【信息安全等級保護資訊網】專注網絡安全等級保護,歡迎您的光臨!
等級保護咨詢電話:400-1021-996
信息安全等級保護資訊網
安徽等級保護測評資料下載
資料下載
資料下載 您的位置:首頁>資料下載 >
信息安全等級保護測評機構管理辦法
時間:2021-07-12閱讀量:815來源:本站關鍵詞:等保測評 返回列表


信息安全等級保護測評機構管理辦法

 

第一條 為加強信息安全等級保護測評機構管理,規范等級測評行為,提高測評技術能力和服務水平,根據《信息安全等級保護管理辦法》等有關規定,制定本辦法。

第二條 等級測評工作,是指等級測評機構依據國家信息安全等級保護制度規定,按照有關管理規范和技術標準,對非涉及國家秘密信息系統安全等級保護狀況進行檢測評估的活動。

等級測評機構,是指依據國家信息安全等級保護制度規定,具備本辦法規定的基本條件,經審核推薦,從事等級測評等信息安全服務的機構。

第三條 等級測評機構推薦管理工作遵循統籌規劃、合理布局、安全規范的方針,按照誰推薦、誰負責,誰審核、誰負責的原則有序開展。

第四條 等級測評機構應以提供等級測評服務為主,可根據信息系統運營使用單位安全保障需求,提供信息安全咨詢、應急保障、安全運維、安全監理等服務。

第五條 國家信息安全等級保護工作協調小組辦公室(以下簡稱國家等保辦)負責受理隸屬國家信息安全職能部門和重點行業主管部門申請單位提出的申請,并對其推薦的等級測評機構進行監督管理。

省級信息安全等級保護工作協調(領導)小組辦公室(以下簡稱省級等保辦)負責受理本?。▍^、直轄市)申請單位提出的申請,并對其推薦的等級測評機構進行監督管理。

第六條 申請成為等級測評機構的單位(以下簡稱申請單位)應具備以下基本條件:

(一)在中華人民共和國境內注冊成立,由中國公民、法人投資或者國家投資的企事業單位;

(二)產權關系明晰,注冊資金100萬元以上;

(三)從事信息系統安全相關工作兩年以上,無違法記錄;

(四)測評人員僅限于中華人民共和國境內的中國公民,且無犯罪記錄;

(五)具有信息系統安全相關工作經驗的技術人員,不少于10人;

(六)具備必要的辦公環境、設備、設施,使用的技術裝備、設施應滿足測評工作需求;

(七)具有完備的安全保密管理、項目管理、質量管理、人員管理和培訓教育等規章制度;

(八)自覺接受等保辦的監督、檢查和指導,對國家安全、社會秩序、公共利益不構成威脅;

(九)不涉及信息安全產品開發、銷售或信息系統安全集成等業務;

(十)應具備的其他條件。

第七條 申請時,申請單位應向等保辦提交以下材料:

(一)《信息安全等級保護測評機構申請表;

(二)從事信息系統安全相關工作情況;

(三)檢測評估工作所需軟硬件及其他服務保障設施配備情況;

(四)有關管理制度建設情況;

(五)申請單位及其測評人員基本情況;

(六)應提交的其他材料。

等保辦收到申請材料后,應在10個工作日內組織初審,并出具初審結果告知書。

第八條 通過初審的申請單位,應及時參加指定評估機構組織的測評人員培訓??荚嚭细竦娜藛T,取得等級測評師證書。

等級測評師分為初級、中級和高級。申請單位應至少有10人獲得等級測評師證書,其中高級和中級測評師均不得少于1人。

第九條 指定評估機構應根據標準規范對申請單位開展能力評估,出具信息安全等級保護測評機構能力評估報告,并及時將申請單位能力評估有關情況報送等保辦。

第十條 等保辦組織專家對通過能力評估的申請單位進行審核。審核通過的,頒發《信息安全等級保護測評機構推薦證書。

省級等保辦應及時將本地等級測評機構推薦情況報國家等保辦,國家等保辦定期發布公告,在《中國信息安全等級保護網發布全國信息安全等級保護測評機構推薦目錄。

第十一條 下列事項發生變更時,等級測評機構應在變更后5個工作日內向等保辦報告。

(一)等級測評機構名稱、地址、測評人員和主要負責人發生變更的;

(二)等級測評機構法人、股權結構發生變更的;

(三)其他重大事項發生變更的。

省級等保辦應及時將等級測評機構變更情況報國家等保辦。

第十二條 信息安全等級保護測評機構推薦證書有效期為三年。等級測評機構應在推薦證書期滿前30日內,向等保辦申請復審。復審通過的等級測評機構換發新證。復審未通過的,等保辦應督促其限期整改。

省級等保辦應及時將等級測評機構期滿復審情況報國家等保辦。

第十三條 等級測評師上崗前,等級測評機構應組織崗前培訓。培訓合格的,由等級測評機構配發上崗證。未取得測評師證書和上崗證的,不得參與等級測評項目。

等級測評師離職前,等級測評機構應與其簽訂離職保密承諾書,并收回上崗證。

第十四條 等級測評師應妥善保管等級測評師證書、上崗證,不得涂改、出借、出租和轉讓。

第十五條 等級測評機構應加強對本機構等級測評師的監督管理,定期組織開展安全保密教育和業務培訓。

第十六條 等級測評機構應嚴格按照信息安全等級保護標準規范公正、獨立地開展等級測評工作,依據模板出具信息系統安全等級測評報告,確保測評質量,全面、客觀地反映被測信息系統的安全保護狀況。

