信息安全等级保护测评工作管理规范

信息安全等级保护测评工作管理规范篇一：信息安全等级保护测评工作管理规范(试行)附件一： 信息安全等级保护测评工作管理规范 （试行） 第一条 为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作（以下简称“等级测评工作” ）的顺利开展，根据信息安全等级保护管理办法等有关规定，制订本规范。 第二条 本规范适用于等级测评机构和人员及其测评活动的管理。 第三条 等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室（以下简称为“等保办” ）推荐，从事等级测评工作的机构。 第四条 省级以上等保办负责等级测评机构的审核和推荐工作。 公安部信息安全等级保护评估中心（以下简称“评估中心” ）负责测评机构的能力评估和培训工作。 第五条 等级测评机构应当具备以下基本条件：（一）在中华人民共和国境内注册成立（港澳台地区除外） ； （二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外） ； （三）产权关系明晰，注册资金 100 万元以上； （四）从事信息系统检测评估相关工作两年以上，无违法记录； （五）工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； （六）具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于 10 人； （七）具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合信息安全等级保护管理办法对信息安全产品的要求； （八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； （九）对国家安全、社会秩序、公共利益不构成威胁; （十）应当具备的其他条件。 第六条 测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。 测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等 工作的技术支持。不得从事下列活动：（一）影响被测评信息系统正常运行，危害被测评信息系统安全； （二）泄露知悉的被测评单位及被测信息系统的国家秘密和工作秘密； （三）故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假，未如实出具等级测评报告； （四）未按规定格式出具等级测评报告； （五）非授权占有、使用等级测评相关资料及数据文件； （六）分包或转包等级测评项目； （七）信息安全产品开发、销售和信息系统安全集成；（八）限定被测评单位购买、使用其指定的信息安全产品； （九）其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。 第七条 申请成为等级测评机构的单位（以下简称“申请单位” ）应当向省级以上等保办申请。 国家信息安全等级保护工作协调小组办公室负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请。省级等保办负责受理本省（区、直辖市）申请单位提出的申请。 申请单位申请时，等保办应当告知测评机构的条件、从事的业务范围以及禁止行为等内容，使申请单位清楚了解测 评机构的权利和义务。第八条 知悉有关规定并愿意成为测评机构的申请单位，可以向省级以上等保办提出书面申请，如实填写信息安全等级保护测评机构申请表 （见附件 1） 。 申请单位的人员应当如实填写人员基本情况表，并承诺对信息的真实性和有效性负责。 省级以上等保办对申请单位进行初审，初审通过的，应当告知申请单位到评估中心进行测评能力评估。 第九条 评估中心按照有关标准规范，在 30 个工作日内完成对申请单位的材料审查和现场核查工作。 测评人员参加由评估中心举办的专门培训、考试并取得评估中心颁发的等级测评师证书 （等级测评师分为初级、中级和高级） 。等级测评人员需持等级测评师证上岗。 评估中心综合评估申请单位的测评能力，对测评能力评估合格的，出具评估报告。 第十条 省级以上等保办组织专家对通过测评能力评估的申请单位及其测评人员进行审核。 第十一条 通过审核的，由省级以上等保办向申请单位颁发信息安全等级保护测评机构推荐证书（见附件 2） ，并向社会公布测评机构推荐目录。 省级等保办将测评机构推荐目录报国家信息安全等级保护工作协调小组办公室，国家信息安全等级保护工作协调小组办公室汇总公布全国信息安全等级保护测评机构推荐 目录 。第十二条 测评机构应当按照公安部统一制订的信息系统安全等级测评报告模版格式出具测评报告，根据信息系统规模和所投入的成本，合理收取测评服务费用。 第十三条 省级以上等保办每年对所推荐的测评机构进行检查，测评机构应提交信息安全等级保护测评机构检查表 （见附件 3） 。 第十四条 测评机构名称、法人等事项发生变化的，或者其等级测评师变动的，测评机构应在三十日内向受理申请的省级以上等保办办理变更手续。 