信息安全等级测评实施细则(稿).pdfVIP

信息安全等级保护等级测评实施细则 第一章 总则 第一条 【目的】为加强信息安全等级测评机构建设和管 理，规范等级测评活动，保障信息安全等级保护制度的贯彻 落实，根据 《信息安全等级保护管理办法》等有关规范制订 本实施细则。 第二条【适用范围 】本细则适用于等级测评机构、测评 人员和测评活动的规范管理。 第三条 【等级测评定义】等级测评是测评机构依据国家 信息安全等级保护制度规定，受有关单位委托，按照有关管 理规范和技术标准，对信息系统安全等级保护状况进行检测 评估的活动。 第四条 【测评机构定义】测评机构是经有关部门能力认 可，经有关部门推荐，在一定范围内从事信息系统安全等级 测评等工作的专业技术机构。 第五条 【基本原则 】测评机构应当按照有关规定和统一 标准提供 “客观、公正、安全”的测评服务，按照统一的测 评报告模版出具测评报告。 第六条【保密要求 】测评机构和测评人员应当遵守 《国 家保密法》的规定，保守在测评活动中知悉的国家秘密、商 业秘密、敏感信息和个人隐私等。 第七条【管理体制】测评机构应当接受各级信息安全等 级保护协调 （领导）小组和公安网安部门的监督管理，并接 受有关部门的业务管理和技术指导。 第二章 测评机构 第八条 【总体要求】测评机构分为地区性、行业性测评 机构，按照属地管理和行业管理相结合的原则进行建设和管 理。 第九条 【职责分工 】国家信息安全等级保护协调小组办 公室主管等级测评机构的建设和管理工作，指导行业等级测 评机构的建设和管理工作，并委托专门的技术能力审验机构 对测评机构的技术能力进行评估、审查并确认。 各省 （区、市）等级保护协调（领导）小组办公室负责 本地等级测评机构的建设管理工作。 第十条 【基本条件 】申请成为等级测评机构的单位 （以 下简称申请单位 ）应当具备以下基本条件： （一）在中华人民共和国境内注册成立（港澳台地区除 外）； （二）由中国公民投资、中国法人投资或者国家投资的 企事业单位 （港澳台地区除外）； （三）产权关系明晰，注册资金 100 万元以上； （四）从事信息系统检测评估相关工作两年以上； （五）单位法人及主要工作人员仅限于中华人民共和国 境内的中国公民，且无犯罪记录； （六）具有胜任等级测评工作的专业技术人员和管理人 员，大学本科 （含）以上学历所占比例不低于 80%。其中测 评技术人员不少于 10 人； （七）具备必要的办公环境、设备、设施及完备的安全 管理制度； （八）对国家安全、社会秩序、公共利益不构成威胁; （九）应当具备的其他条件。 第十一条 【申请提交】地方申请单位应向属地省 （区、 市）等级保护协调 （领导）小组办公室提交申请，行业申请 单位向国家信息安全等级保护工作协调小组办公室提交申 请，并填写 申请书，申请成为等级测评机构。 第十二条 【申请材料】申请单位在申请时应提供以下材 料，并对申请材料的真实性负责。 （一）《信息安全等级保护测评机构申请书》； （二）当地公安网安部门的推荐意见； （三）营业执照及其他注册证明文件； （四）《内设组织机构与岗位设置情况表》； （五）《工作人员基本情况表》、证明材料和声明； （六）《办公场地、设备与设施情况表》； （七）《安全测评设备、工具配备情况表》； （八）信息系统安全测评能力报告； （九）保密管理、项目管理、质量管理、人员管理和培 训教育等相关管理文件； （十 ） 要提供的其他材料。 第十三条 【初审 】省级 （含）以上等级保护协调 （领导） 小组办公室收到申请材料后 ，应在30 日内完成初审。 第十四条 【技术能力审验 】初审通过的，由技术能力审 验机构评估、审查并确认申请单位的技术能力。 技术能力审验周期最长为一个月。审验