第十七條 等級測評機構開展測評項目不受地域、行業限制。等級測評機構應在測評項目合同簽訂以及項目完成后5個工作日內,受理信息系統備案的公安機關報告等級測評項目有關情況。

第十八條 測評項目實施過程中,等級測評機構應接受等保辦的監督、檢查和指導。測評項目完成后,等級測評機構應請被測評信息系統運營使用單位對測評服務情況進行評價,評價情況被測單位反饋等保辦。

第十九條 等級測評機構應定期向等保辦報送測評工作開展情況。根據測評實踐,每年底編制并報送信息系統安全狀況分析報告。

第二十條 等級測評機構實行等級化管理。根據信息系統測評數量、機構規模、測評技術能力和服務質量等指標,對等級測評機構劃分為五個星級,最低為一星級,最高為五星級。等級測評機構星級評定標準由國家等保辦另行制定。

第二十一條 等級測評機構應于每年底向等保辦提交星級評定所需材料。

等保辦負責組織所推薦等級測評機構的星級評定審核工作,并出具星級評定意見。省級等保辦應及時將評定意見報國家等保辦審定,國家等保辦定期發布星級評定結果。

第二十二條 取得信息安全等級保護測評機構推薦證書未滿一年的,不參加星級評定。

第二十三條 等保辦負責對所推薦等級測評機構的日常監督檢查、測評項目抽查和年審工作,及時掌握等級測評機構工作情況。

第二十四條  等保辦應于每年底對所推薦的等級測評機構進行年審。等級測評機構自推薦之日起未滿6個月的,當年可免予年審。年審時,等級測評機構應提交以下材料:

(一)信息安全等級保護測評機構年審表;

(二)信息安全等級保護測評機構推薦證書副本;

(三)年度測評工作總結;

(四)其他所需材料。

第二十五條  國家等保辦負責組織開展等級測評機構能力驗證和抽查工作。

第二十六條 等級測評機構有下列情形之一,等保辦應責令其限期整改;情形嚴重的,予通報。

(一)未按照有關標準規范開展測評或未按規定出具信息系統安全等級測評報告的;

(二)影響被測評信息系統正常運行,危害被測評信息系統安全的;

(三)非授權占有、使用,未妥善保管等級測評相關資料及數據文件的;

(四)分包或轉包等級測評項目,以及擾亂測評市場秩序的;

(五)限定被測評單位購買、使用指定信息安全產品的;

(六)測評人員未取得等級測評師證書和上崗證從事等級測評活動的;

(七)未按本辦法規定向等保辦提交材料、報告情況或弄虛作假的;

(八)其他違反等級測評有關規定的行為。

第二十七條 等級測評機構有下之一的,等保辦取消其信息安全等級保護測評機構推薦證書,并向社會公告。

(一)因單位股權、人員等情況發生變動,不符合等級測評機構基本條件的;

(二)有信息安全產品開發、銷售或信息系統安全集成行為的;

(三)故意泄露被測評單位工作秘密、重要信息系統數據信息的;

(四)故意隱瞞測評過程中發現的安全問題,或者在測評過程中弄虛作假未如實出具等級測評報告的;

(五)一年內未開展信息系統測評工作或自愿退出《全國信息安全等級保護測評機構推薦目錄》的;

(六)連續兩年年審不合格或限期整改后仍未通過復審的;

(七)違反本辦法第二十六條規定,情節特別嚴重的。

第二十八條 等級測評師有下列行為之一的,等保辦責令等級測評機構督促其限期改正;情節嚴重的,責令等級測評機構暫停其參與測評工作;情形特別嚴重的,應注銷其等級測評師證書,所在等級測評機構進行通報。

(一)未經允許擅自使用或泄露、出售等級測評工作中收集的數據信息、資料或信息系統安全等級測評報告的;

(二)違反本辦法第十四條規定,未妥善保管等級測評師證書、上崗證,有涂改、出借、出租和轉讓等行為的;

(三)測評行為失誤或不當,影響信息系統安全或造成運營使用單位利益損失的;

(四)其他違反等級測評有關規定的行為。

第二十九條 等級測評機構及其等級測評師違反本辦法的相關規定,給被測評信息系統運營使用單位造成嚴重危害和損失的,由相關部門依照有關法律、法規予以處理。

第三十條 任何單位和個人如發現等級測評機構、等級測評有違法、違規行為的,可向國家等保辦舉報、投訴。

第三十一條 本辦法由國家等保辦負責解釋。

第三十二條 本辦法自發布之日起實施。

 

附件下載:

1103572475ss.zip



Copyright ? 2020-2021 信息安全等級保護資訊網 All Rights Reserved. 備案號碼:皖ICP備19012162號-3
本站文章內容部分來源于網絡轉載,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表本站立場,轉載目的在于傳遞更多信息。如有侵權,請聯系刪除。
色婷婷亚洲婷婷五月小说专区