測評體系建設(shè)工作通知303

PAGE4-關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知公信安[2010]303號各省、自治區(qū)、直轄市公安廳、局網(wǎng)絡(luò)安全保衛(wèi)（公共信息網(wǎng)絡(luò)安全監(jiān)察、網(wǎng)絡(luò)警察）總隊（處）、新疆生產(chǎn)建設(shè)兵團公安局公共信息網(wǎng)絡(luò)安全監(jiān)察處：為進一步貫徹落實公安部《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導意見》（公信安[2009]1429號）精神，加快信息安全等級保護測評體系建設(shè)，提高測評機構(gòu)能力，規(guī)范測評活動，確保信息安全等級保護安全建設(shè)整改工作順利進行，滿足信息安全等級保護工作的迫切需要，我局決定在全國部署開展信息安全等級保護測評體系建設(shè)和等級測評工作?，F(xiàn)將有關(guān)事項通知如下：一、工作目標（一）通過廣泛宣傳和正確引導，鼓勵更多的有關(guān)企事業(yè)單位從事信息安全等級保護測評工作，滿足信息安全等級保護測評工作的迫切需要。（二）通過對測評機構(gòu)進行統(tǒng)一的能力評估和嚴格審核，保證測評機構(gòu)的水平和能力達到有關(guān)標準規(guī)范要求。（三）加強對測評機構(gòu)的安全監(jiān)督，規(guī)范其測評活動，保證為備案單位提供客觀、公正和安全的測評服務(wù)。（四）督促備案單位開展等級測評工作，為開展等級保護安全建設(shè)整改工作奠定基礎(chǔ)，使信息系統(tǒng)安全保護狀況逐步達到等級保護要求。二、工作內(nèi)容各地要按照《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導意見》要求，結(jié)合本地實際組織開展以下工作：（一）統(tǒng)籌規(guī)劃，正確引導，積極穩(wěn)妥地推動等級測評機構(gòu)建設(shè)。結(jié)合本地已定級備案信息系統(tǒng)數(shù)量和分布情況，從滿足等級測評工作的實際需要出發(fā)，統(tǒng)籌規(guī)劃、合理布局測評機構(gòu)的規(guī)模和數(shù)量，積極引導本地符合規(guī)定條件、有良好信譽的企事業(yè)單位從事等級測評工作，按照成熟一個發(fā)展一個的原則，有計劃、積極穩(wěn)妥地推動測評機構(gòu)建設(shè)。（二）規(guī)范流程，嚴格把關(guān)，確保測評機構(gòu)的水平和能力符合測評工作要求。依據(jù)《信息安全等級保護測評工作管理規(guī)范（試行）》（見附件一），對申請成為測評機構(gòu)的單位嚴格把關(guān)，按照申請受理、測評能力評估、審核、推薦的流程，認真開展測評機構(gòu)評審和推薦工作。同時，要加強對等級測評機構(gòu)的監(jiān)督管理和指導，確保測評機構(gòu)的水平和能力符合要求以及測評活動客觀、公正和安全。（三）督促備案單位開展信息系統(tǒng)等級測評工作，確保安全建設(shè)整改工作的順利開展。督促信息系統(tǒng)備案單位盡快委托測評機構(gòu)開展等級測評，2010年底前完成測評體系建設(shè)，并完成30%第三級（含）以上信息系統(tǒng)的測評工作，2011年底前完成第三級（含）以上信息系統(tǒng)的測評工作，2012年底之前完成第三級（含）以上信息系統(tǒng)的安全建設(shè)整改工作。三、工作要求（一）高度重視，落實責任。要充分認識開展等級測評體系建設(shè)和等級測評工作的重要性，加強組織領(lǐng)導，落實責任。