《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理辦法》最新

1、信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理辦法第一條 為加強(qiáng)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理，規(guī)范等級(jí)測(cè)評(píng)行為，提高測(cè)評(píng)技術(shù)能力和服務(wù)水平，根據(jù)信息安全等級(jí)保護(hù)管理辦法等有關(guān)規(guī)定，制定本辦法。第二條 等級(jí)測(cè)評(píng)工作，是指等級(jí)測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)非涉及國(guó)家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。等級(jí)測(cè)評(píng)機(jī)構(gòu)，是指依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，具備本辦法規(guī)定的基本條件，經(jīng)審核推薦，從事等級(jí)測(cè)評(píng)等信息安全服務(wù)的機(jī)構(gòu)。第三條 等級(jí)測(cè)評(píng)機(jī)構(gòu)推薦管理工作遵循統(tǒng)籌規(guī)劃、合理布局、安全規(guī)范的方針，按照“誰(shuí)推薦、誰(shuí)負(fù)責(zé)，誰(shuí)審核、誰(shuí)負(fù)責(zé)”的原則有序開(kāi)展。第四條 等級(jí)測(cè)評(píng)

2、機(jī)構(gòu)應(yīng)以提供等級(jí)測(cè)評(píng)服務(wù)為主，可根據(jù)信息系統(tǒng)運(yùn)營(yíng)使用單位安全保障需求，提供信息安全咨詢、應(yīng)急保障、安全運(yùn)維、安全監(jiān)理等服務(wù)。第五條 國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室（以下簡(jiǎn)稱“國(guó)家等保辦”）負(fù)責(zé)受理隸屬國(guó)家信息安全職能部門和重點(diǎn)行業(yè)主管部門申請(qǐng)單位提出的申請(qǐng)，并對(duì)其推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行監(jiān)督管理。省級(jí)信息安全等級(jí)保護(hù)工作協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室（以下簡(jiǎn)稱“省級(jí)等保辦”）負(fù)責(zé)受理本省（區(qū)、直轄市）申請(qǐng)單位提出的申請(qǐng)，并對(duì)其推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行監(jiān)督管理。第六條 申請(qǐng)成為等級(jí)測(cè)評(píng)機(jī)構(gòu)的單位（以下簡(jiǎn)稱“申請(qǐng)單位”）應(yīng)具備以下基本條件：（一）在中華人民共和國(guó)境內(nèi)注冊(cè)成立，由中國(guó)公民、法人投資或者國(guó)

3、家投資的企事業(yè)單位；（二）產(chǎn)權(quán)關(guān)系明晰，注冊(cè)資金100萬(wàn)元以上；（三）從事信息系統(tǒng)安全相關(guān)工作兩年以上，無(wú)違法記錄；（四）測(cè)評(píng)人員僅限于中華人民共和國(guó)境內(nèi)的中國(guó)公民，且無(wú)犯罪記錄；（五）具有信息系統(tǒng)安全相關(guān)工作經(jīng)驗(yàn)的技術(shù)人員，不少于10人； （六）具備必要的辦公環(huán)境、設(shè)備、設(shè)施，使用的技術(shù)裝備、設(shè)施應(yīng)滿足測(cè)評(píng)工作需求；（七）具有完備的安全保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等規(guī)章制度；（八）自覺(jué)接受等保辦的監(jiān)督、檢查和指導(dǎo)，對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成威脅；（九）不涉及信息安全產(chǎn)品開(kāi)發(fā)、銷售或信息系統(tǒng)安全集成等業(yè)務(wù)；（十）應(yīng)具備的其他條件。第七條 申請(qǐng)時(shí)，申請(qǐng)單位應(yīng)向等保辦

