《信息安全等級保護測評機構管理辦法》最新

1、信息安全等級保護測評機構管理辦法第一條 為加強信息安全等級保護測評機構管理，規(guī)范 等級測評行為，提高測評技術能力和服務水平，根據信息 安全等級保護管理辦法等有關規(guī)定，制定本辦法。第二條 等級測評工作，是指等級測評機構依據國家信 息安全等級保護制度規(guī)定，按照有關管理規(guī)范和技術標準， 對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評 估的活動。等級測評機構，是指依據國家信息安全等級保護制度規(guī) 定，具備本辦法規(guī)定的基本條件，經審核推薦，從事等級測 評等信息安全服務的機構。第三條 等級測評機構推薦管理工作遵循統(tǒng)籌規(guī)劃、合 理布局、安全規(guī)范的方針，按照 “誰推薦、誰負責，誰審核、 誰負責 ”的原則有序

2、開展。第四條 等級測評機構應以提供等級測評服務為主，可 根據信息系統(tǒng)運營使用單位安全保障需求，提供信息安全咨 詢、應急保障、安全運維、安全監(jiān)理等服務。第五條 國家信息安全等級保護工作協(xié)調小組辦公室 （以下簡稱 “國家等保辦 ”）負責受理隸屬國家信息安全職能 部門和重點行業(yè)主管部門申請單位提出的申請，并對其推薦的等級測評機構進行監(jiān)督管理。省級信息安全等級保護工作協(xié)調 （領導）小組辦公室 （以 下簡稱 “省級等保辦 ”）負責受理本?。▍^(qū)、直轄市）申請單 位提出的申請，并對其推薦的等級測評機構進行監(jiān)督管理。第六條 申請成為等級測評機構的單位（以下簡稱 “申請 單位 ”）應具備以下基本條件：（一）在中

3、華人民共和國境內注冊成立，由中國公民、 法人投資或者國家投資的企事業(yè)單位；（二）產權關系明晰，注冊資金 100 萬元以上；（三）從事信息系統(tǒng)安全相關工作兩年以上，無違法記 錄；（四）測評人員僅限于中華人民共和國境內的中國公 民，且無犯罪記錄；（五）具有信息系統(tǒng)安全相關工作經驗的技術人員，不 少于 10 人；（六）具備必要的辦公環(huán)境、設備、設施，使用的技術 裝備、設施應滿足測評工作需求；（七）具有完備的安全保密管理、 項目管理、 質量管理、 人員管理和培訓教育等規(guī)章制度；（八）自覺接受等保辦的監(jiān)督、檢查和指導，對國家安 全、社會秩序、公共利益不構成威脅；（九）不涉及信息安全產品開發(fā)、銷售或信息系

4、統(tǒng)安全集成等業(yè)務；（十）應具備的其他條件。第七條 申請時，申請單位應向等保辦提交以下材料：（一）信息安全等級保護測評機構申請表 ；（二）從事信息系統(tǒng)安全相關工作情況；（三）檢測評估工作所需軟硬件及其他服務保障設施配 備情況；（四）有關管理制度建設情況；（五）申請單位及其測評人員基本情況；（六）應提交的其他材料。等保辦收到申請材料后，應在 10 個工作日內組織初審， 并出具初審結果告知書。第八條 通過初審的申請單位，應及時參加指定評估機 構組織的測評人員培訓?？荚嚭细竦娜藛T，取得等級測評師 證書。等級測評師分為初級、中級和高級。申請單位應至少有10 人獲得等級測評師證書， 其中高級和中級測評師均

5、不得少 于 1 人。第九條 指定評估機構應根據標準規(guī)范對申請單位開展 能力評估，出具信息安全等級保護測評機構能力評估報告， 并及時將申請單位能力評估有關情況報送等保辦。第十條 等保辦組織專家對通過能力評估的申請單位進 行審核。審核通過的，頒發(fā)信息安全等級保護測評機構推 薦證書。省級等保辦應及時將本地等級測評機構推薦情況報國 家等保辦，國家等保辦定期發(fā)布公告，在中國信息安全等 級保護網發(fā)布全國信息安全等級保護測評機構推薦目 錄。第十一條 下列事項發(fā)生變更時，等級測評機構應在變更后 5 個工作日內向等保辦報告。（一）等級測評機構名稱、地址、測評人員和主要負責 人發(fā)生變更的；（二）等級測評機構法人、

6、股權結構發(fā)生變更的；（三）其他重大事項發(fā)生變更的。省級等保辦應及時將等級測評機構變更情況報國家等保辦。第十二條 信息安全等級保護測評機構推薦證書有效期 為三年。等級測評機構應在推薦證書期滿前 30 日內，向等 保辦申請復審。復審通過的等級測評機構應換發(fā)新證。復審 未通過的，等保辦應督促其限期整改。省級等保辦應及時將等級測評機構期滿復審情況報國 家等保辦。第十三條 等級測評師上崗前，等級測評機構應組織崗 前培訓。培訓合格的，由等級測評機構配發(fā)上崗證。未取得測評師證書和上崗證的，不得參與等級測評項目等級測評師離職前，等級測評機構應與其簽訂離職保密 承諾書，并收回上崗證。第十四條 等級測評師應妥善保