確定主管領(lǐng)導，落實專門管理人員，負責受理申請、審核、監(jiān)督管理以及其他日常對測評機構(gòu)、測評人員的管理工作。（二）制定計劃，加強監(jiān)督。要盡快確定本地等級測評體系建設(shè)和測評工作的計劃，制定貫徹實施意見和方案。要督促、檢查本地測評機構(gòu)依據(jù)有關(guān)標準開展等級測評活動，按照《信息系統(tǒng)安全等級測評報告模版（試行）》（公信安[2009]1487號）編制測評報告。（三）加強指導，積極宣傳。要加強對本地備案單位和測評機構(gòu)等級測評工作的指導，指導測評機構(gòu)對測評人員開展教育培訓，不斷提高測評人員的安全意識和業(yè)務(wù)能力。要充分利用會議、網(wǎng)站和其他媒體，加大對等級測評工作有關(guān)政策和相關(guān)標準的宣傳力度，推動等級測評工作的順利開展。各地開展等級保護測評體系建設(shè)和測評工作的情況要及時上報。工作中有何問題，請及時報我局。附：1、《信息安全等級保護測評工作管理規(guī)范（試行）》2、信息安全等級保護測評體系建設(shè)常見問題解答3、等級測評機構(gòu)管理流程圖二

附件一：信息安全等級保護測評工作管理規(guī)范（試行）第一條為加強信息安全等級保護測評機構(gòu)建設(shè)和管理，規(guī)范等級測評活動，保障信息安全等級保護測評工作（以下簡稱“等級測評工作”）的順利開展，根據(jù)《信息安全等級保護管理辦法》等有關(guān)規(guī)定，制訂本規(guī)范。第二條本規(guī)范適用于等級測評機構(gòu)和人員及其測評活動的管理。第三條等級測評工作，是指測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標準，對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。等級測評機構(gòu)，是指具備本規(guī)范的基本條件，經(jīng)能力評估和審核，由省級以上信息安全等級保護工作協(xié)調(diào)（領(lǐng)導）小組辦公室（以下簡稱為“等保辦”）推薦，從事等級測評工作的機構(gòu)。第四條省級以上等保辦負責等級測評機構(gòu)的審核和推薦工作。公安部信息安全等級保護評估中心（以下簡稱“評估中心”）負責測評機構(gòu)的能力評估和培訓工作。第五條等級測評機構(gòu)應(yīng)當具備以下基本條件：（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；（三）產(chǎn)權(quán)關(guān)系明晰，注冊資金100萬元以上；（四）從事信息系統(tǒng)檢測評估相關(guān)工作兩年以上，無違法記錄；（五）工作人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪記錄；（六）具有滿足等級測評工作的專業(yè)技術(shù)人員和管理人員，測評技術(shù)人員不少于10人；（七）具備必要的辦公環(huán)境、設(shè)備、設(shè)施，使用的技術(shù)裝備、設(shè)施應(yīng)當符合《信息安全等級保護管理辦法》對信息安全產(chǎn)品的要求；（八）具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度；（九）對國家安全、社會秩序、公共利益不構(gòu)成威脅;（十）應(yīng)當具備的其他條件。第六條測評機構(gòu)及其測評人員應(yīng)當嚴格執(zhí)行有關(guān)管理規(guī)范和技術(shù)標準，開展客觀、公正、安全的測評服務(wù)。測評機構(gòu)可以從事等級測評活動以及信息系統(tǒng)安全等級保護定級、安全建設(shè)整改、信息安全等級保護宣傳教育等工作的技術(shù)支持。