《信息安全等级保护等级测评实施细则doc-信息安全等级测评17125.docx》由会员分享,可在线阅读,更多相关《信息安全等级保护等级测评实施细则doc-信息安全等级测评17125.docx(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全全等级保保护等级级测评实施细细则第一章 总则则第一条【目目的】为加强强信息安安全等级级测评机机构建设设和管理理,规范范等级测测评活动动,保障障信息安安全等级级保护制制度的贯贯彻落实实,根据据信息息安全等等级保护护管理办办法等等有关规规范制订订本实施施细则。第二条【适用用范围】本本细则适适用于等等级测评评机构、测评人人员和测评活活动的规范管理理。第三条【等级测测评定义义】等级级测评是是测评机机构依据据国家信信息安全全等级保保护制度度规定,受受有关单单位委托托,按照照有关管管理规范范和技术术标准,对对信息系系统安全全等级保保护状况况进行检检测评估估的活动动。第四条【测评机机构定义义】测评机
2、机构是经经有关部部门能力力认可,经经有关部部门推荐荐,在一一定范围围内从事事信息系系统安全全等级测测评等工工作的专专业技术术机构。第五条【基本原原则】测评机机构应当当按照有有关规定定和统一一标准提提供“客观、公公正、安安全”的测评评服务,按照统一的测评报告模版出具测评报告。第六条【保密密要求】测评机机构和测测评人员员应当遵守守国家家保密法法的规规定,保保守在测测评活动动中知悉悉的国家家秘密、商商业秘密密、敏感感信息和和个人隐隐私等。第七条【管理理体制】测评机机构应当当接受各各级信息息安全等等级保护护协调(领领导)小小组和公安网网安部门门的监督督管理,并接受有有关部门门的业务务管理和和技术指指导
3、。第二章测测评机构构第八条【总体要要求】测评机机构分为为地区性性、行业业性测评评机构,按按照属地地管理和和行业管管理相结结合的原原则进行行建设和和管理。第九条【职责分分工】国家信信息安全全等级保保护协调调小组办办公室主主管等级级测评机机构的建建设和管管理工作作,指导导行业等等级测评评机构的的建设和和管理工工作,并并委托专专门的技技术能力力审验机机构对测评机机构的技技术能力力进行评估估、审查查并确认认。各省(区区、市)等级保护协调(领导)小组办公室负责本地等级测评机构的建设管理工作。第十条【基本条条件】申申请成为为等级测测评机构构的单位位(以下下简称申申请单位位)应当当具备以以下基本本条件:(一
4、)在在中华人人民共和和国境内内注册成成立(港港澳台地地区除外外);(二)由由中国公公民投资资、中国国法人投投资或者者国家投投资的企企事业单单位(港港澳台地地区除外外);(三)产产权关系系明晰,注注册资金金100万万元以上上;(四)从从事信息息系统检检测评估估相关工工作两年年以上;(五)单单位法人人及主要要工作人人员仅限限于中华华人民共共和国境境内的中中国公民民,且无无犯罪记记录;(六)具具有胜任任等级测测评工作作的专业业技术人人员和管管理人员员,大学学本科(含含)以上上学历所所占比例例不低于于80%。其中中测评技技术人员员不少于于10人人;(七)具具备必要要的办公公环境、设设备、设设施及完完备
5、的安安全管理理制度;(八)对对国家安安全、社社会秩序序、公共共利益不不构成威威胁;(九)应应当具备备的其他他条件。第十一条条【申请提提交】地方申请请单位应应向属地地省(区区、市)等级保护协调(领导)小组办公室提交申请,行业申请单位向国家信息安全等级保护工作协调小组办公室提交申请,并填写申请书,申请成为等级测评机构。第十二条条【申请材材料】申请单单位在申申请时应应提供以以下材料料,并对对申请材材料的真真实性负负责。(一)信信息安全全等级保保护测评评机构申申请书;(二)当当地公安安网安部部门的推推荐意见见;(三)营营业执照照及其他他注册证证明文件件;(四)内内设组织织机构与与岗位设设置情况况表;(
6、五)工工作人员员基本情情况表、证证明材料料和声明明;(六)办办公场地地、设备备与设施施情况表表;(七)安安全测评评设备、工工具配备备情况表表;(八)信信息系统统安全测测评能力力报告;(九)保保密管理理、项目目管理、质质量管理理、人员员管理和和培训教教育等相相关管理理文件;(十)需需要提供供的其他他材料。第十三条条【初审】省级(含含)以上上等级保保护协调调(领导导)小组组办公室室收到申申请材料料后,应应在300日内完完成初审审。第十四条条【技术能能力审验验】初审审通过的的,由技术能能力审验验机构评评估、审审查并确确认申请请单位的的技术能能力。技术能力力审验周周期最长长为一个个月。审验验期满前前,
