測評體系建設工作通知303

PAGE4-關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知公信安[2010]303號各省、自治區(qū)、直轄市公安廳、局網絡安全保衛(wèi)（公共信息網絡安全監(jiān)察、網絡警察）總隊（處）、新疆生產建設兵團公安局公共信息網絡安全監(jiān)察處：為進一步貫徹落實公安部《關于開展信息安全等級保護安全建設整改工作的指導意見》（公信安[2009]1429號）精神，加快信息安全等級保護測評體系建設，提高測評機構能力，規(guī)范測評活動，確保信息安全等級保護安全建設整改工作順利進行，滿足信息安全等級保護工作的迫切需要，我局決定在全國部署開展信息安全等級保護測評體系建設和等級測評工作。現(xiàn)將有關事項通知如下：一、工作目標（一）通過廣泛宣傳和正確引導，鼓勵更多的有關企事業(yè)單位從事信息安全等級保護測評工作，滿足信息安全等級保護測評工作的迫切需要。（二）通過對測評機構進行統(tǒng)一的能力評估和嚴格審核，保證測評機構的水平和能力達到有關標準規(guī)范要求。（三）加強對測評機構的安全監(jiān)督，規(guī)范其測評活動，保證為備案單位提供客觀、公正和安全的測評服務。（四）督促備案單位開展等級測評工作，為開展等級保護安全建設整改工作奠定基礎，使信息系統(tǒng)安全保護狀況逐步達到等級保護要求。二、工作內容各地要按照《關于開展信息安全等級保護安全建設整改工作的指導意見》要求，結合本地實際組織開展以下工作：（一）統(tǒng)籌規(guī)劃，正確引導，積極穩(wěn)妥地推動等級測評機構建設。結合本地已定級備案信息系統(tǒng)數(shù)量和分布情況，從滿足等級測評工作的實際需要出發(fā)，統(tǒng)籌規(guī)劃、合理布局測評機構的規(guī)模和數(shù)量，積極引導本地符合規(guī)定條件、有良好信譽的企事業(yè)單位從事等級測評工作，按照成熟一個發(fā)展一個的原則，有計劃、積極穩(wěn)妥地推動測評機構建設。（二）規(guī)范流程，嚴格把關，確保測評機構的水平和能力符合測評工作要求。依據《信息安全等級保護測評工作管理規(guī)范（試行）》（見附件一），對申請成為測評機構的單位嚴格把關，按照申請受理、測評能力評估、審核、推薦的流程，認真開展測評機構評審和推薦工作。同時，要加強對等級測評機構的監(jiān)督管理和指導，確保測評機構的水平和能力符合要求以及測評活動客觀、公正和安全。（三）督促備案單位開展信息系統(tǒng)等級測評工作，確保安全建設整改工作的順利開展。督促信息系統(tǒng)備案單位盡快委托測評機構開展等級測評，2010年底前完成測評體系建設，并完成30%第三級（含）以上信息系統(tǒng)的測評工作，2011年底前完成第三級（含）以上信息系統(tǒng)的測評工作，2012年底之前完成第三級（含）以上信息系統(tǒng)的安全建設整改工作。三、工作要求（一）高度重視，落實責任。要充分認識開展等級測評體系建設和等級測評工作的重要性，加強組織領導，落實責任。確定主管領導，落實專門管理人員，負責受理申請、審核、監(jiān)督管理以及其他日常對測評機構、測評人員的管理工作。（二）制定計劃，加強監(jiān)督。要盡快確定本地等級測評體系建設和測評工作的計劃，制定貫徹實施意見和方案。要督促、檢查本地測評機構依據有關標準開展等級測評活動，按照《信息系統(tǒng)安全等級測評報告模版（試行）》（公信安[2009]1487號）編制測評報告。（三）加強指導，積極宣傳。要加強對本地備案單位和測評機構等級測評工作的指導，指導測評機構對測評人員開展教育培訓，不斷提高測評人員的安全意識和業(yè)務能力。要充分利用會議、網站和其他媒體，加大對等級測評工作有關政策和相關標準的宣傳力度，推動等級測評工作的順利開展。各地開展等級保護測評體系建設和測評工作的情況要及時上報。工作中有何問題，請及時報我局。附：1、《信息安全等級保護測評工作管理規(guī)范（試行）》2、信息安全等級保護測評體系建設常見問題解答3、等級測評機構管理流程圖二