不得從事下列活動：（一）影響被測評信息系統(tǒng)正常運行，危害被測評信息系統(tǒng)安全；（二）泄露知悉的被測評單位及被測評信息系統(tǒng)的國家秘密和工作秘密；（三）故意隱瞞測評過程中發(fā)現(xiàn)的安全問題，或者在測評過程中弄虛作假，未如實出具等級測評報告；（四）未按規(guī)定格式出具等級測評報告；（五）非授權(quán)占有、使用等級測評相關(guān)資料及數(shù)據(jù)文件；（六）分包或轉(zhuǎn)包等級測評項目；（七）信息安全產(chǎn)品開發(fā)、銷售和信息系統(tǒng)安全集成；（八）限定被測評單位購買、使用其指定的信息安全產(chǎn)品；（九）其他危害國家安全、社會秩序、公共利益以及被測單位利益的活動。第七條申請成為等級測評機構(gòu)的單位（以下簡稱“申請單位”）應(yīng)當向省級以上等保辦申請。國家信息安全等級保護工作協(xié)調(diào)小組辦公室負責受理隸屬國家信息安全職能部門和重點行業(yè)主管部門申請單位提出的申請。省級等保辦負責受理本?。▍^(qū)、直轄市）申請單位提出的申請。申請單位申請時，等保辦應(yīng)當告知測評機構(gòu)的條件、從事的業(yè)務(wù)范圍以及禁止行為等內(nèi)容，使申請單位清楚了解測評機構(gòu)的責任和義務(wù)。第八條知悉有關(guān)規(guī)定并愿意成為測評機構(gòu)的申請單位，可以向省級以上等保辦提出書面申請，如實填寫《信息安全等級保護測評機構(gòu)申請表》。申請單位的人員應(yīng)當如實填寫人員基本情況表，并承諾對信息的真實性和有效性負責。省級以上等保辦對申請單位進行初審，初審通過的，應(yīng)當告知申請單位到評估中心進行測評能力評估。第九條評估中心按照有關(guān)標準規(guī)范，在30個工作日內(nèi)完成對申請單位的材料審查和現(xiàn)場核查工作。測評人員參加由評估中心舉辦的專門培訓、考試并取得評估中心頒發(fā)的《等級測評師證書》（等級測評師分為初級、中級和高級）。等級測評人員需持等級測評師證上崗。評估中心綜合評估申請單位的測評能力，測評能力評估合格的，出具評估報告。第十條省級以上等保辦組織專家對測評能力評估合格的申請單位及其測評人員進行審核。第十一條通過審核的，由省級以上等保辦向申請單位頒發(fā)信息安全等級保護測評機構(gòu)推薦證書，并向社會公布測評機構(gòu)推薦目錄。省級等保辦將測評機構(gòu)推薦目錄報國家信息安全等級保護工作協(xié)調(diào)小組辦公室，國家信息安全等級保護工作協(xié)調(diào)小組辦公室匯總公布《全國信息安全等級保護測評機構(gòu)推薦目錄》。第十二條測評機構(gòu)應(yīng)按照公安部統(tǒng)一制訂的《信息系統(tǒng)安全等級測評報告模版（試行）》格式出具測評報告，根據(jù)信息系統(tǒng)規(guī)模和所投入的成本，合理收取測評服務(wù)費用。第十三條省級以上等保辦每年對所推薦的測評機構(gòu)進行檢查。檢查時，測評機構(gòu)應(yīng)提交《信息安全等級保護測評機構(gòu)檢查表》。第十四條測評機構(gòu)名稱、法人等事項發(fā)生變化的，或者其等級測評師變動的，測評機構(gòu)應(yīng)在30日內(nèi)到受理申請的省級以上等保辦辦理變更手續(xù)。第十五條測評機構(gòu)應(yīng)當嚴格遵循申訴、投訴及爭議處理制度，妥善處理爭議事件，及時采取糾正和改進措施。第十六條測評機構(gòu)或者其測評人員違反本規(guī)范第六條規(guī)定之一或年度檢查未通過的，由省級以上等保辦責令其限期改正；逾期不改正的，給予警告，直至取消測評機構(gòu)的推薦證書或等級測評師證書，并向社會公告；造成嚴重損害的，由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。