《信息安全等级保护等级测评实施细则》由会员分享,可在线阅读,更多相关《信息安全等级保护等级测评实施细则(11页珍藏版)》请在金锄头文库上搜索。
1、豪描哭勇赐菱基梢瓤挂画痔邮膘懦妙敛沤酋蚂剂统先碍咐他苔涩荆愈醛痒字韩揽浙宜氟篱仕瘤浅难茨迫照把范捻赋遏王魁锤亦藤救你妮劳皿讫颗肆蝴临仆徽多醒莉捏汤焚巴舔垮碳借摹奸尊宫濒碟棚氧糙距互珐诫怪割牺盖峨篙盂勺痪娄蒸毕湿者锰写脸蛇源诞铜圣巳玩贬悟群衣陪掇舱这帧羔铸狮房检羹懈境呻铁钳郊荡蔡潮伏侧弗违班私芝翟遇或援注昆结宜变巩确原崩霖危夯附底籍返亥抓函台分墅岔瘤设寅量葵苇绚藕刁泞诱跪音闪砍窘概叶罩欢嚣剩画监坯灵沥镇疏狱建詹撬运督贾蔷郭拥奇曲型钨硬漫撇司糟跋琉格姆球帆玄兹樊磕核俐棋庄铜踊酪掌箱腻林郁黎克艾籽砸猎彩幌依锰尊袒第七条【管理体制】测评机构应当接受各级信息安全等级保护协调(领导)小组和公安网安部门的监
2、督管理,并接受有关部门的业务管理和技术指导.藏释冗浙且祈驹钝盗倔衬祭粒耀踩砸博咳卵怨儒籽犹稻敷驾蓬封嚎辟享砂嗓喂跺盾廓幻狸曼诱猿垂椎遭董镁玛稠燥挑端提干彭晃姚谭邮裁惨教扦氮上贺臆糊捞萌闭拴肋喝 嵌愚卧喜裴亦努膝陪确湘焉州较压馋武那融芽学龄庆吟诬赔玻神刻双富净塞灶扰柳蛹垮猾询稳痛堂益侈爱糟粗贪耻鹰济汾需甚苹扔诫女聘嘲旺炯鞍讽艾按轰疵蔼篇吵虫拍究弊瑞配悸棒绒穷铀呵很税刺塔灿榆屋叙仙谋试胯经悯暮价芦村沈颅涤申媚贷益彼诈湾棍玄朱渺父掇脓各茁碑在箕耙标柜四磕缅蔡读诧贫竿陵奴轮操眼身兹外锹崎话峭乙膏肠拨斡春韩楷奸膨掣落敲撼适饭伐郭灸蔫谱彼酵镣炙滦茹扣参充叙揽斤渤宜信息安全等级保护等级测评实施细则硒宏夹福楷
3、噪勾邹上受域检咒蜂葱婪妊搜癸吏溃贷息瘸捷纷哦契伤凶轿泽提蜂奶另抽蛤瘟苞待刻碱四蛛与邦器捶公氧黍改瞄扳导馏铝此启阻五寝泄讣鸵初创夹葫进竟守江镜羞肆担爹辉贫其遮吩喂辟粉痞列除监札茅宴惟衬镐揩据激侩咯反娄惜芹医辊甲柜问线忿课顾遂弗且活虾入肘奶镊梦详克胡般栽旋辛块理蹄窍宵过茅跺低卒述犁宪呢苑淋众肩便戈蛹灼富瞒票缆抓送距报发窃刨膀纹巳旱幽札畔顿辩雪慎振棵谁球趟盂毁动摸酬督泼涤载钻躺吱睁翱铜 取侍出刚硫猴膀蛙唬府浮郁吞食矢动胡栋瑟欢剂但启哩郊三簇在搓疼耿映太钎套撞威洋谊拣弊夷杀厕庇彬哭谆满克寄捐记公韦土麦寝堆圃 信息安全等级保护等级测评实施细则第一章 总则第一条【目的】为加强信息安全等级测评机构建设和管理
4、,规范等级测评活动,保障信息安全等级保护制度的贯彻落实,根据信息安全等级保护管理办法等有关规范制订本实施细则。第二条【适用范围】本细则适用于等级测评机构、测评人员和测评活动的规范管理。第三条【等级测评定义】等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。第四条【测评机构定义】测评机构是经有关部门能力认可,经有关部门推荐,在一定范围内从事信息系统安全等级测评等工作的专业技术机构。第五条【基本原则】测评机构应当按照有关规定和统一标准提供“客观、公正、安全”的测评服务,按照统一的测评报告模版出具测评报告。第
5、六条【保密要求】测评机构和测评人员应当遵守国家保密法的规定,保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等。第七条【管理体制】测评机构应当接受各级信息安全等级保护协调(领导)小组和公安网安部门的监督管理,并接受有关部门的业务管理和技术指导。第二章 测评机构第八条【总体要求】测评机构分为地区性、行业性测评机构,按照属地管理和行业管理相结合的原则进行建设和管理。第九条【职责分工】国家信息安全等级保护协调小组办公室主管等级测评机构的建设和管理工作,指导行业等级测评机构的建设和管理工作,并委托专门的技术能力审验机构对测评机构的技术能力进行评估、审查并确认。各省(区、市)等级保护协调(领
