深圳市信息安全等级评测机构 .docVIP

PAGE PAGE 3 深圳市信息安全等级测评机构管理规范 为提高我市信息系统的安全保护能力和水平，规范信息安全等级保护管理，切实维护好国家安全、社会秩序和公共利益，我分局根据《信息安全等级保护管理办法》、《广东省计算机信息系统安全保护条例》及有关法律法规，结合本市实际，制定本规范。具体要求如下： 一、信息安全等级测评机构的分类、职责与义务 （一）本办法所称的信息安全等级测评机构是对信息系统进行测试评估，决定信息系统安全状况是否符合有关法规和标准的社会力量。可分为三类： 1、中央、国家直属或垂直系统单位授权或指定的测评机构为一类测评机构。 2、在本地开展信息系统等级测评服务，经向我分局提出备案申请，并通过省厅网监部门审查备案的安全服务机构为二类测评机构。 3、由取得公安机关信息安全等级测评培训证书的各行业内部安全专业人员，按照一定条件组成的行业测评队伍为行业自测队伍。 （二）信息安全等级测评机构应当遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果。 （三）信息安全等级测评机构应当保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险。 （四）信息安全等级测评机构应当对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。 二、二类测评机构备案应具备的条件 （一）在中华人民共和国境内注册成立（港澳台地区除外），具有相应经营范围的营业执照，注册资本100万元以上。 （二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）。 （三）近3年完成的测评项目总值150万元以上。 （四）具有计算机安全或相关专业资格证书的专业技术人员不少于20人，其中大学本科以上学历的人员不少于15人。 （五）管理人员应当具有3年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事安全测评工作不少于3年，无犯罪记录。 （六）工作人员仅限于中国公民，法人及主要业务、技术人员无犯罪记录。 （七）具有与所承担项目适应的技术装备和技术检测环境，且在我分局履行安全产品备案手续。 （八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度。 （九）对国家安全、社会秩序、公共利益不构成威胁。 三、行业测评队伍备案应具备的条件 （一）行业信息安全等级测评队伍主要负责本行业或本单位重要信息系统的自查及测评工作。 （二）行业信息安全等级测评队伍成员应当按照岗位职责划分，分别参加公安机关授权或委托的培训机构组织的信息安全管理责任人岗位、信息安全测评技术负责人岗位及信息安全评测技术员岗位的培训课程，并通过结业考试取得测评资格证书。 （三）行业信息安全等级测评队伍必须取得本行业主管单位或本单位主管部门的正式任命。测评队伍成员组成要求如下：一是1名具有从事计算机信息系统安全技术领域管理工作经历的高级工程师担任测评组组长；二是2名或2名以上具有获得计算机信息系统安全技术相关专业的职称、并具有从事安全测评工作经历的技术负责人担任副组长；三是至少5名或5名以上具有测评资格的技术人员作为测评组成员。 （四）行业信息安全等级测评队伍成员仅限于中国公民，主要业务、技术人员无犯罪记录。 （五）行业信息安全等级测评队伍在对本行业或本单位开展系统测评工作前，必须先取得行业主管单位或本单位测评工作授权文件。 （六）行业信息安全等级测评队伍应配备与所承担项目适应的技术装备，且在我分局履行安全产品备案手续。 （七）必须建立完备的保密管理、项目管理、质量管理、人员管理等安全管理制度。 （八）对国家安全、社会秩序、公共利益不构成威胁。 四、测评机构备案程序 （一）信息安全等级测评机构申请备案，应当向我分局提交下列资料： 1、备案申请书； 2、营业执照复印件； 3、管理人员和专业技术人员的身份证明、学历证明、计算机安全培训合格证书复印件和无犯罪证明； 4、技术装备情况及组织管理制度报告。 （二）我分局将在自接到申请材料之日起30日内对申请材料进行初审。初审合格的，报送省公安厅网监部门审查；初审不合格的，退回申请并说明理由。 （三）承担省直和中央驻粤单位信息安全等级测评工作的机构，可直接向省公安厅网监部门提出申请。 （四）行业信息安全等级测评队伍需向我分局履行备案手续，行业测评队伍主管单位应当向我分局提交下列资料： 1、行业测评队伍备案申请书； 2、行业测评队伍任命及测评工作授权文件； 3、行业测评队伍管理人员和专业技术人员的身份证明、学历证明、计算机安全培训合格证书复印件和无犯罪证明； 4、行业测评队伍技术装备情况及组织管理制度报告。 五、信息安全等级测评工作规范 （一）公