第十七條測評機構(gòu)或者測評人員違反本規(guī)范的規(guī)定，給被測評單位造成損失的，應(yīng)當依法承擔法律責任。第十八條本規(guī)范由國家信息安全等級保護工作協(xié)調(diào)小組辦公室負責解釋。第十九條本規(guī)范中省級以上含省級。第二十條本規(guī)范自發(fā)布之日起施行。附件：1、《信息安全等級保護測評機構(gòu)申請表》2、信息安全等級保護測評機構(gòu)推薦證書樣式3、《信息安全等級保護測評機構(gòu)檢查表》附件1：編號：（X）XXX年月日信息安全等級保護測評機構(gòu)申請表單位名稱：單位地址：申請日期：國家信息安全等級保護工作協(xié)調(diào)小組辦公室制填表說明：（封皮背面）1、申請表編號“（X）XXX年月日”由受理申請單位填寫，其中（X）是各地行政區(qū)劃簡稱，XXX是申請表編號。2、申請表各項內(nèi)容應(yīng)如實填寫，文字表述明確。3、申請表簽字蓋章方為有效。應(yīng)由申請單位法定代表人簽字；委托代表人簽字的，應(yīng)出具有效的委托書。4、申請表中“單位類型”應(yīng)按照單位營業(yè)執(zhí)照填寫。5、如所填內(nèi)容超出表格時，可添加附頁。6、申請單位人員基本情況表每人填寫一份。7、申請表一式二份。申請單位基本情況表單位名稱單位地址法定代表人手機辦公電話單位負責人手機辦公電話單位聯(lián)系人手機辦公電話電子郵箱注冊資本單位類型員工總數(shù)管理人員數(shù)技術(shù)人員數(shù)測評機構(gòu)應(yīng)當具備的基本條件（請在符合的條件序號前□內(nèi)打“√”）□1、在中國境內(nèi)注冊成立（港澳臺地區(qū)除外）；□2、□3、產(chǎn)權(quán)關(guān)系明晰，注冊資金100萬元以上；□4、從事信息系統(tǒng)檢測評估相關(guān)工作兩年以上；□5、工作人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪記錄；□6、具有滿足等級測評工作的專業(yè)技術(shù)人員和管理人員，測評技術(shù)人員不少于10人；□7、具備必要的辦公環(huán)境、設(shè)備、設(shè)施，使用的技術(shù)裝備、設(shè)施應(yīng)當符合《信息安全等級保護管理辦法》對信息安全產(chǎn)品的要求；□8、具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度；□9、對國家安全、社會秩序、公共利益不構(gòu)成威脅。業(yè)務(wù)范圍及主營業(yè)務(wù)（按營業(yè)執(zhí)照填寫）從事信息系統(tǒng)檢測評估相關(guān)工作情況（近年來從事信息系統(tǒng)檢測評估相關(guān)工作的業(yè)績，需要列舉已完成項目的范例）設(shè)備設(shè)施配備情況（等級測評所需的測試實驗環(huán)境、測評工作平臺、專門工具、測試與評估設(shè)備及其它服務(wù)保障設(shè)施情況；設(shè)備類別清單）安全保密管理等制度情況（為加強內(nèi)部規(guī)范管理，適應(yīng)等級測評業(yè)務(wù)安全保密要求而采取的人員管理、安全保密管理、設(shè)備使用管理、測評質(zhì)量控制管理等方面的措施和制度建設(shè)情況）測評技術(shù)力量情況（技術(shù)人才數(shù)量、層次、培訓、承擔重大課題、項目情況）申請表附件（請在提供的材料序號前□內(nèi)打“√”）□1、營業(yè)執(zhí)照復印件□2、法定代表人及股東身份證復印件□3、申請單位人員基本情況表（每人填寫一份）□4、股權(quán)（資本）結(jié)構(gòu)說明□5、申請單位組織結(jié)構(gòu)表□6、相關(guān)資質(zhì)能力證書復印件申請單位聲明我單位知悉信息安全等級保護測評機構(gòu)的責任義務(wù)，現(xiàn)申請成為信息安全等級保護測評機構(gòu)，自愿服從并接受相關(guān)安全保密、測評規(guī)范管理，并保證所提交的有關(guān)材料均真實有效。