国家信息安全测评信息安全服务资质转让规定

国家信息安全测评信息安全服务资质转让规定一、资质转让的适用范围与基本原则（一）适用范围本规定所指的信息安全服务资质，是指经国家信息安全测评机构依据相关国家标准和规范，对从事信息安全服务的机构进行综合评估后颁发的资质证书，涵盖安全集成、安全运维、应急处理、风险评估、软件安全开发、数据安全服务等多个类别。资质转让仅适用于在中华人民共和国境内依法设立的企业法人，且转让双方均需符合国家信息安全管理的相关法律法规要求。（二）基本原则合法性原则：资质转让必须严格遵守《中华人民共和国网络安全法》《中华人民共和国数据安全法》《信息安全服务资质评估准则》等法律法规和规范性文件，任何违反法律规定的转让行为均不受保护。真实性原则：转让双方需如实提供相关材料，确保资质转让的基础信息真实、准确、完整，不得隐瞒重要信息或提供虚假材料。公正性原则：国家信息安全测评机构作为资质管理的责任主体，应按照统一标准和流程开展资质转让审核工作，保障转让过程的公平、公正、公开。安全性原则：资质转让不得损害国家信息安全、公共利益或第三方合法权益，转让后的服务机构需持续具备相应的信息安全服务能力，确保服务质量不降低。二、资质转让的条件与要求（一）转让方条件转让方必须是合法持有有效信息安全服务资质证书的企业法人，资质证书在转让申请时处于有效期内，且无任何被暂停、撤销或吊销的记录。转让方需在资质有效期内，按照国家信息安全测评机构的要求完成年度监督评估和复评工作，且评估结果均为合格。转让方在资质持有期间，未发生过重大信息安全事故、违法违规行为或被客户投诉且经查实的严重服务质量问题。转让方已妥善处理与资质相关的债权债务关系，不存在任何因资质引发的法律纠纷或潜在风险。（二）受让方条件受让方必须是在中华人民共和国境内依法设立的企业法人，具备独立承担民事责任的能力，且经营范围包含与所转让资质类别相关的信息安全服务内容。受让方需拥有与所转让资质类别相匹配的专业技术人员，人员数量、专业背景、从业经验等需符合国家信息安全测评机构制定的资质评估准则要求。例如，申请安全集成资质转让的受让方，需具备一定数量的注册信息安全专业人员（CISP）、系统集成项目管理工程师等专业技术人才。受让方应具备必要的技术装备、办公场所和信息安全管理体系，能够保障信息安全服务的正常开展。如拥有符合国家标准的信息安全实验室、安全运维管理平台等。受让方在近三年内未发生过重大信息安全事故、违法违规行为或被相关监管部门处罚的记录，企业信用状况良好。（三）转让标的要求所转让的资质证书必须是国家信息安全测评机构颁发的正式证书，且资质类别和等级明确，不存在任何模糊或争议。转让方需将与资质相关的全部技术文档、客户资源、项目经验等一并转让给受让方，确保受让方能够顺利承接后续的信息安全服务业务。转让标的不得包含任何侵犯第三方知识产权、商业秘密或其他合法权益的内容。三、资质转让的申请与审核流程（一）申请材料准备转让双方需共同向国家信息安全测评机构提交以下申请材料：《信息安全服务资质转让申请表》，需明确转让方、受让方的基本信息、转让资质类别和等级、转让原因等内容，并加盖双方企业公章。转让方的资质证书原件及复印件、企业法人营业执照副本复印件、组织机构代码证复印件、税务登记证复印件（已三证合一的提供统一社会信用代码证书复印件）。受让方的企业法人营业执照副本复印件、组织机构代码证复印件、税务登记证复印件（已三证合一的提供统一社会信用代码证书复印件）、公司章程、股权结构证明文件。受让方的专业技术人员名单及相关资质证书复印件，包括注册信息安全专业人员（CISP）证书、系统集成项目管理工程师证书、信息安全工程师证书等。受让方的技术装备清单、办公场所证明材料、信息安全管理体系文件及认证证书（如有）。转让双方签订的《信息安全服务资质转让协议》，协议需明确转让标的、转让价格、付款方式、双方权利义务、违约责任等内容。转让方关于资质持有期间的业务开展情况报告、年度监督评估报告、复评报告等。国家信息安全测评机构要求提供的其他相关材料。（二）申请提交与受理转让双方需将上述申请材料提交至国家信息安全测评机构指定的受理窗口或通过官方在线平台进行提交。测评机构在收到申请材料后，将在5个工作日内进行初步审核，对材料齐全、符合要求的申请予以受理，并出具受理通知书；对材料不齐全或不符合要求的，将一次性告知转让双方需要补充的材料内容。（三）审核与评估形式审核：国家信息安全测评机构对转让双方提交的申请材料进行形式审核，重点审核材料的完整性、真实性和合法性。如发现材料存在虚假或不符合要求的情况，将立即终止审核流程，并告知转让双方。现场评估：对于符合形式审核要求的申请，测评机构将组织专家评审组对受让方进行现场评估。现场评估内容包括受让方的人员能力、技术装备、管理体系、业务流程等方面，评估方式包括查阅资料、现场勘查、人员访谈、实操考核等。