附件一：信息安全等級保護測評工作管理規(guī)范（試行）第一條為加強信息安全等級保護測評機構建設和管理，規(guī)范等級測評活動，保障信息安全等級保護測評工作（以下簡稱“等級測評工作”）的順利開展，根據《信息安全等級保護管理辦法》等有關規(guī)定，制訂本規(guī)范。第二條本規(guī)范適用于等級測評機構和人員及其測評活動的管理。第三條等級測評工作，是指測評機構依據國家信息安全等級保護制度規(guī)定，按照有關管理規(guī)范和技術標準，對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。等級測評機構，是指具備本規(guī)范的基本條件，經能力評估和審核，由省級以上信息安全等級保護工作協(xié)調（領導）小組辦公室（以下簡稱為“等保辦”）推薦，從事等級測評工作的機構。第四條省級以上等保辦負責等級測評機構的審核和推薦工作。公安部信息安全等級保護評估中心（以下簡稱“評估中心”）負責測評機構的能力評估和培訓工作。第五條等級測評機構應當具備以下基本條件：（一）在中華人民共和國境內注冊成立（港澳臺地區(qū)除外）；（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；（三）產權關系明晰，注冊資金100萬元以上；（四）從事信息系統(tǒng)檢測評估相關工作兩年以上，無違法記錄；（五）工作人員僅限于中華人民共和國境內的中國公民，且無犯罪記錄；（六）具有滿足等級測評工作的專業(yè)技術人員和管理人員，測評技術人員不少于10人；（七）具備必要的辦公環(huán)境、設備、設施，使用的技術裝備、設施應當符合《信息安全等級保護管理辦法》對信息安全產品的要求；（八）具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度；（九）對國家安全、社會秩序、公共利益不構成威脅;（十）應當具備的其他條件。第六條測評機構及其測評人員應當嚴格執(zhí)行有關管理規(guī)范和技術標準，開展客觀、公正、安全的測評服務。測評機構可以從事等級測評活動以及信息系統(tǒng)安全等級保護定級、安全建設整改、信息安全等級保護宣傳教育等工作的技術支持。不得從事下列活動：（一）影響被測評信息系統(tǒng)正常運行，危害被測評信息系統(tǒng)安全；（二）泄露知悉的被測評單位及被測評信息系統(tǒng)的國家秘密和工作秘密；（三）故意隱瞞測評過程中發(fā)現(xiàn)的安全問題，或者在測評過程中弄虛作假，未如實出具等級測評報告；（四）未按規(guī)定格式出具等級測評報告；（五）非授權占有、使用等級測評相關資料及數(shù)據文件；（六）分包或轉包等級測評項目；（七）信息安全產品開發(fā)、銷售和信息系統(tǒng)安全集成；（八）限定被測評單位購買、使用其指定的信息安全產品；（九）其他危害國家安全、社會秩序、公共利益以及被測單位利益的活動。第七條申請成為等級測評機構的單位（以下簡稱“申請單位”）應當向省級以上等保辦申請。國家信息安全等級保護工作協(xié)調小組辦公室負責受理隸屬國家信息安全職能部門和重點行業(yè)主管部門申請單位提出的申請。省級等保辦負責受理本?。▍^(qū)、直轄市）申請單位提出的申請。申請單位申請時，等保辦應當告知測評機構的條件、從事的業(yè)務范圍以及禁止行為等內容，使申請單位清楚了解測評機構的責任和義務。第八條知悉有關規(guī)定并愿意成為測評機構的申請單位，可以向省級以上等保辦提出書面申請，如實填寫《信息安全等級保護測評機構申請表》。