4、提交以下材料：（一）信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)申請(qǐng)表；（二）從事信息系統(tǒng)安全相關(guān)工作情況；（三）檢測(cè)評(píng)估工作所需軟硬件及其他服務(wù)保障設(shè)施配備情況；（四）有關(guān)管理制度建設(shè)情況；（五）申請(qǐng)單位及其測(cè)評(píng)人員基本情況；（六）應(yīng)提交的其他材料。等保辦收到申請(qǐng)材料后，應(yīng)在10個(gè)工作日內(nèi)組織初審，并出具初審結(jié)果告知書。第八條 通過(guò)初審的申請(qǐng)單位，應(yīng)及時(shí)參加指定評(píng)估機(jī)構(gòu)組織的測(cè)評(píng)人員培訓(xùn)。考試合格的人員，取得等級(jí)測(cè)評(píng)師證書。等級(jí)測(cè)評(píng)師分為初級(jí)、中級(jí)和高級(jí)。申請(qǐng)單位應(yīng)至少有10人獲得等級(jí)測(cè)評(píng)師證書，其中高級(jí)和中級(jí)測(cè)評(píng)師均不得少于1人。第九條 指定評(píng)估機(jī)構(gòu)應(yīng)根據(jù)標(biāo)準(zhǔn)規(guī)范對(duì)申請(qǐng)單位開(kāi)展能力評(píng)估，出具信息安全等級(jí)保護(hù)測(cè)

5、評(píng)機(jī)構(gòu)能力評(píng)估報(bào)告，并及時(shí)將申請(qǐng)單位能力評(píng)估有關(guān)情況報(bào)送等保辦。第十條 等保辦組織專家對(duì)通過(guò)能力評(píng)估的申請(qǐng)單位進(jìn)行審核。審核通過(guò)的，頒發(fā)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書。省級(jí)等保辦應(yīng)及時(shí)將本地等級(jí)測(cè)評(píng)機(jī)構(gòu)推薦情況報(bào)國(guó)家等保辦，國(guó)家等保辦定期發(fā)布公告，在中國(guó)信息安全等級(jí)保護(hù)網(wǎng)發(fā)布全國(guó)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄。第十一條 下列事項(xiàng)發(fā)生變更時(shí)，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)在變更后5個(gè)工作日內(nèi)向等保辦報(bào)告。 （一）等級(jí)測(cè)評(píng)機(jī)構(gòu)名稱、地址、測(cè)評(píng)人員和主要負(fù)責(zé)人發(fā)生變更的； （二）等級(jí)測(cè)評(píng)機(jī)構(gòu)法人、股權(quán)結(jié)構(gòu)發(fā)生變更的；（三）其他重大事項(xiàng)發(fā)生變更的。省級(jí)等保辦應(yīng)及時(shí)將等級(jí)測(cè)評(píng)機(jī)構(gòu)變更情況報(bào)國(guó)家等保辦。第十二條 信息

6、安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書有效期為三年。等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)在推薦證書期滿前30日內(nèi)，向等保辦申請(qǐng)復(fù)審。復(fù)審?fù)ㄟ^(guò)的等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)換發(fā)新證。復(fù)審未通過(guò)的，等保辦應(yīng)督促其限期整改。省級(jí)等保辦應(yīng)及時(shí)將等級(jí)測(cè)評(píng)機(jī)構(gòu)期滿復(fù)審情況報(bào)國(guó)家等保辦。第十三條 等級(jí)測(cè)評(píng)師上崗前，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)組織崗前培訓(xùn)。培訓(xùn)合格的，由等級(jí)測(cè)評(píng)機(jī)構(gòu)配發(fā)上崗證。未取得測(cè)評(píng)師證書和上崗證的，不得參與等級(jí)測(cè)評(píng)項(xiàng)目。等級(jí)測(cè)評(píng)師離職前，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)與其簽訂離職保密承諾書，并收回上崗證。第十四條 等級(jí)測(cè)評(píng)師應(yīng)妥善保管等級(jí)測(cè)評(píng)師證書、上崗證，不得涂改、出借、出租和轉(zhuǎn)讓。第十五條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)本機(jī)構(gòu)等級(jí)測(cè)評(píng)師的監(jiān)督管理，定期組織開(kāi)展安全保

