《《信息安全等级保护测评机构管理办法》.docx》由会员分享,可在线阅读,更多相关《《信息安全等级保护测评机构管理办法》.docx(9页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、信息安全等级保护测评机构治理方法第一条 为加强信息安全等级保护测评机构治理,标准等级测评行为,提高测评技术力量和效劳水平,依据信息 安全等级保护治理方法等有关规定,制定本方法.其次条 等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,依据有关治理标准和技术标准,对 非涉及国家隐秘信息系统安全等级保护状况进展检测评估的活动。等级测评机构,是指依据国家信息安全等级保护制度规定,具备本方法规定的根本条件,经审核推举,从事等级测 评等信息安全效劳的机构。第三条 等级测评机构推举治理工作遵循统筹规划、合理布局、安全标准的方针,依据“谁推举、谁负责,谁审核、 谁负责”的原则有序开展。第四条
2、等级测评机构应以供给等级测评效劳为主,可依据信息系统运营使用单位安全保障需求,供给信息安全询问、应急保障、安全运维、安全监理等效劳。第五条 国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办“负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推举的等1级测评机构进展监视治理。省级信息安全等级保护工作协调领导小组办公室以 下简称“省级等保办”负责受理本省区、直辖市)申请单位提出的申请,并对其推举的等级测评机构进展监视治理。第六条 申请成为等级测评机构的单位 (以下简称“申请单位”应具备以下根本条件:一在中华人民共和国境内注册成立,由中国公民、 法人投资或者国家
3、投资的企事业单位;二产权关系明晰,注册资金 100 万元以上;三从事信息系统安全相关工作两年以上,无违法记录;(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;五具有信息系统安全相关工作阅历的技术人员,不 少于 10 人;(六具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;七具有完备的安全保密治理、工程治理、质量治理、 人员治理和培训教育等规章制度;八自觉承受等保办的监视、检查和指导,对国家安 全、社会秩序、公共利益不构成威逼;九)不涉及信息安全产品开发、销售或信息系统安全集成等业务;十)应具备的其他条件。第七条 申请时,申请单位应向等保办提交以下材料:一
4、信息安全等级保护测评机构申请表;二)从事信息系统安全相关工作状况;三检测评估工作所需软硬件及其他效劳保障设施配 备状况;四有关治理制度建设状况;五申请单位及其测评人员根本状况;(六)应提交的其他材料。等保办收到申请材料后,应在 10 个工作日内组织初审, 并出具初审结果告知书。第八条 通过初审的申请单位,应准时参与指定评估机构组织的测评人员培训。考试合格的人员,取得等级测评师证 书。等级测评师分为初级、中级和高级。申请单位应至少有 10 人获得等级测评师证书,其中高级和中级测评师均不得少于 1 人。第九条 指定评估机构应依据标准标准对申请单位开展力量评估,出具信息安全等级保护测评机构力量评估报
5、告, 并准时将申请单位力量评估有关状况报送等保办。第十条 等保办组织专家对通过力量评估的申请单位进行审核。审核通过的,颁发信息安全等级保护测评机构推 荐证书。省级等保办应准时将本地等级测评机构推举状况报国家等保办,国家等保办定期公布公告,在中国信息安全等 级保护网公布全国信息安全等级保护测评机构推举名目。第十一条 以下事项发生变更时,等级测评机构应在变更后 5 个工作日内向等保办报告.一)等级测评机构名称、地址、测评人员和主要负责人发生变更的;二等级测评机构法人、股权构造发生变更的;三)其他重大事项发生变更的.省级等保办应准时将等级测评机构变更状况报国家等 保办。第十二条 信息安全等级保护测评
6、机构推举证书有效期为三年。等级测评机构应在推举证书期满前 30 日内,向等保办申请复审.复审通过的等级测评机构应换发证。复审未 通过的,等保办应催促其限期整改。省级等保办应准时将等级测评机构期满复审状况报国 家等保办。第十三条 等级测评师上岗前,等级测评机构应组织岗前培训.培训合格的,由等级测评机构配发上岗证。未取得测评师证书和上岗证的,不得参与等级测评工程.等级测评师离职前,等级测评机构应与其签订离职保密 承诺书,并收回上岗证.第十四条 等级测评师应妥当保管等级测评师证书、上岗证,不得涂改、出借、出租和转让。第十五条 等级测评机构应加强对本机构等级测评师的监视治理,定期组织开展安全和业务培训