申請單位的人員應當如實填寫人員基本情況表，并承諾對信息的真實性和有效性負責。省級以上等保辦對申請單位進行初審，初審通過的，應當告知申請單位到評估中心進行測評能力評估。第九條評估中心按照有關標準規(guī)范，在30個工作日內完成對申請單位的材料審查和現(xiàn)場核查工作。測評人員參加由評估中心舉辦的專門培訓、考試并取得評估中心頒發(fā)的《等級測評師證書》（等級測評師分為初級、中級和高級）。等級測評人員需持等級測評師證上崗。評估中心綜合評估申請單位的測評能力，測評能力評估合格的，出具評估報告。第十條省級以上等保辦組織專家對測評能力評估合格的申請單位及其測評人員進行審核。第十一條通過審核的，由省級以上等保辦向申請單位頒發(fā)信息安全等級保護測評機構推薦證書，并向社會公布測評機構推薦目錄。省級等保辦將測評機構推薦目錄報國家信息安全等級保護工作協(xié)調小組辦公室，國家信息安全等級保護工作協(xié)調小組辦公室匯總公布《全國信息安全等級保護測評機構推薦目錄》。第十二條測評機構應按照公安部統(tǒng)一制訂的《信息系統(tǒng)安全等級測評報告模版（試行）》格式出具測評報告，根據信息系統(tǒng)規(guī)模和所投入的成本，合理收取測評服務費用。第十三條省級以上等保辦每年對所推薦的測評機構進行檢查。檢查時，測評機構應提交《信息安全等級保護測評機構檢查表》。第十四條測評機構名稱、法人等事項發(fā)生變化的，或者其等級測評師變動的，測評機構應在30日內到受理申請的省級以上等保辦辦理變更手續(xù)。第十五條測評機構應當嚴格遵循申訴、投訴及爭議處理制度，妥善處理爭議事件，及時采取糾正和改進措施。第十六條測評機構或者其測評人員違反本規(guī)范第六條規(guī)定之一或年度檢查未通過的，由省級以上等保辦責令其限期改正；逾期不改正的，給予警告，直至取消測評機構的推薦證書或等級測評師證書，并向社會公告；造成嚴重損害的，由相關部門依照有關法律、法規(guī)予以處理。第十七條測評機構或者測評人員違反本規(guī)范的規(guī)定，給被測評單位造成損失的，應當依法承擔法律責任。第十八條本規(guī)范由國家信息安全等級保護工作協(xié)調小組辦公室負責解釋。第十九條本規(guī)范中省級以上含省級。第二十條本規(guī)范自發(fā)布之日起施行。附件：1、《信息安全等級保護測評機構申請表》2、信息安全等級保護測評機構推薦證書樣式3、《信息安全等級保護測評機構檢查表》附件1：編號：（X）XXX年月日信息安全等級保護測評機構申請表單位名稱：單位地址：申請日期：國家信息安全等級保護工作協(xié)調小組辦公室制填表說明：（封皮背面）1、申請表編號“（X）XXX年月日”由受理申請單位填寫，其中（X）是各地行政區(qū)劃簡稱，XXX是申請表編號。2、申請表各項內容應如實填寫，文字表述明確。3、申請表簽字蓋章方為有效。應由申請單位法定代表人簽字；委托代表人簽字的，應出具有效的委托書。4、申請表中“單位類型”應按照單位營業(yè)執(zhí)照填寫。5、如所填內容超出表格時，可添加附頁。6、申請單位人員基本情況表每人填寫一份。7、申請表一式二份。申請單位基本情況表單位名稱單位地址法定代表人手機辦公電話單位負責人手機辦公電話單位聯(lián)系人手機辦公電話電子郵箱注冊資本單位類型員工總數(shù)管理人員數(shù)技術人員數(shù)測評機構應當具備的基本條件（請在符合的條件序號前□內打“√”）□1、在中國境內注冊成立（港澳臺地區(qū)除外）；□2、□3、產權關系明晰，注冊資金100萬元以上；□4、從事信息系統(tǒng)檢測評估相關工作兩年以上；□5、工作人員僅限于中華人民共和國境內的中國公民，且無犯罪記錄；□6、具有滿足等級測評工作的專業(yè)技術人員和管理人員，測評技術人員不少于10人；□7、具備必要的辦公環(huán)境、設備、設施，使用的技術裝備、設施應當符合《信息安全等級保護管理辦法》對信息安全產品的要求；□8、具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度；□9、對國家安全、社會秩序、公共利益不構成威脅。