信息安全等級保護(hù)等級測評實施細(xì)則doc信息安全等級測評第二條【合用范疇】本細(xì)則合用于等級測評機(jī)構(gòu)、測評人員和測評活動的規(guī)范治理。第三條【等級測評定義】等級測評是測評機(jī)構(gòu)根據(jù)國家信息安全等級愛惜制度規(guī)定，受有關(guān)單位托付，按照有關(guān)治理規(guī)范和技術(shù)原則，對信息系統(tǒng)安全等級愛惜狀況進(jìn)行檢測評定的活動。第五條【差不多原則】測評機(jī)構(gòu)應(yīng)當(dāng)按照有關(guān)規(guī)定和統(tǒng)一原則提供“客觀、公平、安全”的測評服務(wù)，按照統(tǒng)一的測評報告模版出具測評報告。第七條【治理體制】測評機(jī)構(gòu)應(yīng)當(dāng)同意各級信息安全等級愛惜和諧（領(lǐng)導(dǎo)）小組和公安網(wǎng)安部門的監(jiān)督治理，并同意有關(guān)部門的業(yè)務(wù)治理和技術(shù)指導(dǎo)。第二章測評機(jī)構(gòu)第八條【總體規(guī)定】測評機(jī)構(gòu)分為地區(qū)性、行業(yè)性測評機(jī)構(gòu)，按照屬地治理和行業(yè)治理相結(jié)合的原則進(jìn)行建設(shè)和治理。第九條【職責(zé)分工】國家信息安全等級愛惜和諧小組辦公室主管等級測評機(jī)構(gòu)的建設(shè)和治理工作，指導(dǎo)行業(yè)等級測評機(jī)構(gòu)的建設(shè)和治理工作，并托付專門的技術(shù)能力審驗機(jī)構(gòu)對測評機(jī)構(gòu)的技術(shù)能力進(jìn)行評定、審查并確認(rèn)。各?。▍^(qū)、市）等級愛惜和諧（領(lǐng)導(dǎo)）小組辦公室負(fù)責(zé)本地等級測評機(jī)構(gòu)的建設(shè)治理工作。第十條【差不多條件】申請成為等級測評機(jī)構(gòu)的單位（下列簡稱申請單位）應(yīng)當(dāng)含有下列差不多條件：（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；（三）產(chǎn)權(quán)關(guān)系明晰，注冊資金100萬元以上；（四）從事信息系統(tǒng)檢測評定有關(guān)工作兩年以上；（五）單位法人及要緊工作人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪統(tǒng)計；（六）含有勝任等級測評工作的專業(yè)技術(shù)人員和治理人員，大學(xué)本科（含）以上學(xué)歷所占比例不低于80%。其中測評技術(shù)人員許多于10人；（七）含有必要的辦公環(huán)境、設(shè)備、設(shè)施及完備的安全治理制度；（八）對國家安全、社會秩序、公共利益不構(gòu)成威逼;（九）應(yīng)當(dāng)含有的其它條件。第十一條【申請?zhí)峤弧康攸c申請單位應(yīng)向?qū)俚厥。▍^(qū)、市）等級愛惜和諧（領(lǐng)導(dǎo)）小組辦公室提交申請，行業(yè)申請單位向國家信息安全等級愛惜工作和諧小組辦公室提交申請，并填寫申請書，申請成為等級測評機(jī)構(gòu)。第十二條【申請材料】申請單位在申請時應(yīng)提供下列材料，并對申請材料的真實性負(fù)責(zé)。（一）《信息安全等級愛惜測評機(jī)構(gòu)申請書》；（二）本地公安網(wǎng)安部門的舉薦意見；（三）營業(yè)執(zhí)照及其它注冊證明文獻(xiàn)；（四）《內(nèi)設(shè)組織機(jī)構(gòu)與崗位設(shè)立情形表》；（五）《工作人員差不多情形表》、證明材料和聲明；（六）《辦公場地、設(shè)備與設(shè)施情形表》；（七）《安全測評設(shè)備、工具配備情形表》；（八）信息系統(tǒng)安全測評能力報告；（九）保密治理、項目治理、質(zhì)量治理、人員治理和培訓(xùn)教育等有關(guān)治理文獻(xiàn)；（十）需要提供的其它材料。第十三條【初審】省級（含）以上等級愛惜和諧（領(lǐng)導(dǎo)）小組辦公室收到申請材料后，應(yīng)在30日內(nèi)完畢初審。第十四條【技術(shù)能力審驗】初審?fù)ㄟ^的，由技術(shù)能力審驗機(jī)構(gòu)評定、審查并確認(rèn)申請單位的技術(shù)能力。