《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理辦法》最新

1、信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理辦法第一條 為加強(qiáng)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理，規(guī)范 等級(jí)測(cè)評(píng)行為，提高測(cè)評(píng)技術(shù)能力和服務(wù)水平，根據(jù)信息 安全等級(jí)保護(hù)管理辦法等有關(guān)規(guī)定，制定本辦法。第二條 等級(jí)測(cè)評(píng)工作，是指等級(jí)測(cè)評(píng)機(jī)構(gòu)依據(jù)國家信 息安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)， 對(duì)非涉及國家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng) 估的活動(dòng)。等級(jí)測(cè)評(píng)機(jī)構(gòu)，是指依據(jù)國家信息安全等級(jí)保護(hù)制度規(guī) 定，具備本辦法規(guī)定的基本條件，經(jīng)審核推薦，從事等級(jí)測(cè) 評(píng)等信息安全服務(wù)的機(jī)構(gòu)。第三條 等級(jí)測(cè)評(píng)機(jī)構(gòu)推薦管理工作遵循統(tǒng)籌規(guī)劃、合 理布局、安全規(guī)范的方針，按照 “誰推薦、誰負(fù)責(zé)，誰審核、 誰負(fù)責(zé) ”的原則有序

2、開展。第四條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)以提供等級(jí)測(cè)評(píng)服務(wù)為主，可 根據(jù)信息系統(tǒng)運(yùn)營使用單位安全保障需求，提供信息安全咨 詢、應(yīng)急保障、安全運(yùn)維、安全監(jiān)理等服務(wù)。第五條 國家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室 （以下簡稱 “國家等保辦 ”）負(fù)責(zé)受理隸屬國家信息安全職能 部門和重點(diǎn)行業(yè)主管部門申請(qǐng)單位提出的申請(qǐng)，并對(duì)其推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行監(jiān)督管理。省級(jí)信息安全等級(jí)保護(hù)工作協(xié)調(diào) （領(lǐng)導(dǎo)）小組辦公室 （以 下簡稱 “省級(jí)等保辦 ”）負(fù)責(zé)受理本?。▍^(qū)、直轄市）申請(qǐng)單 位提出的申請(qǐng)，并對(duì)其推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行監(jiān)督管理。第六條 申請(qǐng)成為等級(jí)測(cè)評(píng)機(jī)構(gòu)的單位（以下簡稱 “申請(qǐng) 單位 ”）應(yīng)具備以下基本條件：（一）在中

3、華人民共和國境內(nèi)注冊(cè)成立，由中國公民、 法人投資或者國家投資的企事業(yè)單位；（二）產(chǎn)權(quán)關(guān)系明晰，注冊(cè)資金 100 萬元以上；（三）從事信息系統(tǒng)安全相關(guān)工作兩年以上，無違法記 錄；（四）測(cè)評(píng)人員僅限于中華人民共和國境內(nèi)的中國公 民，且無犯罪記錄；（五）具有信息系統(tǒng)安全相關(guān)工作經(jīng)驗(yàn)的技術(shù)人員，不 少于 10 人；（六）具備必要的辦公環(huán)境、設(shè)備、設(shè)施，使用的技術(shù) 裝備、設(shè)施應(yīng)滿足測(cè)評(píng)工作需求；（七）具有完備的安全保密管理、 項(xiàng)目管理、 質(zhì)量管理、 人員管理和培訓(xùn)教育等規(guī)章制度；（八）自覺接受等保辦的監(jiān)督、檢查和指導(dǎo)，對(duì)國家安 全、社會(huì)秩序、公共利益不構(gòu)成威脅；（九）不涉及信息安全產(chǎn)品開發(fā)、銷售或信息系