業(yè)務范圍及主營業(yè)務（按營業(yè)執(zhí)照填寫）從事信息系統(tǒng)檢測評估相關工作情況（近年來從事信息系統(tǒng)檢測評估相關工作的業(yè)績，需要列舉已完成項目的范例）設備設施配備情況（等級測評所需的測試實驗環(huán)境、測評工作平臺、專門工具、測試與評估設備及其它服務保障設施情況；設備類別清單）安全保密管理等制度情況（為加強內部規(guī)范管理，適應等級測評業(yè)務安全保密要求而采取的人員管理、安全保密管理、設備使用管理、測評質量控制管理等方面的措施和制度建設情況）測評技術力量情況（技術人才數(shù)量、層次、培訓、承擔重大課題、項目情況）申請表附件（請在提供的材料序號前□內打“√”）□1、營業(yè)執(zhí)照復印件□2、法定代表人及股東身份證復印件□3、申請單位人員基本情況表（每人填寫一份）□4、股權（資本）結構說明□5、申請單位組織結構表□6、相關資質能力證書復印件申請單位聲明我單位知悉信息安全等級保護測評機構的責任義務，現(xiàn)申請成為信息安全等級保護測評機構，自愿服從并接受相關安全保密、測評規(guī)范管理，并保證所提交的有關材料均真實有效。如有虛假，本單位愿承擔一切后果及相關法律責任。其他特別聲明事項：法定代表人：（簽字）申請單位:（蓋章）年月日申請單位人員基本情況表姓名性別免冠照片出生年月國籍政治面貌出生地最高學歷身份證號護照號碼綠卡號碼戶籍地址郵編居住地址郵編職務職稱電子郵箱電話犯罪記錄業(yè)務能力和專長直系親屬涉外關系教育背景（從大專填寫）時間院校名稱專業(yè)方向見證人培訓經歷時間培訓機構名稱培訓項目證書名稱工作經歷時間單位名稱職務\職稱見證人所提供附件（請在提供的材料序號前□內打“√”）□1、身份證復印件□2、最高學歷證書復印件□3、相關認證、技能證書復印件個人鄭重聲明鄭重聲明本人清楚國家對等級測評從業(yè)人員的安全審查和等級測評技術能力等方面的要求，愿意服從并遵守有關安全保密等管理規(guī)范，并承諾按照相關標準規(guī)范要求和規(guī)定認真履行工作職責。本人自愿接受關于本人的審核，所提供的全部資料均真實有效，如有虛假，本人將承擔由此造成的一切后果及相關法律責任。個人簽名：單位蓋章：年月日安全保證承諾書等級測評工作是等級保護工作的重要組成部分，直接關系信息系統(tǒng)安全，作為從事信息安全等級測評工作的機構，本單位及其人員知悉測評機構的責任義務和工作規(guī)范，愿意服從并接受各項安全保密管理，并承諾按照有關標準規(guī)范開展等級測評工作，保證測評工作的客觀、公正、安全，如有虛假或有違反測評管理規(guī)范的行為，本單位將承擔由此造成的一切后果及相關的法律責任。法定代表人簽字：單位蓋章:年月日

以下內容由省級以上等保辦填寫能力評估情況（能力評估報告摘錄，評估情況及結論）等級測評師培訓獲證情況專家審核意見專家組長：（簽字）年月日推薦意見承辦人：（簽字）年月日負責人：（簽字/蓋章）年月日附件2：測評機構推薦證書樣式證書編號：（省簡稱）－001信息安全等級保護測評機構推薦證書XXX測評機構：經審核，你單位符合信息安全等級保護測評機構有關規(guī)范要求，具備從事信息安全等級保護測評工作能力，現(xiàn)予以推薦。特發(fā)此證。發(fā)證日期：2010年03信息安全等級保護專用章測評機構推薦證書（副本）樣式證書編號：（省簡稱）－001信息安全等級保護測評機構推薦證書（副本）機構名稱:地址:法定代表人:發(fā)證日期:有效期至：檢查情況：第一次檢查時間（年月日）第二次檢查時間（年月日）第三次檢查時間（年月日）檢查情況：負責人：（簽字/蓋章）年月日檢查情況：負責人：（簽字/蓋章）年月日檢查情況：負責人：（簽字/蓋章）年月日