第十五条 测评机构应当严格遵循申诉、投诉及争议处理制度，妥善处理争议事件，及时采取纠正和改进措施。第十六条 测评机构或者其测评人员违反本规范第六条规定之一或年审未通过的，由省级以上等保办责令其限期改正；逾期不改正的，给予警告，直至取消测评机构的推荐证书或等级测评师证书，并向社会公告；造成严重损害的，由相关部门依照有关法律、法规予以处理。 第十七条 测评机构或者测评人员违反本规范的规定，给被测评单位造成损失的，应当依法承担民事责任。 第十八条 本规范由国家信息安全等级保护工作协调小组办公室负责解释。 第十九条 本规范中省级以上含省级。 第二十条 本规范自发布之日起施行。 篇二：信息安全等级保护测评工作管理规范信息安全等级保护测评工作管理规范 （试行） 第一条 为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作（以下简称“等级测评工作” ）的顺利开展，根据信息安全等级保护管理办法等有关规定，制订本规范。 第二条 本规范适用于等级测评机构和人员及其测评活动的管理。 第三条 等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室（以下简称为“等保办” ）推荐，从事等级测评工作的机构。 第四条 省级以上等保办负责等级测评机构的审核和推荐工作。 公安部信息安全等级保护评估中心（以下简称“评估中心” ）负责测评机构的能力评估和培训工作。 第五条 等级测评机构应当具备以下基本条件： （一）在中华人民共和国境内注册成立（港澳台地区除外） ； （二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外） ； （三）产权关系明晰，注册资金 100 万元以上； （四）从事信息系统检测评估相关工作两年以上，无违法记录； （五）工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； （六）具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于 10 人； （七）具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合信息安全等级保护管理办法对信息安全产品的要求； （八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； （九）对国家安全、社会秩序、公共利益不构成威胁; （十）应当具备的其他条件。 第六条 测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。不得从事下列活动： （一）影响被测评信息系统正常运行，危害被测评信息系统安全； （二）泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密； （三）故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假，未如实出具等级测评报告； （四）未按规定格式出具等级测评报告； （五）非授权占有、使用等级测评相关资料及数据文件； （六）分包或转包等级测评项目； （七）信息安全产品开发、销售和信息系统安全集成；（八）限定被测评单位购买、使用其指定的信息安全产品； （九）其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。 第七条 申请成为等级测评机构的单位（以下简称“申请单位” ）应当向省级以上等保办申请。 国家信息安全等级保护工作协调小组办公室负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请。省级等保办负责受理本省（区、直辖市）申请单位提出的申请。 申请单位申请时，等保办应当告知测评机构的条件、从事的业务范围以及禁止行为等内容，使申请单位清楚了解测评机构的责任和义务。 第八条 知悉有关规定并愿意成为测评机构的申请单位，可以向省级以上等保办提出书面申请，如实填写信息安全等级保护测评机构申请表 。 申请单位的人员应当如实填写人员基本情况表，并承诺对信息的真实性和有效性负责。 省级以上等保办对申请单位进行初审，初审通过的，应当告知申请单位到评估中心进行测评能力评估。 第九条 评估中心按照有关标准规范，在 30 个工作日内完成对申请单位的材料审查和现场核查工作。 测评人员参加由评估中心举办的专门培训、考试并取得评估中心颁发的等级测评师证书 （等级测评师分为初级、中级和高级） 。等级测评人员需持等级测评师证上岗。 评估中心综合评估申请单位的测评能力，测评能力评估合格的，出具评估报告。 第十条 省级以上等保办组织专家对测评能力评估合格的申请单位及其测评人员进行审核。第十一条 通过审核的，由省级以上等保办向申请单位颁发信息安全等级保护测评机构推荐证书，并向社会公布测评机构推荐目录。 省级等保办将测评机构推荐目录报国家信息安全等级保护工作协调小组办公室，国家信息安全等级保护工作协调小组办公室汇总公布全国信息安全等级保护测评机构推荐目录 。 