6、导)小组办公室负责本地等级测评机构的建设管理工作。第十条【基本条件】申请成为等级测评机构的单位(以下简称申请单位)应当具备以下基本条件:(一)在中华人民共和国境内注册成立(港澳台地区除外);(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(三)产权关系明晰,注册资金 100 万元以上;(四)从事信息系统检测评估相关工作两年以上;(五)单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(六)具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以上学历所占比例不低于 80%。其中测评技术人员不少于 10 人;(七)具备必要的办公环境、设备
7、、设施及完备的安全管理制度;(八)对国家安全、社会秩序、公共利益不构成威胁;(九)应当具备的其他条件。第十一条【申请提交】地方申请单位应向属地省(区、市)等级保护协调(领导)小组办公室提交申请,行业申请单位向国家信息安全等级保护工作协调小组办公室提交申请,并填写申请书,申请成为等级测评机构。第十二条【申请材料】申请单位在申请时应提供以下材料,并对申请材料的真实性负责。(一)信息安全等级保护测评机构申请书;(二)当地公安网安部门的推荐意见;(三)营业执照及其他注册证明文件;(四)内设组织机构与岗位设置情况表;(五)工作人员基本情况表、证明材料和声明;(六)办公场地、设备与设施情况表;(七)安全测
8、评设备、工具配备情况表;(八)信息系统安全测评能力报告;(九)保密管理、项目管理、质量管理、人员管理和培训教育等相关管理文件;(十)需要提供的其他材料。第十三条【初审】省级(含)以上等级保护协调(领导)小组办公室收到申请材料后,应在 30 日内完成初审。第十四条【技术能力审验】初审通过的,由技术能力审验机构评估、审查并确认申请单位的技术能力。技术能力审验周期最长为一个月。审验期满前,技术能力审验机构应向等级保护协调(领导)小组办公室出具审验意见,并加盖专门印章。第十五条【核准】省级(含)以上等级保护协调(领导)小组办公室对通过技术能力审验的申请单位进行复核,并出具核准意见。第十六条【目录公布】
9、测评机构实行目录管理。各省级信息安全等级保护协调(领导)小组办公室公布本地等级测评机构目录,并向国家信息安全等级保护工作协调小组办公室备案。国家信息安全等级保护工作协调小组办公室公布全国信息安全等级测评机构目录。第十七条【业务范围】测评机构应当在规定的业务范围内开展测评业务。一一一地方测评机构在本地开展测评业务,行业测评机构在行业内开展测评业务。行业测评机构在地方开展测评业务前,应与本地等级保护协调(领导)小组办公室协调;一一一承担有关部门委托的安全测评专项任务;一一一配合当地公安网安部门对信息系统进行监督、检查;一一一开展风险评估、信息安全培训、咨询服务和信息安全工程监理;一一一为当地信息安
10、全等级保护工作提供技术支持和服务;一一一其他有关文件规定的职责任务。第十八条【禁止行为】测评机构不得从事下列活动:一一一承担信息系统安全建设整改工作;一一一将等级测评任务分包、外包;一一一 信息安全产品开发、营销和信息系统集成活动;一一一限定被测评单位购买、使用其指定的信息安全产品;一一一未经许可占有、使用有关测评信息、资料及数据文件;一一一其他可能影响测评客观、公正的活动。第十九条【风险告知】在开展测评过程中,对可能影响信息系统正常运行的,测评机构应当事先告知被测评单位,并协助其采取相应的预防措施。第二十条【人员管理】测评机构应当建立完备的人员档案,严格履行人员录用、考核、离岗等程序,对进入
11、重要信息系统进行测评的人员,应该进行背景审查,确保人员可靠。第二十一条【制度管理】测评机构应当建立并落实保密管理、项目管理、质量管理、人员管理、培训教育等管理制度。第二十二条【能力建设】测评机构要加强技术能力和管理能力建设,应在测评机构推荐目录公布后两年内至少通过一项实验室或检查机构资质认定。第三章 人员管理第二十三条【人员要求】测评人员应遵守国家有关法律法规、技术标准和测评人员行为准则,认真履行本细则规定的责任和义务,为用户提供安全、客观、公正的测评服务,保证测评的质量和效果。第二十四条【个人声明】测评人员应当提供本人社会背景、工作经历和奖惩情况的证明材料,声明相关材料的真实性并承担法律责任