7、技术术能力审审验机构构应向等等级保护护协调(领领导)小小组办公公室出具具审验意意见,并并加盖专专门印章章。第十五条条【核准】省级(含含)以上上等级保保护协调调(领导导)小组组办公室室对通过过技术能能力审验验的申请请单位进进行复核核,并出具核核准意见见。第十六条条【目录公布布】测评评机构实实行目录录管理。各省级信息安全等级保护协调(领导)小组办公室公布本地等级测评机构目录,并向国家信息安全等级保护工作协调小组办公室备案。国家信息安全等级保护工作协调小组办公室公布全国信息安全等级测评机构目录。第十七条条【业务范范围】测评机机构应当当在规定定的业务务范围内开展测测评业务务。(一) 地方测评评机构在在
8、本地开开展测评评业务,行业测测评机构构在行业业内开展展测评业业务。行业测测评机构构在地方方开展测测评业务务前,应应与本地地等级保保护协调调(领导导)小组组办公室室协调;(二) 承担有关关部门委委托的安安全测评评专项任任务;(三) 配合当地地公安网安安部门对对信息系系统进行行监督、检检查;(四) 开展风险险评估、信信息安全全培训、咨咨询服务务和信息息安全工工程监理理;(五) 为当地信信息安全全等级保保护工作作提供技技术支持持和服务务;(六) 其他有关关文件规规定的职职责任务务。第十八条条【禁止行为为】测评机机构不得得从事下下列活动动:(一) 承担信息息系统安安全建设设整改工工作;(二) 将等级测
9、测评任务务分包、外外包;(三) 信息安全全产品开开发、营营销和信信息系统统集成活活动;(四) 限定被测测评单位位购买、使使用其指指定的信信息安全全产品;(五) 未经许可可占有、使使用有关关测评信息息、资料料及数据据文件;(六) 其他可能能影响测测评客观观、公正正的活动动。第十九条条【风险险告知】在开展展测评过过程中,对对可能影影响信息息系统正正常运行行的,测测评机构构应当事事先告知知被测评评单位,并并协助其其采取相相应的预预防措施施。第二十条条【人员员管理】测评机机构应当当建立完完备的人人员档案案,严格格履行人人员录用用、考核、离岗等程序,对对进入重重要信息息系统进进行测评评的人员员,应该该进
10、行背背景审查查,确保保人员可可靠。第二十一一条【制度度管理】测评机机构应当当建立并并落实保保密管理理、项目目管理、质质量管理理、人员员管理、培培训教育育等管理理制度。第二十二二条【能力力建设】测评机机构要加加强技术术能力和和管理能能力建设设,应在测评机机构推荐荐目录公公布后两两年内至至少通过过一项实实验室或或检查机机构资质质认定。第三章 人员管管理第二十三三条【人员员要求】测评人人员应遵遵守国家家有关法法律法规规、技术术标准和和测评人人员行为为准则,认认真履行行本细则则规定的的责任和和义务,为为用户提提供安全全、客观观、公正正的测评评服务,保保证测评评的质量量和效果果。第二十四四条【个人声声明
11、】测评人人员应当当提供本本人社会会背景、工工作经历历和奖惩惩情况的的证明材材料,声声明相关关材料的的真实性性并承担担法律责责任。第二十五五条【持证上上岗】测评人员员上岗前前应接受受培训,培培训合格格的由测测评机构构颁发上上岗证。测测评人员员持证上上岗。第二十六六条【分级管管理】测评机机构技术术人员实实行分级级管理,由由低到高高分为初初级等级级测评师师、中级级等级测测评师和和高级等等级测评评师。测评技术术人员应应当接受受专门业业务培训训,考试试合格的的获得等等级测评评师证书书。第二十七七条【培训与与考试】国家信信息安全全等级保保护协调调小组办办公室制制定并公公布培训训计划,指定专门培训机构具体承
12、担等级测评师的培训、考试工作。专门培训机构向考试合格的人员颁发等级测评师证书。第二十八八条【证书书管理】专门培培训机构构依据等等级测评评师证书书管理办办法办理理证书的的审核、颁颁发、建建档、公公布、查查询、年年审、换换发和撤撤销,并并向省级级以上等等级保护护工作协调调小组办办公室备备案。第二十九九条【备案案】行业测测评机构构每年应应将本单单位等级级测评师师培训、获获证情况向向国家信息息安全等等级保护护工作协调调小组办办公室备备案。地方测评评机构每每年应将将本单位位等级测测评师培训、获获证情况况向本省省(区市市)等级级保护协协调(领领导)小小组办公公室备案案。各地等级级保护协协调(领领导)小小组
