信息安全等级保护测评工作管理规范(试行)
扬州大自然网络信息有限公司 2012年12月27日 阅读数: 4852
第一条 为加强信息安全等级保护测评机构建设和管理,规范等级测评活动,保障信息安全等级保护测评工作(以下简称“等级测评工作”)的顺利开展,根据《信息安全等级保护管理办法》等有关规定,制订本规范。
第二条 本规范适用于等级测评机构和人员及其测评活动的管理。
第三条 等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。
第四条 省级以上等保办负责等级测评机构的审核和推荐工作。
公安部信息安全等级保护评估中心(以下简称“评估中心”)负责测评机构的能力评估和培训工作。
第五条 等级测评机构应当具备以下基本条件:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)产权关系明晰,注册资金100万元以上;
(四)从事信息系统检测评估相关工作两年以上,无违法记录;
(五)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(六)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人;
(七)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;
(八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(九)对国家安全、社会秩序、公共利益不构成威胁;
(十)应当具备的其他条件。
第六条 测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。
测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。不得从事下列活动:
(一)影响被测评信息系统正常运行,危害被测评信息系统安全;
(二)泄露知悉的被测评单位及被测信息系统的国家秘密和工作秘密;
(三)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告;
(四)未按规定格式出具等级测评报告;
(五)非授权占有、使用等级测评相关资料及数据文件;
(六)分包或转包等级测评项目;
(七)信息安全产品开发、销售和信息系统安全集成;
(八)限定被测评单位购买、使用其指定的信息安全产品;
(九)其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。
第七条 申请成为等级测评机构的单位(以下简称“申请单位”)应当向省级以上等保办申请。
国家信息安全等级保护工作协调小组办公室负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请。省级等保办负责受理本省(区、直辖市)申请单位提出的申请。
申请单位申请时,等保办应当告知测评机构的条件、从事的业务范围以及禁止行为等内容,使申请单位清楚了解测评机构的权利和义务。
第八条 知悉有关规定并愿意成为测评机构的申请单位,可以向省级以上等保办提出书面申请,如实填写《信息安全等级保护测评机构申请表》(见附件1)。
申请单位的人员应当如实填写人员基本情况表,并承诺对信息的真实性和有效性负责。
省级以上等保办对申请单位进行初审,初审通过的,应当告知申请单位到评估中心进行测评能力评估。
第九条 评估中心按照有关标准规范,在30个工作日内完成对申请单位的材料审查和现场核查工作。
测评人员参加由评估中心举办的专门培训、考试并取得评估中心颁发的《等级测评师证书》(等级测评师分为初级、中级和高级)。 等级测评人员需持等级测评师证上岗。
评估中心综合评估申请单位的测评能力,对测评能力评估合格的,出具评估报告。
第十条 省级以上等保办组织专家对通过测评能力评估的申请单位及其测评人员进行审核。
第十一条 通过审核的,由省级以上等保办向申请单位颁发信息安全等级保护测评机构推荐证书(见附件2),并向社会公布测评机构推荐目录。
省级等保办将测评机构推荐目录报国家信息安全等级保护工作协调小组办公室,国家信息安全等级保护工作协调小组办公室汇总公布《全国信息安全等级保护测评机构推荐目录》。
第十二条 测评机构应当按照公安部统一制订的《信息系统安全等级测评报告模版》格式出具测评报告,根据信息系统规模和所投入的成本,合理收取测评服务费用。
第十三条 省级以上等保办每年对所推荐的测评机构进行检查,测评机构应提交《信息安全等级保护测评机构检查表》(见附件3)。
第十四条 测评机构名称、法人等事项发生变化的,或者其等级测评师变动的,测评机构应在三十日内向受理申请的省级以上等保办办理变更手续。
第十五条 测评机构应当严格遵循申诉、投诉及争议处理制度,妥善处理争议事件,及时采取纠正和改进措施。
第十六条 测评机构或者其测评人员违反本规范第六条规定之一或年审未通过的,由省级以上等保办责令其限期改正;逾期不改正的,给予警告,直至取消测评机构的推荐证书或等级测评师证书,并向社会公告;造成严重损害的,由相关部门依照有关法律、法规予以处理。
第十七条 测评机构或者测评人员违反本规范的规定,给被测评单位造成损失的,应当依法承担民事责任。
第十八条 本规范由国家信息安全等级保护工作协调小组办公室负责解释。
第十九条 本规范中省级以上含省级。
