信息安全等级保护测评机构管理规定

1、并对其推荐的等级测评机构进行监督管理。信息安全等级保护测评机构管理规定Company number 1089WT-1898YT-1W8CB-9UUT-92108信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理，规范等级测评行 为，提高测评技术能力和服务水平，根据信息安全等级保护管理办 法等有关规定，制定本办法。第二条等级测评工作，是指等级测评机构依据国家信息安全等级保 护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系 统安全等级保护状况进行检测评估的活动。等级测评机构，是指依据国家信息安全等级保护制度规定，具备本 办法规定的基本条件，经审核推荐，从事等级测

2、评等信息安全服务的机 构。第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全 规范的方针，按照“谁推荐、谁负责，谁审核、谁负责”的原则有序开 展。第四条等级测评机构应以提供等级测评服务为主，可根据信息系统 运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运 维、安全监理等服务。第五条国家信息安全等级保护工作协调小组办公室（以下简称“国 家等保办”）负责受理隶属国家信息安全职能部门和重点行业主管部门 申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。省级信息安全等级保护工作协调（领导）小组办公室（以下简称 “省级等保办”）负责受理本省（区、直辖市）申请单位提出的申请，第

3、六条申请成为等级测评机构的单位（以下简称“申请单位”）应 具备以下基本条件：（一）在中华人民共和国境内注册成立，由中国公民、法人投资或 者国家投资的企事业单位；（二）产权关系明晰，注册资金100万元以上；（三）从事信息系统安全相关工作两年以上，无违法记录；（四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪 记录；（五）具有信息系统安全相关工作经验的技术人员，不少于10人;（六）具备必要的办公环境、设备、设施，使用的技术装备、设施 应满足测评工作需求；（七）具有完备的安全保密管理、项目管理、质量管理、人员管理 和培训教育等规章制度；（八）自觉接受等保办的监督、检查和指导，对国家安全、社会

4、秩 序、公共利益不构成威胁；（九）不涉及信息安全产品开发、销售或信息系统安全集成等业 务；（+）应具备的其他条件。第七条申请时，申请单位应向等保办提交以下材料：（一）信息安全等级保护测评机构申请表；（二）从事信息系统安全相关工作情况；（三）检测评估工作所需软硬件及其他服务保障设施配备情况;（四）有关管理制度建设情况；（五）申请单位及其测评人员基本情况；（六）应提交的其他材料。等保办收到申请材料后，应在10个工作口内组织初市，并出具初审 结果告知书。第八条通过初审的申请单位，应及时参加指定评估机构组织的测评 人员培训。考试合格的人员，取得等级测评师证书。等级测评师分为初级、中级和高级。申请单位应

5、至少有10人获得等 级测评师证书，其中高级和中级测评师均不得少于1人。第九条指定评估机构应根据标准规范对申请单位开展能力评估，出 具信息安全等级保护测评机构能力评估报告，并及时将申请单位能力评 估有关情况报送等保办。第十条等保办组织专家对通过能力评估的申请单位进行审核。审核 通过的，颁发信息安全等级保护测评机构推荐证书。省级等保办应及时将本地等级测评机构推荐情况报国家等保办，国 家等保办定期发布公告，在中国信息安全等级保护网发布.全国信 息安全等级保护测评机构推荐目录。第十一条下列事项发生变更时，等级测评机构应在变更后5个工作 日内向等保办报告。（一）等级测评机构名称、地址、测评人员和主要负责

6、人发生变更的;（二）等级测评机构法人、股权结构发生变更的;（三）其他重大事项发生变更的。省级等保办应及时将等级测评机构变更情况报国家等保办。第十二条信息安全等级保护测评机构推荐证书有效期为三年。等级 测评机构应在推荐证书期满前30日内，向等保办申请复审。复审通过的 等级测评机构应换发新证。复审未通过的，等保办应督促其限期整改。省级等保办应及时将等级测评机构期满复市情况报国家等保办。第十三条等级测评师上岗前，等级测评机构应组织岗前培训。培训 合格的，由等级测评机构配发上岗证。未取得测评师证书和上岗证的， 不得参与等级测评项目。等级测评师离职前，等级测评机构应与其签订离职保密承诺书，并 收回上岗证