13、办公公室每年年应将本本地等级级测评师师培训、获获证情况况向国家家等级保保护协调调小组办办公室备备案。第三十条条【年审管管理】等级测测评师实实行年审审制度。专门培培训机构构对等级级测评师师每年进进行一次次年审,并将年审结果报等级保护协调(领导)小组办公室。对未通过过年审的等级测测评师,测评机机构应暂暂停其开展测测评工作作。专门门培训机机构应对对年审不不通过的的等级测测评师开开展培训训。第三十一一条【变更告告知】等级测评评机构的主主要管理理人员和技技术人员员工作变变动的,应应及时到到等级保保护协调调(领导导)小组组办公室室变更备备案。第三十二二条【人员法法律责任任】测评人员员在测评评工作中中具有徇
14、徇私舞弊弊、收受受贿赂等等违反有有关法律律法规行行为的,应应由专门门培训机机构撤销销违规人人员等级级测评师师证书,并并按照有有关规定定进行处处罚。第四章 测评评活动第三十三三条【用户要要求】信息系系统运营营使用单单位应当当选择等等级测评评机构推推荐目录录中的的等级测测评机构构,定期期对信息息系统开开展等级级测评,并并加强对对测评过过程的监监督管理理。第三十四四条【整改改前测评评】信息系系统安全全建设整整改前,信息系统运营使用单位可以选择测评机构进行等级测评,掌握信息系统安全状况,排查系统安全隐患和薄弱环节,明确安全建设整改需求。第三十五五条【整改改后测评评】信息系系统安全全建设整整改后,信信息
15、系统统运营使使用单位位应当再再选择测测评机构构进行等等级测评评,检测测系统安安全保护护状况与与标准要要求的符符合性,进一步查找安全隐患和问题,并进行风险分析,为进一步整改提供依据。第三十六六条【定期期测评】第三级级以上(含含)信息息系统应应当每年年至少进进行一次次等级测测评,测测评完成成后,信信息系统统运营使使用单位位应及时向向受理备备案的公公安机关关提交测测评报告告。第三十七七条【测评机构构规范】测评机机构应建建立规范范的质量量管理体体系,依依据信信息系统统安全等等级保护护测评要要求等等标准规规范对信信息系统统进行测测评,按按照公安安部制订订的信息息系统安安全等级级测评报报告格式式编制测测评
16、报告告。第三十八八条【测评费费用】测评机机构应当当参照国国家信息息化工程程建设项项目人工工计费标标准合理理收取测测评服务务费用。为防止恶意竞争,影响测评质量,测评机构开展测评业务收费应当不低于最低收费限额。第三十九九条【安全责责任】测评机机构应当当针对等等级测评评工作制制定保密密管理规规范,明明确保密密岗位与与职责,定期对工工作人员员进行保保密教育育,与其其签订保保密责任任书,规规定应当当履行的的安全保保密义务务和承担担的法律律责任,并并负责检检查落实实。第五章 监督督管理第四十条条【监管主主体】各级等级级保护协协调(领领导)小小组办公公室对等级测测评机构构、测评评人员、测评活动等进行监督、检
17、查,处理对测评机构的投诉。第四十一一条【年审】各级等等级保护护工作协协调(领领导)小小组办公公室对备备案的测测评机构构及测评评人员实实施年审审管理,每年年对测评评机构的的能力和和工作进进行审核核、审查查,并公公布审核核、审查查结果。第四十二二条【机构违违规】测评机机构违反反规定,情节轻轻微的,由由等级保保护协调调领导机机构办公公室责令令其限期期改正或或予以通通报、警警告。测评机构构出现以以下情况况之一的的,按照照相应规规定和程程序,由由等级保保护协调调(领导)机构决定定撤销其其测评机机构资格格并及时时向社会会公告。(一)违违反法律律、法规规并被起起诉的;(二)发发生重大大泄密事事件的;(三)运
18、运营管理理不规范范,严重重影响测测评质量量,经整整改仍无无法达到到要求的的;(四)与与被测评评单位共共同隐瞒瞒在安全全评估过过程中发发现的安安全漏洞洞,未按按要求写写入评估估报告的的;(五)在在评估过过程中弄弄虚作假假,编造造安全评评估报告告的;(六)不不履行规规定的责责任和义义务,经经通报批批评、警警告仍不不改正的的;(七)测测评机构构成立后后一年内内不开展展测评业业务的;(八)由由于自身身原因主主动提出出退出的的;(九)连连续两次次年审未未通过的的;(十)违违反其他他有关规规定的。第四十三三条【争议处处理】测评机机构应当当严格遵遵循申诉诉、投诉诉及争议议处理制制度,妥妥善处理理争议事事件,及及时采取取纠正和和改进措措施。第四十四四条【监督自自身要求求】各级等级级保护协协调(领领导)小小组办公公室应严严格依照照本细则则的有关关规定,按按照公平平、公正正的原则则开展监监督检查查工作。第四十五五条【变更】测评机机构性质质、经营营(业务务)范围围、隶属属关系、法法定代表表人等重重要事项项发生变变化的,应应在300日内向向等级保保护协调调(领导)机构办理理变更手手续。