网络安全等级保护考核细则.docxVIP

网络安全等级保护考核细则

一、总则

1.1编制目的

为规范网络安全等级保护考核工作，统一考核尺度，提升考核质量，依据《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）等法律法规与标准，制定本细则。

1.2适用范围

本细则适用于对已定级备案的信息系统开展等级保护符合性考核，涵盖第二级至第四级系统。考核对象包括运营使用单位、测评机构、监管单位及相关责任人员。

1.3考核原则

依法依规：以国家法律法规、行业规范、技术标准为准绳

客观公正：以事实为依据，以数据为支撑，杜绝主观臆断

风险导向：聚焦关键资产、核心数据、高危风险

闭环管理：发现问题、整改验证、持续改进形成闭环

二、考核组织与职责

2.1考核主体

主体类别

职责

行业监管单位

制定年度考核计划，组建考核组，发布考核通报

运营使用单位

提供真实完整材料，配合现场核查，限期完成整改

第三方测评机构

出具符合性测评报告，对结论真实性负责

公安机关

对第四级系统实施现场检查，出具整改意见书

2.2考核组构成

考核组由监管单位、公安网安、测评机构、行业专家四方组成，人数不少于5人且为奇数。组长由监管单位处级及以上职级人员担任，实行组长负责制。

2.3回避制度

考核组成员与被考核单位存在以下情形之一的，应当主动回避：

三年内存在劳动关系或持股关系

本人或直系亲属担任被考核单位顾