信息安全等级保护等级测评实施细则doc-信息安全等级测评

1、信息平安等级保护等级测评实施细那么doc-信息安全等级测评第一章总那么第一条【目的】为增强信息平安等级测评机构建设和管理,标准等级测评活动,保证信息平安等级保护制度的贯彻落实,根据?信息平安等级保护治理方法?等有关标准制订本实施细那么.第二条【适用范围】本细那么适用于等级测评机构、测评人员和测评活动的标准治理.第三条【等级测评定义】等级测评是测评机构依据国家信息平安等级保护制度规定,受有关单位委托,根据有关管理标准和技术标准,对信息系统平安等级保护状况进行检测评估的活动.第四条【测评机构定义】测评机构是经有关部门水平认可,经有关部门推荐,在一定范围内从事信息系统平安等级测评等工作的专业技术机构

2、.第五条【根本原那么】测评机构应当根据有关规定和统一标准提供“客观、公正、平安的测评效劳,根据统一的测评报告模版由具测评报告.第六条【保密要求】测评机构和测评人员应当遵守?国家保密法?的规定,保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等.第七条【治理体制】测评机构应当接受各级信息平安等级保护协调领导小组和公安网安部门的监督治理,并接受有关部门的业务治理和技术指导.第二章测评机构第八条【总体要求】测评机构分为地区性、行业性测评机构,根据属地治理和行业治理相结合的原那么进行建设和管理.第九条【责任分工】国家信息平安等级保护协调小组办公室主管等级测评机构的建设和治理工作,指导行业等

3、级测评机构的建设和治理工作,并委托专门的技术水平审验机构对测评机构的技术水平进行评估、审查并确认.各省区、市等级保护协调领导小组办公室负责本地等级测评机构的建设治理工作.第十条【根本条件】申请成为等级测评机构的单位以下简称申请单位应当具备以下根本条件：一在中华人民共和国境内注册成立港澳台地区除外；二由中国公民投资、中国法人投资或者国家投资的企事业单位港澳台地区除外；三产权关系明晰,注册资金100万元以上；四从事信息系统检测评估相关工作两年以上；五单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录；六具有胜任等级测评工作的专业技术人员和治理人员,大学本科含以上学历所占比例不低

4、于80%o其中测评技术人员不少于10人；七具备必要的办公环境、设备、设施及完备的平安治理制度；八对国家平安、社会秩序、公共利益不构成威胁九应当具备的其他条件.第十一条【申请提交】地方申请单位应向属地省区、市等级保护协调领导小组办公室提交申请,行业申请单位向国家信息平安等级保护工作协调小组办公室提交中请,并填写申请书,申请成为等级测评机构.第十二条【申请材料】申请单位在申请时应提供以下材料,并对申请材料的真实性负责.一?信息平安等级保护测评机构申请书?；二当地公安网安部门的推荐意见；三营业执照及其他注册证实文件；四?内设组织机构与岗位设置情况表?；五?工作人员根本情况表?、证实材料和声明；六?办

5、公场地、设备与设施情况表?；七?平安测评设备、工具配备情况表?；八信息系统平安测评水平报告；九保密治理、工程治理、质量治理、人员治理和培训教育等相关治理文件；十需要提供的其他材料.第十三条【初审】省级含以上等级保护协调领导小组办公室收到申请材料后,应在30日内完成初审.第十四条【技术水平审验】初审通过的,由技术水平审验机构评估、审查并确认申请单位的技术水平.技术水平审验周期最长为一个月.审验期满前,技术能力审验机构应向等级保护协调领导小组办公室由具审验意见,并加盖专门印章.第十五条【核准】省级含以上等级保护协调领导小组办公室对通过技术水平审验的申请单位进行复核,并由具核准意见.第十六条【目录公

6、布】测评机构实行目录治理.各省级信息平安等级保护协调领导小组办公室公布本地等级测评机构目录,并向国家信息平安等级保护工作协调小组办公室备案.国家信息平安等级保护工作协调小组办公室公布?全国信息平安等级测评机构目录?.第十七条【业务范围】测评机构应当在规定的业务范围内开展测评业务.一地方测评机构在本地开展测评业务,行业测评机构在行业内开展测评业务.行业测评机构在地方开展测评业务前,应与本地等级保护协调领导小组办公室协调；二承当有关部门委托的平安测评专项任务；三配合当地公安网安部门对信息系统进行监督、检查；四开展风险评估、信息平安培训、咨询效劳和信息平安工程监理；五为当地信息平安等级保护工作提供技

7、术支持和效劳；六其他有关文件规定的责任任务.第十八条【禁止行为】测评机构不得从事以下活动：一承当信息系统平安建设整改工作；二将等级测评任务分包、外包；三信息平安产品开发、营销和信息系统集成活动；四限定被测评单位购置、使用其指定的信息平安产品；五未经许可占有、使用有关测评信息、资料及数据文件；六其他可能影响测评客观、公正的活动.第十九条【风险告知】在开展测评过程中,对可能影响信息系统正常运行的,测评机构应当事先告知被测评单位,并协助其采取相应的预防举措.第二十条【人员治理】测评机构应当建立完备的人员档案,严格履行人员录用、考核、离岗等程序,对进入重要信息系统进行测评的人员,应该进行背景审查,保证