第二十条 本规范自发布之日起施行。
附件:1、《信息安全等级保护测评机构申请表》
2、信息安全等级保护测评机构推荐证书样式
3、《信息安全等级保护测评机构检查表》
第二条 本规范适用于等级测评机构和人员及其测评活动的管理。
第三条 等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。
第四条 省级以上等保办负责等级测评机构的审核和推荐工作。
公安部信息安全等级保护评估中心(以下简称“评估中心”)负责测评机构的能力评估和培训工作。
第五条 等级测评机构应当具备以下基本条件:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)产权关系明晰,注册资金100万元以上;
(四)从事信息系统检测评估相关工作两年以上,无违法记录;
(五)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(六)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人;
(七)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;
(八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(九)对国家安全、社会秩序、公共利益不构成威胁;
(十)应当具备的其他条件。
第六条 测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。
测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。不得从事下列活动:
(一)影响被测评信息系统正常运行,危害被测评信息系统安全;
(二)泄露知悉的被测评单位及被测信息系统的国家秘密和工作秘密;
(三)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告;
(四)未按规定格式出具等级测评报告;
(五)非授权占有、使用等级测评相关资料及数据文件;
(六)分包或转包等级测评项目;
(七)信息安全产品开发、销售和信息系统安全集成;
(八)限定被测评单位购买、使用其指定的信息安全产品;
(九)其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。
第七条 申请成为等级测评机构的单位(以下简称“申请单位”)应当向省级以上等保办申请。
国家信息安全等级保护工作协调小组办公室负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请。省级等保办负责受理本省(区、直辖市)申请单位提出的申请。
申请单位申请时,等保办应当告知测评机构的条件、从事的业务范围以及禁止行为等内容,使申请单位清楚了解测评机构的权利和义务。
第八条 知悉有关规定并愿意成为测评机构的申请单位,可以向省级以上等保办提出书面申请,如实填写《信息安全等级保护测评机构申请表》(见附件1)。
申请单位的人员应当如实填写人员基本情况表,并承诺对信息的真实性和有效性负责。
省级以上等保办对申请单位进行初审,初审通过的,应当告知申请单位到评估中心进行测评能力评估。
第九条 评估中心按照有关标准规范,在30个工作日内完成对申请单位的材料审查和现场核查工作。
测评人员参加由评估中心举办的专门培训、考试并取得评估中心颁发的《等级测评师证书》(等级测评师分为初级、中级和高级)。 等级测评人员需持等级测评师证上岗。
评估中心综合评估申请单位的测评能力,对测评能力评估合格的,出具评估报告。
第十条 省级以上等保办组织专家对通过测评能力评估的申请单位及其测评人员进行审核。
第十一条 通过审核的,由省级以上等保办向申请单位颁发信息安全等级保护测评机构推荐证书(见附件2),并向社会公布测评机构推荐目录。
省级等保办将测评机构推荐目录报国家信息安全等级保护工作协调小组办公室,国家信息安全等级保护工作协调小组办公室汇总公布《全国信息安全等级保护测评机构推荐目录》。
第十二条 测评机构应当按照公安部统一制订的《信息系统安全等级测评报告模版》格式出具测评报告,根据信息系统规模和所投入的成本,合理收取测评服务费用。
第十三条 省级以上等保办每年对所推荐的测评机构进行检查,测评机构应提交《信息安全等级保护测评机构检查表》(见附件3)。
第十四条 测评机构名称、法人等事项发生变化的,或者其等级测评师变动的,测评机构应在三十日内向受理申请的省级以上等保办办理变更手续。
第十五条 测评机构应当严格遵循申诉、投诉及争议处理制度,妥善处理争议事件,及时采取纠正和改进措施。
第十六条 测评机构或者其测评人员违反本规范第六条规定之一或年审未通过的,由省级以上等保办责令其限期改正;逾期不改正的,给予警告,直至取消测评机构的推荐证书或等级测评师证书,并向社会公告;造成严重损害的,由相关部门依照有关法律、法规予以处理。
第十七条 测评机构或者测评人员违反本规范的规定,给被测评单位造成损失的,应当依法承担民事责任。
第十八条 本规范由国家信息安全等级保护工作协调小组办公室负责解释。
第十九条 本规范中省级以上含省级。
第二十条 本规范自发布之日起施行。
附件:1、《信息安全等级保护测评机构申请表》
2、信息安全等级保护测评机构推荐证书样式
3、《信息安全等级保护测评机构检查表》
微信公众号