附件3：編號：（X）XXX年月日信息安全等級保護測評機構檢查表測評機構名稱：（蓋章）測評機構地址：檢查日期：國家信息安全等級保護工作協(xié)調小組辦公室制填表說明：（封皮背面）1、檢查表編號“（X）XXX年月日”由檢查單位填寫，其中（X）是各地行政區(qū)劃簡稱，XXX是檢查表編號。2、檢查表各項內容應如實填寫，文字表述明確，不得弄虛作假。3、檢查表蓋章方為有效。4、檢查表中“單位類型”應按照單位營業(yè)執(zhí)照填寫。5、如所填內容超出表格時可另添加附頁。6、測評結論按照合格、基本合格、不合格填寫。7、負責人為省級以上等保辦領導。8、檢查表一式二份。測評機構名稱測評機構地址法定代表人辦公電話手機單位聯(lián)系人辦公電話手機測評系統(tǒng)總數(shù)四級三級二級測評項目總值（萬元）測評工作開展情況測評人員教育培訓情況質量控制保障措施人員變更情況

信息系統(tǒng)等級測評項目匯總表序號信息系統(tǒng)名稱等級所屬單位結論承辦人檢查意見（是否有違反管理規(guī)范行為，概述年度檢查情況）承辦人：（簽字）年月日負責人意見負責人：（簽字）年月日附件二：信息安全等級保護測評體系建設常見問題解答問：什么是信息安全等級保護測評工作？答：信息安全等級保護測評工作是等級測評機構依據國家信息安全等級保護制度規(guī)定，按照有關管理規(guī)范和技術標準，對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。問：為什么要開展等級測評體系建設工作？答：等級測評體系建設主要內容包括測評機構的建設和規(guī)范管理，測評人員和測評活動的規(guī)范管理等。信息安全等級保護測評工作是信息安全等級保護工作的重要環(huán)節(jié)，是專門機構針對信息系統(tǒng)開展的一種專業(yè)性、服務性的檢測活動。等級測評工作涉及的信息系統(tǒng)范圍廣、敏感性強，參與的測評機構及測評人員復雜，如果缺乏對測評機構和測評人員的管理，則難以保證等級測評的客觀、公正和安全，甚至會給重要信息系統(tǒng)安全造成新的風險和隱患，危害國家安全和社會穩(wěn)定。為加強對測評機構及測評人員管理，穩(wěn)步推進等級測評機構建設，規(guī)范等級測評活動，提高測評機構、人員的技術能力和水平，在國家信息安全等級保護協(xié)調小組的領導下，全國組織開展信息安全等級保護等級測評體系建設工作，以保障等級保護工作的順利開展。問：對測評機構的管理方法是什么？答：申請成為測評機構的單位可以向省級以上信息安全等級保護協(xié)調（領導）小組辦公室提出申請，經過專門機構的能力評估和專門培訓，對符合條件的申請單位，省級以上信息安全等級保護協(xié)調（領導）小組辦公室推薦其成為等級測評機構，從事等級測評工作。省級信息安全等級保護協(xié)調（領導）小組辦公室公布本地測評機構推薦目錄，國家信息安全等級保護協(xié)調小組辦公室公布《全國信息安全等級保護測評機構推薦目錄》。問：對測評人員的管理方法是什么？答：測評人員實行等級測評師管理。等級測評師分為初級、中級和高級。測評人員參加專門培訓機構舉辦的專門培訓和考試?？荚嚭细竦?，由專門培訓機構向測評人員頒發(fā)相應等級的《等級測評師證書》。等級測評人員持等級測評師證上崗。問：測評機構基本條件是什么？答：申請成為等級測評機構的申請單位應該具備如下基本條件：（一）在中華人民共和國境內注冊成立（港澳臺地區(qū)除外）；（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；（三）產權關系明晰，注冊資金100萬元以上；（四）從事信息系統(tǒng)檢測評估相關工作