《信息安全等级保测评机构管理办法》最新.doc

信息安全等级保护测评机构管理办法 第一条 为加强信息安全等级保护测评机构管理，规范等级测评行为，提高测评技术能力和服务水平，根据《信息安全等级保护管理办法》等有关规定，制定本办法。 第二条 等级测评工作，是指等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构，是指依据国家信息安全等级保护制度规定，具备本办法规定的基本条件，经审核推荐，从事等级测评等信息安全服务的机构。 第三条 等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针，按照“谁推荐、谁负责，谁审核、谁负责”的原则有序开展。 第四条 等级测评机构应以提供等级测评服务为主，可根据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。 第五条 国家信息安全等级保护工作协调小组办公室（以下简称“国家等保办”）负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请省级信息安全等级保护工作协调（领导）小组办公室（以下简称“省级等保办”）负责受理本省（区、直辖市）申请单位提出的申请第六条 申请成为等级测评机构的单位（以下简称“申请单位”）应具备以下基本条件： （一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位； （二）产权关系明晰，注册资金100万元以上； （三）从事信息系统安全相关工作两年以上，无违法记录； （四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； （五）具有信息系统安全相关工作经验的技术人员，不少于10人； （六）具备必要的办公环境、设备、设施，使用的技术装备、设施应满足测评工作需求； （七）具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度； （八）自觉接受等保办的监督、检查和指导，对国家安全、社会秩序、公共利益不构成威胁（九）不涉及信息安全产品开发、销售或信息系统安全集成等业务； （十）应具备的其他条件。 第七条 申请时，申请单位应向等保办提交以下材料： （一）测评机构申请表； （二）从事信息系统安全相关工作情况； （三）检测评估工作所需软硬件及其他服务保障设施配备情况； （四）有关管理制度建设情况； （五）申请单位及其测评人员基本情况； （六）应提交的其他材料。 等保办收到申请材料后，应在10个工作日内组织初审，并出具初审结果告知书。 第八条 通过初审的申请单位，应及时参加指定评估机构组织的测评人员培训。考试合格的人员，取得等级测评师证书。 等级测评师分为初级、中级和高级。申请单位应至少有10人获得等级测评师证书，其中高级和中级测评师均不得少于1人。 第九条 指定评估机构应根据标准规范对申请单位开展能力评估，出具能力评估报告，并及时将申请单位能力评估有关情况报送等保办。 第十条 等保办组织专家对通过能力评估的申请单位进行审核。审核通过的，信息安全等级保护测评机构推荐证书。 省级等保办应及时将本地等级测评机构推荐情况报国家等保办，国家等保办定期发布公告，在国信息安全等级保护网发布全国信息安全等级保护测评机构推荐目录。 第十一条 下列事项发生变更时，等级测评机构应在变更后5个工作日内向等保办报告。 （一）等级测评机构名称、地址、测评人员和主要负责人发生变更的； （二）等级测评机构法人、股权结构发生变更的； （三）其他重大事项发生变更的。 省级等保办应及时将等级测评机构变更情况报国家等保办。 第十二条 测评机构推荐证书有效期为三年。等级测评机构应在推荐证书期满前30日内，向等保办申请复审。复审通过的等级测评机构换发新证。复审未通过的，等保办应限期整改。 省级等保办应及时将等级测评机构期满复审情况报国家等保办。 第十三条 等级测评师上岗前，等级测评机构应岗前培训培训合格的由等级测评机构配发上岗证。未取得测评师证书和上岗证的，不得参与等级测评项目。 等级测评师离职前，等级测评机构应与其签订离职保密承诺书，并收回上岗证。 第十四条 等级测评师应妥善保管等级测评师证书、上岗证，不得涂改、出借、出租和转让。 第十五条 等级测评机构应加强对等级测评师的监督管理，定期组织安全保密教育和业务培训。 第十六条 等级测评机构应严格按照等级保护标准规范公正、独立地开展等级测评，依据模板出具信息系统安全等级测评报告，确保测评质量，全面、客观地反映被测信息系统的安全保护状况。 第十七条 等级测评机构开展测评项目不受地域、行业限制。等级测评机构应在测评项目合同签订以及项目完成后5个工作日内，受理信息系统备案的公安机关。 第十八条 测评项目实施过程中，等级测评机构应接受等保办的监督、检查和指导。测评项目完成后，等级测评机构应请被测评单位，由单位反馈等保办。 第十九条 等