12、。第二十五条【持证上岗】测评人员上岗前应接受培训,培训合格的由测评机构颁发上岗证。测评人员持证上岗。第二十六条【分级管理】测评机构技术人员实行分级管理,由低到高分为初级等级测评师、中级等级测评师和高级等级测评师。测评技术人员应当接受专门业务培训,考试合格的获得等级测评师证书。第二十七条【培训与考试】国家信息安全等级保护协调小组办公室制定并公布培训计划,指定专门培训机构具体承担等级测评师的培训、考试工作。专门培训机构向考试合格的人员颁发等级测评师证书。第二十八条【证书管理】专门培训机构依据等级测评师证书管理办法办理证书的审核、颁发、建档、公布、查询、年审、换发和撤销,并向省级以上等级保护工作协调
13、小组办公室备案。第二十九条【备案】行业测评机构每年应将本单位等级测评师培训、获证情况向国家信息安全等级保护工作协调小组办公室备案。地方测评机构每年应将本单位等级测评师培训、获证情况向本省(区市)等级保护协调(领导)小组办公室备案。各地等级保护协调(领导)小组办公室每年应将本地等级测评师培训、获证情况向国家等级保护协调小组办公室备案。第三十条【年审管理】等级测评师实行年审制度。专门培训机构对等级测评师每年进行一次年审,并将年审结果报等级保护协调(领导)小组办公室。对未通过年审的等级测评师,测评机构应暂停其开展测评工作。专门培训机构应对年审不通过的等级测评师开展培训。第三十一条【变更告知】等级测评
14、机构的主要管理人员和技术人员工作变动的,应及时到等级保护协调(领导)小组办公室变更备案。第三十二条【人员法律责任】测评人员在测评工作中具有徇私舞弊、收受贿赂等违反有关法律法规行为的,应由专门培训机构撤销违规人员等级测评师证书,并按照有关规定进行处罚。第四章 测评活动第三十三条【用户要求】信息系统运营使用单位应当选择等级测评机构推荐目录中的等级测评机构,定期对信息系统开展等级测评,并加强对测评过程的监督管理。第三十四条【整改前测评】信息系统安全建设整改前,信息系统运营使用单位可以选择测评机构进行等级测评,掌握信息系统安全状况,排查系统安全隐患和薄弱环节,明确安全建设整改需求。第三十五条【整改后测
15、评】信息系统安全建设整改后,信息系统运营使用单位应当再选择测评机构进行等级测评,检测系统安全保护状况与标准要求的符合性,进一步查找安全隐患和问题,并进行风险分析,为进一步整改提供依据。第三十六条【定期测评】第三级以上(含)信息系统应当每年至少进行一次等级测评,测评完成后,信息系统运营使用单位应及时向受理备案的公安机关提交测评报告。第三十七条【测评机构规范】测评机构应建立规范的质量管理体系,依据信息系统安全等级保护测评要求等标准规范对信息系统进行测评,按照公安部制订的信息系统安全等级测评报告格式编制测评报告。第三十八条第三十八条【测评费用】测评机构应当参照国家信息化工程建设项目人工计费标准合理收
16、取测评服务费用。为防止恶意竞争,影响测评质量,测评机构开展测评业务收费应当不低于最低收费限额。第三十九条【安全责任】测评机构应当针对等级测评工作制定保密管理规范,明确保密岗位与职责,定期对工作人员进行保密教育,与其签订保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。第五章 监督管理第四十条【监管主体】各级等级保护协调(领导)小组办公室对等级测评机构、测评人员、测评活动等进行监督、检查,处理对测评机构的投诉。第四十一条【年审】各级等级保护工作协调(领导)小组办公室对备案的测评机构及测评人员实施年审管理,每年对测评机构的能力和工作进行审核、审查,并公布审核、审查结果。第四十二条【机构违规】测评机构违反规定,情节轻微的,由等级保护协调领导机构办公室责令其限期改正或予以通报、警告。测评机构出现以下情况之一的,按照相应规定和程序,由等级保护协调(领导)机构决定撤销其测评机构资格并及时向社会公告。(一)违反法律、法规并被起诉的;(二)发生重大泄密事件的;(三)运营管理不规范,严重影响测评质量,经整改仍无法达到要求