4、統(tǒng)安全集成等業(yè)務(wù)；（十）應(yīng)具備的其他條件。第七條 申請(qǐng)時(shí)，申請(qǐng)單位應(yīng)向等保辦提交以下材料：（一）信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)申請(qǐng)表 ；（二）從事信息系統(tǒng)安全相關(guān)工作情況；（三）檢測(cè)評(píng)估工作所需軟硬件及其他服務(wù)保障設(shè)施配 備情況；（四）有關(guān)管理制度建設(shè)情況；（五）申請(qǐng)單位及其測(cè)評(píng)人員基本情況；（六）應(yīng)提交的其他材料。等保辦收到申請(qǐng)材料后，應(yīng)在 10 個(gè)工作日內(nèi)組織初審， 并出具初審結(jié)果告知書。第八條 通過初審的申請(qǐng)單位，應(yīng)及時(shí)參加指定評(píng)估機(jī) 構(gòu)組織的測(cè)評(píng)人員培訓(xùn)。考試合格的人員，取得等級(jí)測(cè)評(píng)師 證書。等級(jí)測(cè)評(píng)師分為初級(jí)、中級(jí)和高級(jí)。申請(qǐng)單位應(yīng)至少有10 人獲得等級(jí)測(cè)評(píng)師證書， 其中高級(jí)和中級(jí)測(cè)評(píng)師均

5、不得少 于 1 人。第九條 指定評(píng)估機(jī)構(gòu)應(yīng)根據(jù)標(biāo)準(zhǔn)規(guī)范對(duì)申請(qǐng)單位開展 能力評(píng)估，出具信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力評(píng)估報(bào)告， 并及時(shí)將申請(qǐng)單位能力評(píng)估有關(guān)情況報(bào)送等保辦。第十條 等保辦組織專家對(duì)通過能力評(píng)估的申請(qǐng)單位進(jìn) 行審核。審核通過的，頒發(fā)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推 薦證書。省級(jí)等保辦應(yīng)及時(shí)將本地等級(jí)測(cè)評(píng)機(jī)構(gòu)推薦情況報(bào)國 家等保辦，國家等保辦定期發(fā)布公告，在中國信息安全等 級(jí)保護(hù)網(wǎng)發(fā)布全國信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目 錄。第十一條 下列事項(xiàng)發(fā)生變更時(shí)，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)在變更后 5 個(gè)工作日內(nèi)向等保辦報(bào)告。（一）等級(jí)測(cè)評(píng)機(jī)構(gòu)名稱、地址、測(cè)評(píng)人員和主要負(fù)責(zé) 人發(fā)生變更的；（二）等級(jí)測(cè)評(píng)機(jī)構(gòu)法人、

6、股權(quán)結(jié)構(gòu)發(fā)生變更的；（三）其他重大事項(xiàng)發(fā)生變更的。省級(jí)等保辦應(yīng)及時(shí)將等級(jí)測(cè)評(píng)機(jī)構(gòu)變更情況報(bào)國家等保辦。第十二條 信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書有效期 為三年。等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)在推薦證書期滿前 30 日內(nèi)，向等 保辦申請(qǐng)復(fù)審。復(fù)審?fù)ㄟ^的等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)換發(fā)新證。復(fù)審 未通過的，等保辦應(yīng)督促其限期整改。省級(jí)等保辦應(yīng)及時(shí)將等級(jí)測(cè)評(píng)機(jī)構(gòu)期滿復(fù)審情況報(bào)國 家等保辦。第十三條 等級(jí)測(cè)評(píng)師上崗前，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)組織崗 前培訓(xùn)。培訓(xùn)合格的，由等級(jí)測(cè)評(píng)機(jī)構(gòu)配發(fā)上崗證。未取得測(cè)評(píng)師證書和上崗證的，不得參與等級(jí)測(cè)評(píng)項(xiàng)目等級(jí)測(cè)評(píng)師離職前，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)與其簽訂離職保密 承諾書，并收回上崗證。第十四條 等級(jí)測(cè)評(píng)師應(yīng)妥善保

