構(gòu)發(fā)生變更的;（三）其他重大事項發(fā)生變更的。省級等保辦應(yīng)及時將等級測評機構(gòu)變更情況報國家等保辦。第十二條信息安全等級保護測評機構(gòu)推薦證書有效期為三年。等級 測評機構(gòu)應(yīng)在推薦證書期滿前30日內(nèi)，向等保辦申請復(fù)審。復(fù)審?fù)ㄟ^的 等級測評機構(gòu)應(yīng)換發(fā)新證。復(fù)審未通過的，等保辦應(yīng)督促其限期整改。省級等保辦應(yīng)及時將等級測評機構(gòu)期滿復(fù)市情況報國家等保辦。第十三條等級測評師上崗前，等級測評機構(gòu)應(yīng)組織崗前培訓。培訓 合格的，由等級測評機構(gòu)配發(fā)上崗證。未取得測評師證書和上崗證的， 不得參與等級測評項目。等級測評師離職前，等級測評機構(gòu)應(yīng)與其簽訂離職保密承諾書，并 收回上崗證

7、。第十四條等級測評師應(yīng)妥善保管等級測評師證書、上崗證，不得涂 改、出借、出租和轉(zhuǎn)讓。第十五條等級測評機構(gòu)應(yīng)加強對本機構(gòu)等級測評師的監(jiān)督管理，定 期組織開展安全保密教育和業(yè)務(wù)培訓。第十六條等級測評機構(gòu)應(yīng)嚴格按照信息安全等級保護標準規(guī)范公 正、獨立地開展等級測評工作，依據(jù)模板出具信息系統(tǒng)安全等級測評報 告，確保測評質(zhì)量，全面、客觀地反映被測信息系統(tǒng)的安全保護狀況。第十七條等級測評機構(gòu)開展測評項目不受地域、行業(yè)限制。等級測 評機構(gòu)應(yīng)在測評項目合同簽訂以及項目完成后5個工作日內(nèi)，向受理信 息系統(tǒng)備案的公安機關(guān)報告等級測評項目有關(guān)情況。第十八條測評項目實施過程中，等級測評機構(gòu)應(yīng)接受等保辦的監(jiān) 督、檢查和

8、指導(dǎo)。測評項目完成后，等級測評機構(gòu)應(yīng)請被測評信息系統(tǒng) 運營使用單位對測評服務(wù)情況進行評價，評價情況由被測單位反饋等保 辦。第十九條等級測評機構(gòu)應(yīng)定期向等保辦報送測評工作開展情況。根 據(jù)測評實踐，每年底編制并報送信息系統(tǒng)安全狀況分析報告。第二十條等級測評機構(gòu)實行等級化管理。根據(jù)信息系統(tǒng)測評數(shù)量、 機構(gòu)規(guī)模、測評技術(shù)能力和服務(wù)質(zhì)量等指標，對等級測評機構(gòu)劃分為五 個星級，最低為一星級，最高為五星級。等級測評機構(gòu)星級評定標準由 國家等保辦另行制定。第二十一條等級測評機構(gòu)應(yīng)于每年底向等保辦提交星級評定所需材 料。等保辦負責組織所推薦等級測評機構(gòu)的星級評定審核工作，并出具 星級評定意見。省級等保辦應(yīng)及時將

9、評定意見報國家等保辦審定，國家 等保辦定期發(fā)布星級評定結(jié)果。第二十二條取得信息安全等級保護測評機構(gòu)推薦證書未滿一年的， 不參加星級評定。第二十三條等保辦負責對所推薦等級測評機構(gòu)的口常監(jiān)督檢查、測 評項目抽查和年審工作，及時掌握等級測評機構(gòu)工作情況。第二十四條等保辦應(yīng)于每年底對所推薦的等級測評機構(gòu)進行年審。等級測評機構(gòu)自推薦之日起未滿6個月的，當年可免予年審。年審時，等 級測評機構(gòu)應(yīng)提交以下材料:（一）信息安全等級保護測評機構(gòu)年審表；（二）信息安全等級保護測評機構(gòu)推薦證書副本；（三）年度測評工作總結(jié)；（四）其他所需材料。第二十五條國家等保辦負責組織開展等級測評機構(gòu)能力驗證和抽查 工作。第二十六條

10、等級測評機構(gòu)有下列情形之一的，等保辦應(yīng)責令其限期 整改；情形嚴重的，予以通報。（一）未按照有關(guān)標準規(guī)范開展測評或未按規(guī)定出具信息系統(tǒng)安全 等級測評報告的；（二）影響被測評信息系統(tǒng)正常運行，危害被測評信息系統(tǒng)安全 的；（三）非授權(quán)占有、使用，未妥善保管等級測評相關(guān)資料及數(shù)據(jù)文 件的；（四）分包或轉(zhuǎn)包等級測評項目，以及擾亂測評市場秩序的；（五）限定被測評單位購買、使用指定信息安全產(chǎn)品的；（六）測評人員未取得等級測評師證書和上崗證從事等級測評活動 的；（七）未按本辦法規(guī)定向等保辦提交材料、報告情況或弄虛作假的;（八）其他違反等級測評有關(guān)規(guī)定的行為。第二十七條等級測評機構(gòu)有下列情形之一的，等保辦應(yīng)取消

11、其信息 安全等級保護測評機構(gòu)推薦證書，并向社會公告。（一）因單位股權(quán)、人員等情況發(fā)生變動，不符合等級測評機構(gòu)基 本條件的；（二）有信息安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成行為的；（三）故意泄露被測評單位工作秘密、重要信息系統(tǒng)數(shù)據(jù)信息的；（四）故意隱瞞測評過程中發(fā)現(xiàn)的安全問題，或者在測評過程中弄 虛作假未如實出具等級測評報告的；（五）一年內(nèi)未開展信息系統(tǒng)測評工作或自愿退出全國信息安全 等級保護測評機構(gòu)推薦目錄的；（六）連續(xù)兩年年審不合格或限期整改后仍未通過復(fù)審的；（七）違反本辦法第二十六條規(guī)定，情節(jié)特別嚴重的。第二十八條等級測評師有下列行為之一的，等保辦應(yīng)責令等級測評 機構(gòu)督促其限期改正；情節(jié)嚴重的，責令等級測評機構(gòu)暫停其參與測評 工作；情形特別嚴重的，應(yīng)注銷其等級測評師證書，并對其所在等級測 評機構(gòu)進行通報。（一）未經(jīng)允許擅自使用或泄露、出售等級測評工作中收集的數(shù)據(jù) 信息、資料或信息系統(tǒng)安全等級測評報告的；（二）違反本辦法第十四條規(guī)定，未妥善保管等級測評師證書、上 崗證，有涂改、出借、出租和轉(zhuǎn)讓等行為的；（三）測評行為失誤或不當，影響信息系統(tǒng)安全或造成運營使用單 位利益損失