7、管等級測評師證書、上 崗證，不得涂改、出借、出租和轉讓。第十五條 等級測評機構應加強對本機構等級測評師的 監(jiān)督管理，定期組織開展安全保密教育和業(yè)務培訓。第十六條 等級測評機構應嚴格按照信息安全等級保護 標準規(guī)范公正、獨立地開展等級測評工作，依據模板出具信 息系統(tǒng)安全等級測評報告，確保測評質量，全面、客觀地反 映被測信息系統(tǒng)的安全保護狀況。第十七條 等級測評機構開展測評項目不受地域、行業(yè) 限制。等級測評機構應在測評項目合同簽訂以及項目完成后 5 個工作日內，向受理信息系統(tǒng)備案的公安機關報告等級測 評項目有關情況。第十八條 測評項目實施過程中，等級測評機構應接受 等保辦的監(jiān)督、檢查和指導。測評項目

8、完成后，等級測評機 構應請被測評信息系統(tǒng)運營使用單位對測評服務情況進行 評價，評價情況由被測單位反饋等保辦。第十九條 等級測評機構應定期向等保辦報送測評工作 開展情況。根據測評實踐，每年底編制并報送信息系統(tǒng)安全 狀況分析報告。第二十條 等級測評機構實行等級化管理。根據信息系統(tǒng)測評數(shù)量、機構規(guī)模、測評技術能力和服務質量等指標， 對等級測評機構劃分為五個星級，最低為一星級，最高為五 星級。等級測評機構星級評定標準由國家等保辦另行制定。第二十一條 等級測評機構應于每年底向等保辦提交星 級評定所需材料。等保辦負責組織所推薦等級測評機構的星級評定審核 工作，并出具星級評定意見。省級等保辦應及時將評定意見

9、 報國家等保辦審定，國家等保辦定期發(fā)布星級評定結果。第二十二條 取得信息安全等級保護測評機構推薦證書 未滿一年的，不參加星級評定。第二十三條 等保辦負責對所推薦等級測評機構的日常 監(jiān)督檢查、測評項目抽查和年審工作，及時掌握等級測評機 構工作情況。第二十四條 等保辦應于每年底對所推薦的等級測評機 構進行年審。等級測評機構自推薦之日起未滿 6 個月的，當 年可免予年審。年審時，等級測評機構應提交以下材料：（一）信息安全等級保護測評機構年審表 ；（二）信息安全等級保護測評機構推薦證書副本；（三）年度測評工作總結；（四）其他所需材料。第二十五條 國家等保辦負責組織開展等級測評機構能力驗證和抽查工作第二

10、十六條 等級測評機構有下列情形之一的，等保辦 應責令其限期整改；情形嚴重的，予以通報。（一）未按照有關標準規(guī)范開展測評或未按規(guī)定出具信 息系統(tǒng)安全等級測評報告的；（二）影響被測評信息系統(tǒng)正常運行，危害被測評信息 系統(tǒng)安全的；（三）非授權占有、使用，未妥善保管等級測評相關資 料及數(shù)據文件的；（四）分包或轉包等級測評項目，以及擾亂測評市場秩 序的；（五）限定被測評單位購買、 使用指定信息安全產品的；（六）測評人員未取得等級測評師證書和上崗證從事等 級測評活動的；（七）未按本辦法規(guī)定向等保辦提交材料、報告情況或 弄虛作假的；（八）其他違反等級測評有關規(guī)定的行為。第二十七條 等級測評機構有下列情形之一

11、的，等保辦 應取消其信息安全等級保護測評機構推薦證書，并向社會公 告。（一）因單位股權、人員等情況發(fā)生變動，不符合等級測評機構基本條件的；二）有信息安全產品開發(fā)、銷售或信息系統(tǒng)安全集成行為的；（三）故意泄露被測評單位工作秘密、重要信息系統(tǒng)數(shù) 據信息的；（四）故意隱瞞測評過程中發(fā)現(xiàn)的安全問題，或者在測 評過程中弄虛作假未如實出具等級測評報告的；（五）一年內未開展信息系統(tǒng)測評工作或自愿退出全 國信息安全等級保護測評機構推薦目錄的；（六）連續(xù)兩年年審不合格或限期整改后仍未通過復審 的；（七）違反本辦法第二十六條規(guī)定，情節(jié)特別嚴重的。 第二十八條 等級測評師有下列行為之一的，等保辦應 責令等級測評機構督促其限期改正；情節(jié)嚴重的，責令等級 測評機構暫停其參與測評工作；情形特別嚴重的，應注銷其 等級測評師證書，并對其所在等級測評機構進行通報。（一）未經允許擅自使用或泄露、出售等級測評工作中 收集的數(shù)據信息、資料或信息系統(tǒng)安全等級測評報告的；（二）違反本辦法第十四條規(guī)定，未妥善保管等級測評 師證書、上崗證，有涂改、出借、出租和轉讓等行為的；（三）測評行為失誤或不當，影響信息系統(tǒng)安全或造成 運營使用單位利益損失的