7、管等級(jí)測(cè)評(píng)師證書、上 崗證，不得涂改、出借、出租和轉(zhuǎn)讓。第十五條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)本機(jī)構(gòu)等級(jí)測(cè)評(píng)師的 監(jiān)督管理，定期組織開展安全保密教育和業(yè)務(wù)培訓(xùn)。第十六條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)嚴(yán)格按照信息安全等級(jí)保護(hù) 標(biāo)準(zhǔn)規(guī)范公正、獨(dú)立地開展等級(jí)測(cè)評(píng)工作，依據(jù)模板出具信 息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告，確保測(cè)評(píng)質(zhì)量，全面、客觀地反 映被測(cè)信息系統(tǒng)的安全保護(hù)狀況。第十七條 等級(jí)測(cè)評(píng)機(jī)構(gòu)開展測(cè)評(píng)項(xiàng)目不受地域、行業(yè) 限制。等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)在測(cè)評(píng)項(xiàng)目合同簽訂以及項(xiàng)目完成后 5 個(gè)工作日內(nèi)，向受理信息系統(tǒng)備案的公安機(jī)關(guān)報(bào)告等級(jí)測(cè) 評(píng)項(xiàng)目有關(guān)情況。第十八條 測(cè)評(píng)項(xiàng)目實(shí)施過程中，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)接受 等保辦的監(jiān)督、檢查和指導(dǎo)。測(cè)評(píng)項(xiàng)目

8、完成后，等級(jí)測(cè)評(píng)機(jī) 構(gòu)應(yīng)請(qǐng)被測(cè)評(píng)信息系統(tǒng)運(yùn)營使用單位對(duì)測(cè)評(píng)服務(wù)情況進(jìn)行 評(píng)價(jià)，評(píng)價(jià)情況由被測(cè)單位反饋等保辦。第十九條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)定期向等保辦報(bào)送測(cè)評(píng)工作 開展情況。根據(jù)測(cè)評(píng)實(shí)踐，每年底編制并報(bào)送信息系統(tǒng)安全 狀況分析報(bào)告。第二十條 等級(jí)測(cè)評(píng)機(jī)構(gòu)實(shí)行等級(jí)化管理。根據(jù)信息系統(tǒng)測(cè)評(píng)數(shù)量、機(jī)構(gòu)規(guī)模、測(cè)評(píng)技術(shù)能力和服務(wù)質(zhì)量等指標(biāo)， 對(duì)等級(jí)測(cè)評(píng)機(jī)構(gòu)劃分為五個(gè)星級(jí)，最低為一星級(jí)，最高為五 星級(jí)。等級(jí)測(cè)評(píng)機(jī)構(gòu)星級(jí)評(píng)定標(biāo)準(zhǔn)由國家等保辦另行制定。第二十一條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)于每年底向等保辦提交星 級(jí)評(píng)定所需材料。等保辦負(fù)責(zé)組織所推薦等級(jí)測(cè)評(píng)機(jī)構(gòu)的星級(jí)評(píng)定審核 工作，并出具星級(jí)評(píng)定意見。省級(jí)等保辦應(yīng)及時(shí)將評(píng)定意見

9、 報(bào)國家等保辦審定，國家等保辦定期發(fā)布星級(jí)評(píng)定結(jié)果。第二十二條 取得信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書 未滿一年的，不參加星級(jí)評(píng)定。第二十三條 等保辦負(fù)責(zé)對(duì)所推薦等級(jí)測(cè)評(píng)機(jī)構(gòu)的日常 監(jiān)督檢查、測(cè)評(píng)項(xiàng)目抽查和年審工作，及時(shí)掌握等級(jí)測(cè)評(píng)機(jī) 構(gòu)工作情況。第二十四條 等保辦應(yīng)于每年底對(duì)所推薦的等級(jí)測(cè)評(píng)機(jī) 構(gòu)進(jìn)行年審。等級(jí)測(cè)評(píng)機(jī)構(gòu)自推薦之日起未滿 6 個(gè)月的，當(dāng) 年可免予年審。年審時(shí)，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)提交以下材料：（一）信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)年審表 ；（二）信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書副本；（三）年度測(cè)評(píng)工作總結(jié)；（四）其他所需材料。第二十五條 國家等保辦負(fù)責(zé)組織開展等級(jí)測(cè)評(píng)機(jī)構(gòu)能力驗(yàn)證和抽查工作第二