7、.第十六条 等级测评机构应严格依据信息安全等级保护标准标准公正、独立地开展等级测评工作,依据模板出具信 息系统安全等级测评报告,确保测评质量,全面、客观地反 映被测信息系统的安全保护状况。第十七条 等级测评机构开展测评工程不受地域、行业限制。等级测评机构应在测评工程合同签订以及工程完成后 5 个工作日内,向受理信息系统备案的公安机关报告等级测评工程有关状况.第十八条 测评工程实施过程中,等级测评机构应承受等保办的监视、检查和指导。测评工程完成后,等级测评机 构应请被测评信息系统运营使用单位对测评效劳状况进展评价,评价状况由被测单位反响等保办.第十九条 等级测评机构应定期向等保办报送测评工作开展
8、状况.依据测评实践,每年底编制并报送信息系统安全状 况分析报告。其次十条 等级测评机构实行等级化治理.依据信息系统测评数量、机构规模、测评技术力量和效劳质量等指标,对 等级测评机构划分为五个星级 ,最低为一星级,最高为五星级。等级测评机构星级评定标准由国家等保办另行制定.其次十一条 等级测评机构应于每年底向等保办提交星级评定所需材料。等保办负责组织所推举等级测评机构的星级评定审核 工作,并出具星级评定意见.省级等保办应准时将评定意见报 国家等保办审定,国家等保办定期公布星级评定结果。其次十二条 取得信息安全等级保护测评机构推举证书未满一年的,不参与星级评定。其次十三条 等保办负责对所推举等级测
9、评机构的日常监视检查、测评工程抽查和年审工作,准时把握等级测评机 构工作状况。其次十四条 等保办应于每年底对所推举的等级测评机构进展年审.等级测评机构自推举之日起未满 6 个月的,当年可免予年审。年审时,等级测评机构应提交以下材料:一)信息安全等级保护测评机构年审表;(二信息安全等级保护测评机构推举证书副本;三)年度测评工作总结;四其他所需材料.其次十五条 国家等保办负责组织开展等级测评机构能力验证和抽查工作。其次十六条 等级测评机构有以下情形之一的,等保办应责令其限期整改;情形严峻的,予以通报。一)未依据有关标准标准开展测评或未按规定出具信息系统安全等级测评报告的;(二)影响被测评信息系统正
10、常运行,危害被测评信息系统安全的;三非授权占有、使用,未妥当保管等级测评相关资料及数据文件的;四分包或转包等级测评工程,以及扰乱测评市场秩序的;五限定被测评单位购置、使用指定信息安全产品的;六测评人员未取得等级测评师证书和上岗证从事等级测评活动的;七未按本方法规定向等保办提交材料、报告状况或 弄虚作假的;(八其他违反等级测评有关规定的行为。其次十七条 等级测评机构有以下情形之一的,等保办应取消其信息安全等级保护测评机构推举证书,并向社会公 告。一因单位股权、人员等状况发生变动,不符合等级测 评机构根本条件的;二)有信息安全产品开发、销售或信息系统安全集成行为的;三有意泄露被测评单位工作隐秘、重
11、要信息系统数 据信息的;(四有意隐瞒测评过程中觉察的安全问题,或者在测评过程中弄虚作假未照实出具等级测评报告的;(五)一年内未开展信息系统测评工作或自愿退出全国信息安全等级保护测评机构推举名目的;六)连续两年年审不合格或限期整改后仍未通过复审的;七违反本方法其次十六条规定,情节特别严峻的.其次十八条 等级测评师有以下行为之一的,等保办应责令等级测评机构催促其限期改正;情节严峻的,责令等级测 评机构暂停其参与测评工作;情形特别严峻的,应注销其等级 测评师证书,并对其所在等级测评机构进展通报.一未经允许擅自使用或泄露、出售等级测评工作中 收集的数据信息、资料或信息系统安全等级测评报告的;二违反本方法第十四条规定,未妥当保管等级测评 师证书、上岗证,有涂改、出借、出租和转让等行为的;三测评行为失误或不当,影响信息系统安全或造成运 营使用单位利益损失的;四其他违反等级测评有关规定的行为。其次十九条 等级测评机构及其等级测评师违反本方法的相关规定,给被测评信息系统运营使用单位造成严峻危害 和损失的,由相关部门依照有关法律、法规予以处理.第三十条 任何单位和个人如觉察等级测评机构、等级测评师有违法、违规行为的,可向国家等保办举报、投诉。第三十一条 本方法由国家等保办负责解释.第三十二条 本方法自公布之日起实施。
限制150内