7、密教育和業(yè)務(wù)培訓(xùn)。第十六條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)嚴(yán)格按照信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)規(guī)范公正、獨(dú)立地開(kāi)展等級(jí)測(cè)評(píng)工作，依據(jù)模板出具信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告，確保測(cè)評(píng)質(zhì)量，全面、客觀地反映被測(cè)信息系統(tǒng)的安全保護(hù)狀況。第十七條 等級(jí)測(cè)評(píng)機(jī)構(gòu)開(kāi)展測(cè)評(píng)項(xiàng)目不受地域、行業(yè)限制。等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)在測(cè)評(píng)項(xiàng)目合同簽訂以及項(xiàng)目完成后5個(gè)工作日內(nèi)，向受理信息系統(tǒng)備案的公安機(jī)關(guān)報(bào)告等級(jí)測(cè)評(píng)項(xiàng)目有關(guān)情況。第十八條 測(cè)評(píng)項(xiàng)目實(shí)施過(guò)程中，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)接受等保辦的監(jiān)督、檢查和指導(dǎo)。測(cè)評(píng)項(xiàng)目完成后，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)請(qǐng)被測(cè)評(píng)信息系統(tǒng)運(yùn)營(yíng)使用單位對(duì)測(cè)評(píng)服務(wù)情況進(jìn)行評(píng)價(jià)，評(píng)價(jià)情況由被測(cè)單位反饋等保辦。第十九條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)定期向等保辦報(bào)送測(cè)評(píng)工

8、作開(kāi)展情況。根據(jù)測(cè)評(píng)實(shí)踐，每年底編制并報(bào)送信息系統(tǒng)安全狀況分析報(bào)告。第二十條 等級(jí)測(cè)評(píng)機(jī)構(gòu)實(shí)行等級(jí)化管理。根據(jù)信息系統(tǒng)測(cè)評(píng)數(shù)量、機(jī)構(gòu)規(guī)模、測(cè)評(píng)技術(shù)能力和服務(wù)質(zhì)量等指標(biāo)，對(duì)等級(jí)測(cè)評(píng)機(jī)構(gòu)劃分為五個(gè)星級(jí)，最低為一星級(jí)，最高為五星級(jí)。等級(jí)測(cè)評(píng)機(jī)構(gòu)星級(jí)評(píng)定標(biāo)準(zhǔn)由國(guó)家等保辦另行制定。第二十一條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)于每年底向等保辦提交星級(jí)評(píng)定所需材料。等保辦負(fù)責(zé)組織所推薦等級(jí)測(cè)評(píng)機(jī)構(gòu)的星級(jí)評(píng)定審核工作，并出具星級(jí)評(píng)定意見(jiàn)。省級(jí)等保辦應(yīng)及時(shí)將評(píng)定意見(jiàn)報(bào)國(guó)家等保辦審定，國(guó)家等保辦定期發(fā)布星級(jí)評(píng)定結(jié)果。第二十二條 取得信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書未滿一年的，不參加星級(jí)評(píng)定。第二十三條 等保辦負(fù)責(zé)對(duì)所推薦等級(jí)測(cè)評(píng)機(jī)