如有虛假，本單位愿承擔一切后果及相關(guān)法律責任。其他特別聲明事項：法定代表人：（簽字）申請單位:（蓋章）年月日申請單位人員基本情況表姓名性別免冠照片出生年月國籍政治面貌出生地最高學歷身份證號護照號碼綠卡號碼戶籍地址郵編居住地址郵編職務(wù)職稱電子郵箱電話犯罪記錄業(yè)務(wù)能力和專長直系親屬涉外關(guān)系教育背景（從大專填寫）時間院校名稱專業(yè)方向見證人培訓經(jīng)歷時間培訓機構(gòu)名稱培訓項目證書名稱工作經(jīng)歷時間單位名稱職務(wù)\職稱見證人所提供附件（請在提供的材料序號前□內(nèi)打“√”）□1、身份證復印件□2、最高學歷證書復印件□3、相關(guān)認證、技能證書復印件個人鄭重聲明鄭重聲明本人清楚國家對等級測評從業(yè)人員的安全審查和等級測評技術(shù)能力等方面的要求，愿意服從并遵守有關(guān)安全保密等管理規(guī)范，并承諾按照相關(guān)標準規(guī)范要求和規(guī)定認真履行工作職責。本人自愿接受關(guān)于本人的審核，所提供的全部資料均真實有效，如有虛假，本人將承擔由此造成的一切后果及相關(guān)法律責任。個人簽名：單位蓋章：年月日安全保證承諾書等級測評工作是等級保護工作的重要組成部分，直接關(guān)系信息系統(tǒng)安全，作為從事信息安全等級測評工作的機構(gòu)，本單位及其人員知悉測評機構(gòu)的責任義務(wù)和工作規(guī)范，愿意服從并接受各項安全保密管理，并承諾按照有關(guān)標準規(guī)范開展等級測評工作，保證測評工作的客觀、公正、安全，如有虛假或有違反測評管理規(guī)范的行為，本單位將承擔由此造成的一切后果及相關(guān)的法律責任。法定代表人簽字：單位蓋章:年月日

以下內(nèi)容由省級以上等保辦填寫能力評估情況（能力評估報告摘錄，評估情況及結(jié)論）等級測評師培訓獲證情況專家審核意見專家組長：（簽字）年月日推薦意見承辦人：（簽字）年月日負責人：（簽字/蓋章）年月日附件2：測評機構(gòu)推薦證書樣式證書編號：（省簡稱）－001信息安全等級保護測評機構(gòu)推薦證書XXX測評機構(gòu)：經(jīng)審核，你單位符合信息安全等級保護測評機構(gòu)有關(guān)規(guī)范要求，具備從事信息安全等級保護測評工作能力，現(xiàn)予以推薦。特發(fā)此證。發(fā)證日期：2010年03信息安全等級保護專用章測評機構(gòu)推薦證書（副本）樣式證書編號：（省簡稱）－001信息安全等級保護測評機構(gòu)推薦證書（副本）機構(gòu)名稱:地址:法定代表人:發(fā)證日期:有效期至：檢查情況：第一次檢查時間（年月日）第二次檢查時間（年月日）第三次檢查時間（年月日）檢查情況：負責人：（簽字/蓋章）年月日檢查情況：負責人：（簽字/蓋章）年月日檢查情況：負責人：（簽字/蓋章）年月日