第十二条 测评机构应按照公安部统一制订的信息系统安全等级测评报告模版（试行） 格式出具测评报告，根据信息系统规模和所投入的成本，合理收取测评服务费用。 第十三条 省级以上等保办每年对所推荐的测评机构进行检查。检查时，测评机构应提交信息安全等级保护测评机构检查表 。 第十四条 测评机构名称、法人等事项发生变化的，或者其等级测评师变动的，测评机构应在 30 日内到受理申请的省级以上等保办办理变更手续。 第十五条 测评机构应当严格遵循申诉、投诉及争议处理制度，妥善处理争议事件，及时采取纠正和改进措施。第十六条 测评机构或者其测评人员违反本规范第六条规定之一或年度检查未通过的，由省级以上等保办责令其限期改正；逾期不改正的，给予警告，直至取消测评机构的推荐证书或等级测评师证书，并向社会公告；造成严重损害的，由相关部门依照有关法律、法规予以处理。 第十七条 测评机构或者测评人员违反本规范的规定，给被测评单位造成损失的，应当依法承担法律责任。 第十八条 本规范由国家信息安全等级保护工作协调小组办公室负责解释。 第十九条 本规范中省级以上含省级。 第二十条 本规范自发布之日起施行。 篇三：信息安全等级保护测评机构管理办法最新信息安全等级保护测评机构管理办法 第一条 为加强信息安全等级保护测评机构管理，规范等级测评行为，提高测评技术能力和服务水平，根据信息安全等级保护管理办法等有关规定，制定本办法。第二条 等级测评工作，是指等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构，是指依据国家信息安全等级保护制度规定，具备本办法规定的基本条件，经审核推荐，从事等级测评等信息安全服务的机构。 第三条 等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针，按照“谁推荐、谁负责，谁审核、谁负责”的原则有序开展。 第四条 等级测评机构应以提供等级测评服务为主，可根据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。 第五条 国家信息安全等级保护工作协调小组办公室（以下简称“国家等保办” ）负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请，并对其推荐 的等级测评机构进行监督管理。省级信息安全等级保护工作协调（领导）小组办公室（以下简称“省级等保办” ）负责受理本省（区、直辖市）申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。 第六条 申请成为等级测评机构的单位（以下简称“申请单位” ）应具备以下基本条件： （一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位； （二）产权关系明晰，注册资金 100 万元以上； （三）从事信息系统安全相关工作两年以上，无违法记录； （四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； （五）具有信息系统安全相关工作经验的技术人员，不少于 10 人； （六）具备必要的办公环境、设备、设施，使用的技术装备、设施应满足测评工作需求； （七）具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度； （八）自觉接受等保办的监督、检查和指导，对国家安全、社会秩序、公共利益不构成威胁； （九）不涉及信息安全产品开发、销售或信息系统安全 集成等业务；（十）应具备的其他条件。 第七条 申请时，申请单位应向等保办提交以下材料：（一） 信息安全等级保护测评机构申请表 ； （二）从事信息系统安全相关工作情况； （三）检测评估工作所需软硬件及其他服务保障设施配备情况； （四）有关管理制度建设情况； （五）申请单位及其测评人员基本情况； （六）应提交的其他材料。 等保办收到申请材料后，应在 10 个工作日内组织初审，并出具初审结果告知书。 第八条 通过初审的申请单位，应及时参加指定评估机构组织的测评人员培训。考试合格的人员，取得等级测评师证书。 等级测评师分为初级、中级和高级。申请单位应至少有 10 人获得等级测评师证书，其中高级和中级测评师均不得少于 1 人。 第九条 指定评估机构应根据标准规范对申请单位开展能力评估，出具信息安全等级保护测评机构能力评估报告，并及时将申请单位能力评估有关情况报送等保办。 第十条 等保办组织专家对通过能力评估的申请单位进 行审核。审核通过的，颁发信息安全等级保护测评机构推荐证书 。省级等保办应及时将本地等级测评机构推荐情况报国家等保办，国家等保办定期发布公告，在中国信息安全等级保护网发布全国信息安全等级保护测评机构推荐目录 。 第十一条 下列事项发生变更时，等级测评机构应在变更后 5 个工作日内向等保办报告。 （一）等级测评机构名称、地址、测评人员和主要负责人发生变更的； （二）等级测评机构法人、股权结构发生变更的； （三）其他重大事项发生变