10、十六條 等級(jí)測(cè)評(píng)機(jī)構(gòu)有下列情形之一的，等保辦 應(yīng)責(zé)令其限期整改；情形嚴(yán)重的，予以通報(bào)。（一）未按照有關(guān)標(biāo)準(zhǔn)規(guī)范開展測(cè)評(píng)或未按規(guī)定出具信 息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告的；（二）影響被測(cè)評(píng)信息系統(tǒng)正常運(yùn)行，危害被測(cè)評(píng)信息 系統(tǒng)安全的；（三）非授權(quán)占有、使用，未妥善保管等級(jí)測(cè)評(píng)相關(guān)資 料及數(shù)據(jù)文件的；（四）分包或轉(zhuǎn)包等級(jí)測(cè)評(píng)項(xiàng)目，以及擾亂測(cè)評(píng)市場秩 序的；（五）限定被測(cè)評(píng)單位購買、 使用指定信息安全產(chǎn)品的；（六）測(cè)評(píng)人員未取得等級(jí)測(cè)評(píng)師證書和上崗證從事等 級(jí)測(cè)評(píng)活動(dòng)的；（七）未按本辦法規(guī)定向等保辦提交材料、報(bào)告情況或 弄虛作假的；（八）其他違反等級(jí)測(cè)評(píng)有關(guān)規(guī)定的行為。第二十七條 等級(jí)測(cè)評(píng)機(jī)構(gòu)有下列情形之一

11、的，等保辦 應(yīng)取消其信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書，并向社會(huì)公 告。（一）因單位股權(quán)、人員等情況發(fā)生變動(dòng)，不符合等級(jí)測(cè)評(píng)機(jī)構(gòu)基本條件的；二）有信息安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成行為的；（三）故意泄露被測(cè)評(píng)單位工作秘密、重要信息系統(tǒng)數(shù) 據(jù)信息的；（四）故意隱瞞測(cè)評(píng)過程中發(fā)現(xiàn)的安全問題，或者在測(cè) 評(píng)過程中弄虛作假未如實(shí)出具等級(jí)測(cè)評(píng)報(bào)告的；（五）一年內(nèi)未開展信息系統(tǒng)測(cè)評(píng)工作或自愿退出全 國信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄的；（六）連續(xù)兩年年審不合格或限期整改后仍未通過復(fù)審 的；（七）違反本辦法第二十六條規(guī)定，情節(jié)特別嚴(yán)重的。 第二十八條 等級(jí)測(cè)評(píng)師有下列行為之一的，等保辦應(yīng) 責(zé)令等級(jí)測(cè)評(píng)機(jī)構(gòu)督促其限期改正；情節(jié)嚴(yán)重的，責(zé)令等級(jí) 測(cè)評(píng)機(jī)構(gòu)暫停其參與測(cè)評(píng)工作；情形特別嚴(yán)重的，應(yīng)注銷其 等級(jí)測(cè)評(píng)師證書，并對(duì)其所在等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行通報(bào)。（一）未經(jīng)允許擅自使用或泄露、出售等級(jí)測(cè)評(píng)工作中 收集的數(shù)據(jù)信息、資料或信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告的；（二）違反本辦法第十四條規(guī)定，未妥善保管等級(jí)測(cè)評(píng) 師證書、上崗證，有涂改、出借、出租和轉(zhuǎn)讓等行為的；（三）測(cè)評(píng)行為失誤或不當(dāng)，影響信息系統(tǒng)安全或造成 運(yùn)營使用單位利益損失的