7、。第十四条等级测评师应妥善保管等级测评师证书、上岗证，不得涂 改、出借、出租和转让。第十五条等级测评机构应加强对本机构等级测评师的监督管理，定 期组织开展安全保密教育和业务培训。第十六条等级测评机构应严格按照信息安全等级保护标准规范公 正、独立地开展等级测评工作，依据模板出具信息系统安全等级测评报 告，确保测评质量，全面、客观地反映被测信息系统的安全保护状况。第十七条等级测评机构开展测评项目不受地域、行业限制。等级测 评机构应在测评项目合同签订以及项目完成后5个工作日内，向受理信 息系统备案的公安机关报告等级测评项目有关情况。第十八条测评项目实施过程中，等级测评机构应接受等保办的监 督、检查和

8、指导。测评项目完成后，等级测评机构应请被测评信息系统 运营使用单位对测评服务情况进行评价，评价情况由被测单位反馈等保 办。第十九条等级测评机构应定期向等保办报送测评工作开展情况。根 据测评实践，每年底编制并报送信息系统安全状况分析报告。第二十条等级测评机构实行等级化管理。根据信息系统测评数量、 机构规模、测评技术能力和服务质量等指标，对等级测评机构划分为五 个星级，最低为一星级，最高为五星级。等级测评机构星级评定标准由 国家等保办另行制定。第二十一条等级测评机构应于每年底向等保办提交星级评定所需材 料。等保办负责组织所推荐等级测评机构的星级评定审核工作，并出具 星级评定意见。省级等保办应及时将

9、评定意见报国家等保办审定，国家 等保办定期发布星级评定结果。第二十二条取得信息安全等级保护测评机构推荐证书未满一年的， 不参加星级评定。第二十三条等保办负责对所推荐等级测评机构的口常监督检查、测 评项目抽查和年审工作，及时掌握等级测评机构工作情况。第二十四条等保办应于每年底对所推荐的等级测评机构进行年审。等级测评机构自推荐之日起未满6个月的，当年可免予年审。年审时，等 级测评机构应提交以下材料:（一）信息安全等级保护测评机构年审表；（二）信息安全等级保护测评机构推荐证书副本；（三）年度测评工作总结；（四）其他所需材料。第二十五条国家等保办负责组织开展等级测评机构能力验证和抽查 工作。第二十六条

10、等级测评机构有下列情形之一的，等保办应责令其限期 整改；情形严重的，予以通报。（一）未按照有关标准规范开展测评或未按规定出具信息系统安全 等级测评报告的；（二）影响被测评信息系统正常运行，危害被测评信息系统安全 的；（三）非授权占有、使用，未妥善保管等级测评相关资料及数据文 件的；（四）分包或转包等级测评项目，以及扰乱测评市场秩序的；（五）限定被测评单位购买、使用指定信息安全产品的；（六）测评人员未取得等级测评师证书和上岗证从事等级测评活动 的；（七）未按本办法规定向等保办提交材料、报告情况或弄虚作假的;（八）其他违反等级测评有关规定的行为。第二十七条等级测评机构有下列情形之一的，等保办应取消

11、其信息 安全等级保护测评机构推荐证书，并向社会公告。（一）因单位股权、人员等情况发生变动，不符合等级测评机构基 本条件的；（二）有信息安全产品开发、销售或信息系统安全集成行为的；（三）故意泄露被测评单位工作秘密、重要信息系统数据信息的；（四）故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄 虚作假未如实出具等级测评报告的；（五）一年内未开展信息系统测评工作或自愿退出全国信息安全 等级保护测评机构推荐目录的；（六）连续两年年审不合格或限期整改后仍未通过复审的；（七）违反本办法第二十六条规定，情节特别严重的。第二十八条等级测评师有下列行为之一的，等保办应责令等级测评 机构督促其限期改正；情节严重的，责令等级测评机构暂停其参与测评 工作；情形特别严重的，应注销其等级测评师证书，并对其所在等级测 评机构进行通报。（一）未经允许擅自使用或泄露、出售等级测评工作中收集的数据 信息、资料或信息系统安全等级测评报告的；（二）违反本办法第十四条规定，未妥善保管等级测评师证书、上 岗证，有涂改、出借、出租和转让等行为的；（三）测评行为失误或不当，影响信息系统安全或造成运营使用单 位利益损失