综合评审：专家评审组根据形式审核和现场评估的结果，对资质转让申请进行综合评审，形成评审意见。评审意见包括同意转让、有条件同意转让或不同意转让三种类型。对于有条件同意转让的，需明确受让方需要整改的内容和期限。（四）审核结果公示与证书颁发国家信息安全测评机构将审核结果在官方网站上进行公示，公示期为7个工作日。在公示期内，任何单位或个人对审核结果有异议的，均可向测评机构提出书面异议申请，并提供相关证明材料。公示期满无异议或异议不成立的，测评机构将向受让方颁发新的信息安全服务资质证书，并收回转让方的原资质证书。新证书的有效期与原证书一致，证书编号保持不变，但需在证书上注明转让信息。对于审核未通过的申请，测评机构将向转让双方出具书面审核意见，说明未通过的原因。转让双方可根据审核意见进行整改，整改完成后重新提交申请。四、资质转让后的权利与义务（一）受让方的权利与义务权利（1）受让方自取得新的资质证书之日起，依法享有该资质证书所赋予的信息安全服务业务承接权，可在资质许可范围内开展相关信息安全服务活动。（2）受让方有权使用国家信息安全测评机构颁发的资质证书进行宣传推广，提升企业的市场竞争力。（3）受让方有权按照国家信息安全测评机构的要求，参与相关的技术培训、标准制定和行业交流活动。义务（1）受让方需严格遵守国家信息安全管理的相关法律法规和规范性文件，按照资质证书的要求开展信息安全服务业务，确保服务质量符合国家标准和客户需求。（2）受让方需建立健全信息安全管理体系，加强人员培训和技术研发，持续提升信息安全服务能力。（3）受让方需按照国家信息安全测评机构的要求，按时提交年度业务报告、监督评估申请等材料，配合测评机构开展年度监督评估和复评工作。（4）受让方需妥善保管资质证书，不得涂改、出租、出借或转让资质证书，如证书遗失或损坏，需及时向测评机构申请补发或换发。（二）转让方的权利与义务权利（1）转让方有权按照转让协议的约定，收取资质转让费用。（2）转让方在资质转让完成后，不再承担与该资质相关的任何责任和义务，但需配合受让方完成相关业务的交接工作。义务（1）转让方需向受让方如实提供与资质相关的全部信息和材料，确保受让方能够顺利承接业务。（2）转让方需在资质转让完成后，及时停止使用原资质证书进行宣传推广和业务承接，避免造成市场混淆。（3）转让方需对在资质持有期间所掌握的客户信息、商业秘密等保密信息承担保密义务，不得向任何第三方泄露。五、资质转让的监督管理与法律责任（一）监督管理国家信息安全测评机构负责对信息安全服务资质转让活动进行全过程监督管理，建立健全资质转让的审核机制、评估机制和公示机制，确保转让过程的合法性和公正性。测评机构将定期对受让方的信息安全服务能力进行监督评估，如发现受让方不再具备相应的资质条件或存在违法违规行为，将按照相关规定采取暂停、撤销或吊销资质证书等措施。各级网络安全和信息化主管部门、公安机关等监管部门，按照各自职责对信息安全服务资质转让活动进行监督检查，依法查处违法违规行为。（二）法律责任转让双方在资质转让过程中，如存在提供虚假材料、隐瞒重要信息或其他违法违规行为的，国家信息安全测评机构将立即终止审核流程，已颁发的资质证书将予以撤销，并视情节轻重对转让双方处以警告、罚款等处罚；构成犯罪的，依法追究刑事责任。受让方在取得资质证书后，如违反国家信息安全管理的相关法律法规或资质证书的要求，开展信息安全服务业务的，国家信息安全测评机构将按照相关规定采取暂停、撤销或吊销资质证书等措施，并将其违法违规行为纳入企业信用记录；给国家信息安全、公共利益或第三方合法权益造成损害的，依法承担赔偿责任；构成犯罪的，依法追究刑事责任。国家信息安全测评机构的工作人员在资质转让审核工作中，如存在滥用职权、玩忽职守、徇私舞弊等行为的，将依法给予行政处分；构成犯罪的，依法追究刑事责任。六、资质转让的争议解决（一）协商解决转让双方在资质转让过程中如发生争议，应首先通过友好协商的方式解决。协商解决的内容包括争议的事实、责任划分、解决方案等，双方应本着平等互利、诚实信用的原则，达成一致意见并签订书面和解协议。（二）调解解决如协商不成，转让双方可向国家信息安全测评机构或相关行业协会申请调解。调解机构将组织双方进行调解，听取双方的意见和诉求，依据相关法律法规和行业规范，提出调解建议。如双方接受调解建议，应签订书面调解协议，调解协议具有法律效力，双方应严格履行。（三）仲裁或诉讼解决如调解不成，转让双方可根据转让协议中的仲裁条款或事后达成的仲裁协议，向仲裁机构申请仲裁；也可直接向有管辖权的人民法院提起诉讼。仲裁裁决或法院判决具有终局性，双方必须严格执行。七、附则（一）解释权本规定由国家信息安全测评机构负责解释。国家信息安全测评机构可根据国家信息安全管理的需要和行业发展情况，对本规定进行修