附件3：編號：（X）XXX年月日信息安全等級保護測評機構(gòu)檢查表測評機構(gòu)名稱：（蓋章）測評機構(gòu)地址：檢查日期：國家信息安全等級保護工作協(xié)調(diào)小組辦公室制填表說明：（封皮背面）1、檢查表編號“（X）XXX年月日”由檢查單位填寫，其中（X）是各地行政區(qū)劃簡稱，XXX是檢查表編號。2、檢查表各項內(nèi)容應(yīng)如實填寫，文字表述明確，不得弄虛作假。3、檢查表蓋章方為有效。4、檢查表中“單位類型”應(yīng)按照單位營業(yè)執(zhí)照填寫。5、如所填內(nèi)容超出表格時可另添加附頁。6、測評結(jié)論按照合格、基本合格、不合格填寫。7、負責人為省級以上等保辦領(lǐng)導。8、檢查表一式二份。測評機構(gòu)名稱測評機構(gòu)地址法定代表人辦公電話手機單位聯(lián)系人辦公電話手機測評系統(tǒng)總數(shù)四級三級二級測評項目總值（萬元）測評工作開展情況測評人員教育培訓情況質(zhì)量控制保障措施人員變更情況

信息系統(tǒng)等級測評項目匯總表序號信息系統(tǒng)名稱等級所屬單位結(jié)論承辦人檢查意見（是否有違反管理規(guī)范行為，概述年度檢查情況）承辦人：（簽字）年月日負責人意見負責人：（簽字）年月日附件二：信息安全等級保護測評體系建設(shè)常見問題解答問：什么是信息安全等級保護測評工作？答：信息安全等級保護測評工作是等級測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標準，對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。問：為什么要開展等級測評體系建設(shè)工作？答：等級測評體系建設(shè)主要內(nèi)容包括測評機構(gòu)的建設(shè)和規(guī)范管理，測評人員和測評活動的規(guī)范管理等。信息安全等級保護測評工作是信息安全等級保護工作的重要環(huán)節(jié)，是專門機構(gòu)針對信息系統(tǒng)開展的一種專業(yè)性、服務(wù)性的檢測活動。等級測評工作涉及的信息系統(tǒng)范圍廣、敏感性強，參與的測評機構(gòu)及測評人員復雜，如果缺乏對測評機構(gòu)和測評人員的管理，則難以保證等級測評的客觀、公正和安全，甚至會給重要信息系統(tǒng)安全造成新的風險和隱患，危害國家安全和社會穩(wěn)定。為加強對測評機構(gòu)及測評人員管理，穩(wěn)步推進等級測評機構(gòu)建設(shè)，規(guī)范等級測評活動，提高測評機構(gòu)、人員的技術(shù)能力和水平，在國家信息安全等級保護協(xié)調(diào)小組的領(lǐng)導下，全國組織開展信息安全等級保護等級測評體系建設(shè)工作，以保障等級保護工作的順利開展。問：對測評機構(gòu)的管理方法是什么？答：申請成為測評機構(gòu)的單位可以向省級以上信息安全等級保護協(xié)調(diào)（領(lǐng)導）小組辦公室提出申請，經(jīng)過專門機構(gòu)的能力評估和專門培訓，對符合條件的申請單位，省級以上信息安全等級保護協(xié)調(diào)（領(lǐng)導）小組辦公室推薦其成為等級測評機構(gòu)，從事等級測評工作。省級信息安全等級保護協(xié)調(diào)（領(lǐng)導）小組辦公室公布本地測評機構(gòu)推薦目錄，國家信息安全等級保護協(xié)調(diào)小組辦公室公布《全國信息安全等級保護測評機構(gòu)推薦目錄》。問：對測評人員的管理方法是什么？答：測評人員實行等級測評師管理。等級測評師分為初級、中級和高級。測評人員參加專門培訓機構(gòu)舉辦的專門培訓和考試。考試合格的，由專門培訓機構(gòu)向測評人員頒發(fā)相應(yīng)等級的《等級測評師證書》。等級測評人員持等級測評師證上崗。問：測評機構(gòu)基本條件是什么？答：申請成為等級測評機構(gòu)的申請單位應(yīng)該具備如下基本條件：（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；（三）產(chǎn)權(quán)關(guān)系明晰，注冊資金100萬元以上；（四）從事信息系統(tǒng)檢測評估相關(guān)工作