9、構(gòu)的日常監(jiān)督檢查、測(cè)評(píng)項(xiàng)目抽查和年審工作，及時(shí)掌握等級(jí)測(cè)評(píng)機(jī)構(gòu)工作情況。第二十四條 等保辦應(yīng)于每年底對(duì)所推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行年審。等級(jí)測(cè)評(píng)機(jī)構(gòu)自推薦之日起未滿6個(gè)月的，當(dāng)年可免予年審。年審時(shí)，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)提交以下材料：（一）信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)年審表； （二）信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書副本；（三）年度測(cè)評(píng)工作總結(jié)；（四）其他所需材料。第二十五條 國(guó)家等保辦負(fù)責(zé)組織開(kāi)展等級(jí)測(cè)評(píng)機(jī)構(gòu)能力驗(yàn)證和抽查工作。第二十六條 等級(jí)測(cè)評(píng)機(jī)構(gòu)有下列情形之一的，等保辦應(yīng)責(zé)令其限期整改；情形嚴(yán)重的，予以通報(bào)。（一）未按照有關(guān)標(biāo)準(zhǔn)規(guī)范開(kāi)展測(cè)評(píng)或未按規(guī)定出具信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告的；（二）影響被測(cè)評(píng)信息系

10、統(tǒng)正常運(yùn)行，危害被測(cè)評(píng)信息系統(tǒng)安全的；（三）非授權(quán)占有、使用，未妥善保管等級(jí)測(cè)評(píng)相關(guān)資料及數(shù)據(jù)文件的；（四）分包或轉(zhuǎn)包等級(jí)測(cè)評(píng)項(xiàng)目，以及擾亂測(cè)評(píng)市場(chǎng)秩序的；（五）限定被測(cè)評(píng)單位購(gòu)買、使用指定信息安全產(chǎn)品的；（六）測(cè)評(píng)人員未取得等級(jí)測(cè)評(píng)師證書和上崗證從事等級(jí)測(cè)評(píng)活動(dòng)的；（七）未按本辦法規(guī)定向等保辦提交材料、報(bào)告情況或弄虛作假的；（八）其他違反等級(jí)測(cè)評(píng)有關(guān)規(guī)定的行為。第二十七條 等級(jí)測(cè)評(píng)機(jī)構(gòu)有下列情形之一的，等保辦應(yīng)取消其信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書，并向社會(huì)公告。（一）因單位股權(quán)、人員等情況發(fā)生變動(dòng)，不符合等級(jí)測(cè)評(píng)機(jī)構(gòu)基本條件的；（二）有信息安全產(chǎn)品開(kāi)發(fā)、銷售或信息系統(tǒng)安全集成行為的； （三

11、）故意泄露被測(cè)評(píng)單位工作秘密、重要信息系統(tǒng)數(shù)據(jù)信息的；（四）故意隱瞞測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的安全問(wèn)題，或者在測(cè)評(píng)過(guò)程中弄虛作假未如實(shí)出具等級(jí)測(cè)評(píng)報(bào)告的；（五）一年內(nèi)未開(kāi)展信息系統(tǒng)測(cè)評(píng)工作或自愿退出全國(guó)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄的；（六）連續(xù)兩年年審不合格或限期整改后仍未通過(guò)復(fù)審的；（七）違反本辦法第二十六條規(guī)定，情節(jié)特別嚴(yán)重的。第二十八條 等級(jí)測(cè)評(píng)師有下列行為之一的，等保辦應(yīng)責(zé)令等級(jí)測(cè)評(píng)機(jī)構(gòu)督促其限期改正；情節(jié)嚴(yán)重的，責(zé)令等級(jí)測(cè)評(píng)機(jī)構(gòu)暫停其參與測(cè)評(píng)工作；情形特別嚴(yán)重的，應(yīng)注銷其等級(jí)測(cè)評(píng)師證書，并對(duì)其所在等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行通報(bào)。（一）未經(jīng)允許擅自使用或泄露、出售等級(jí)測(cè)評(píng)工作中收集的數(shù)據(jù)信息、資料或信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告的；（二）違反本辦法第十四條規(guī)定，未妥善保管等級(jí)測(cè)評(píng)師證書、上崗證，有涂改、出借、出租和轉(zhuǎn)讓等行為的；（三）測(cè)評(píng)行為失誤或不當(dāng)，影響信息系統(tǒng)安全或造成運(yùn)營(yíng)使用單位利益損失的；（四）