8、人员可靠.第二十一条【制度治理】测评机构应当建立并落实保密治理、工程治理、质量治理、人员治理、培训教育等治理制度.第二十二条【水平建设】测评机构要增强技术水平和管理水平建设,应在测评机构推荐目录公布后两年内至少通过一项实验室或检查机构资质认定.第三章人员治理第二十三条【人员要求】测评人员应遵守国家有关法律法规、技术标准和测评人员行为准那么,认真履行本细那么规定的责任和义务,为用户提供平安、客观、公正的测评效劳,保证测评的质量和效果.第二十四条【个人声明】测评人员应当提供本人社会背景、工作经历和奖惩情况的证实材料,声明相关材料的真实性并承当法律责任.第二十五条【持证上岗】测评人员上岗前应接受培训

9、,培训合格的由测评机构颁发上岗证.测评人员持证上岗.第二十六条【分级治理】测评机构技术人员实行分级管理,由低到高分为初级等级测评师、中级等级测评师和高级等级测评师.测评技术人员应当接受专门业务培训,测试合格的获得等级测评师证书.第二十七条【培训与测试】国家信息平安等级保护协调小组办公室制定并公布培训方案,指定专门培训机构具体承担等级测评师的培训、测试工作.专门培训机构向测试合格的人员颁发等级测评师证书.第二十八条【证书治理】专门培训机构依据等级测评师证书治理方法办理证书的审核、颁发、建档、公布、查询、年审、换发和撤销,并向省级以上等级保护工作协调小组办公室备案.第二十九条【备案】行业测评机构每

10、年应将本单位等级测评师培训、获证情况向国家信息平安等级保护工作协调小组办公室备案.地方测评机构每年应将本单位等级测评师培训、获证情况向本省区市等级保护协调领导小组办公室备案.各地等级保护协调领导小组办公室每年应将本地等级测评师培训、获证情况向国家等级保护协调小组办公室备案.第三十条【年审治理】等级测评师实行年审制度.专门培训机构对等级测评师每年进行一次年审,并将年审结果报等级保护协调领导小组办公室.对未通过年审的等级测评师,测评机构应暂停其开展测评工作.专门培训机构应对年审不通过的等级测评师开展培训I.第三十一条【变更告知】等级测评机构的主要治理人员和技术人员工作变动的,应及时到等级保护协调领

11、导小组办公室变更备案.第三十二条【人员法律责任】测评人员在测评工作中具有徇私舞弊、收受贿赂等违反有关法律法规行为的,应由专门培训机构撤销违规人员等级测评师证书,并根据有关规定进行处分.第四章测评活动第三十三条【用户要求】信息系统运营使用单位应中选择?等级测评机构推荐目录?中的等级测评机构,定期对信息系统开展等级测评,并增强对测评过程的监督治理.第三十四条【整改前测评】信息系统平安建设整改前,信息系统运营使用单位可以选择测评机构进行等级测评,掌握信息系统平安状况,排查系统平安隐患和薄弱环节,明确平安建设整改需求.第三十五条【整改后测评】信息系统平安建设整改后,信息系统运营使用单位应当再选择测评机

12、构进行等级测评,检测系统平安保护状况与标准要求的符合性,进一步查找安全隐患和问题,并进行风险分析,为进一步整改提供依据.第三十六条【定期测评】第三级以上含信息系统应当每年至少进行一次等级测评,测评完成后,信息系统运营使用单位应及时向受理备案的公安机关提交测评报告.第三十七条【测评机构标准】测评机构应建立标准的质量治理体系,依据?信息系统平安等级保护测评要求?等标准标准对信息系统进行测评,根据公安部制订的信息系统安全等级测评报告格式编制测评报告.第三十八条【测评费用】测评机构应当参照国家信息化工程建设工程人工计费标准合理收取测评效劳费用.为预防恶意竞争,影响测评质量,测评机构开展测评业务收费应当

13、不低于最低收费限额.第三十九条【平安责任】测评机构应当针对等级测评工作制定保密治理标准,明保证密岗位与责任,定期对工作人员进行保密教育,与其签订?保密责任书?,规定应当履行的平安保密义务和承当的法律责任,并负责检查落实.第五章监督治理第四十条【监管主体】各级等级保护协调领导小组办公室对等级测评机构、测评人员、测评活动等进行监督、检查,处理对测评机构的投诉.第四十一条【年审】各级等级保护工作协调领导小组办公室对备案的测评机构及测评人员实施年审治理,每年对测评机构的水平和工作进行审核、审查,并公布审核、审查结果.第四十二条【机构违规】测评机构违反规定,情节稍微的,由等级保护协调领导机构办公室责令其限期改正或予以通报、警告.测评机构由现以下情况之一的,根据相应规定和程序,由等级保护协调领导机构决定撤销其测评机构资格并及时向社会公告.一违反法律、法规并被起诉的；二发生重大泄密事件的；三运营治理不标准,严重影响测评质量,经整改仍无法到达要求的;四与被测评单位共同隐瞒在平安评估过程中发现的平安漏洞,未按要求写入评估报告的；五在评估过程中弄虚作假,编造平安评估报告的；六不履行规定的责任和义务,经通报批评、警告仍不改正的；七测评机构成立后一年内不开展测评业务的；八由于自身原因