技術(shù)能力審驗周期最長為一種月。審驗期滿前，技術(shù)能力審驗機(jī)構(gòu)應(yīng)向等級愛惜和諧（領(lǐng)導(dǎo)）小組辦公室出具審驗意見，并加蓋專門印章。第十五條【核準(zhǔn)】省級（含）以上等級愛惜和諧（領(lǐng)導(dǎo)）小組辦公室對通過技術(shù)能力審驗的申請單位進(jìn)行復(fù)核，并出具核準(zhǔn)意見。第十六條【名錄公布】測評機(jī)構(gòu)實施名錄治理。各省級信息安全等級愛惜和諧（領(lǐng)導(dǎo)）小組辦公室公布本地等級測評機(jī)構(gòu)名錄，并向國家信息安全等級愛惜工作和諧小組辦公室備案。國家信息安全等級愛惜工作和諧小組辦公室公布《全國信息安全等級測評機(jī)構(gòu)名錄》。第十七條【業(yè)務(wù)范疇】測評機(jī)構(gòu)應(yīng)當(dāng)在規(guī)定的業(yè)務(wù)范疇內(nèi)開展測評業(yè)務(wù)。地點測評機(jī)構(gòu)在本地開展測評業(yè)務(wù)，行業(yè)測評機(jī)構(gòu)在行業(yè)內(nèi)開展測評業(yè)務(wù)。行業(yè)測評機(jī)構(gòu)在地點開展測評業(yè)務(wù)前，應(yīng)與本地等級愛惜和諧（領(lǐng)導(dǎo)）小組辦公室和諧；承當(dāng)有關(guān)部門托付的安全測評專項任務(wù)；配合本地公安網(wǎng)安部門對信息系統(tǒng)進(jìn)行監(jiān)督、檢查；開展風(fēng)險評定、信息安全培訓(xùn)、咨詢服務(wù)和信息安全工程監(jiān)理；為本地信息安全等級愛惜工作提供技術(shù)支持和服務(wù)；其它有關(guān)文獻(xiàn)規(guī)定的職責(zé)任務(wù)。第十八條【嚴(yán)禁行為】測評機(jī)構(gòu)不得從事下列活動：承當(dāng)信息系統(tǒng)安全建設(shè)整治工作；將等級測評任務(wù)分包、外包；信息安全產(chǎn)品開發(fā)、營銷和信息系統(tǒng)集成活動；限定被測評單位購置、使用其指定的信息安全產(chǎn)品；未經(jīng)許可占有、使用有關(guān)測評信息、資料及數(shù)據(jù)文獻(xiàn)；其它可能妨礙測評客觀、公平的活動。第十九條【風(fēng)險告知】在開展測評過程中，對可能妨礙信息系統(tǒng)正常運行的，測評機(jī)構(gòu)應(yīng)當(dāng)事先告知被測評單位，并協(xié)助其采用對應(yīng)的防止方法。第二十條【人員治理】測評機(jī)構(gòu)應(yīng)當(dāng)建立完備的人員檔案，嚴(yán)格推行人員錄用、考核、離崗等程序，對進(jìn)入重要信息系統(tǒng)進(jìn)行測評的人員，應(yīng)當(dāng)進(jìn)行背景審查，確保人員可靠。第二十一條【制度治理】測評機(jī)構(gòu)應(yīng)當(dāng)建立并貫徹保密治理、項目治理、質(zhì)量治理、人員治理、培訓(xùn)教育等治理制度。第二十二條【能力建設(shè)】測評機(jī)構(gòu)要加強(qiáng)技術(shù)能力和治理能力建設(shè)，應(yīng)在測評機(jī)構(gòu)舉薦名錄公布后兩年內(nèi)最少通過一項實驗室或檢查機(jī)構(gòu)資質(zhì)認(rèn)定。第三章人員治理第二十三條【人員規(guī)定】測評人員應(yīng)恪守國家有關(guān)法律法規(guī)、技術(shù)原則和測評人員行為準(zhǔn)則，認(rèn)真推行本細(xì)則規(guī)定的責(zé)任和義務(wù)，為顧客提供安全、客觀、公平的測評服務(wù)，確保測評的質(zhì)量和成效。第二十四條【個人聲明】測評人員應(yīng)當(dāng)提供本人社會背景、工作經(jīng)歷和獎懲情形的證明材料，聲明有關(guān)材料的真實性并承當(dāng)法律責(zé)任。第二十五條【持證上崗】測評人員上崗前應(yīng)同意培訓(xùn)，培訓(xùn)合格的由測評機(jī)構(gòu)頒發(fā)上崗證。測評人員持證上崗。第二十六條【分級治理】測評機(jī)構(gòu)技術(shù)人員實施分級治理，由低到高分為初級等級測評師、中級等級測評師和高級等級測評師。測評技術(shù)人員應(yīng)當(dāng)同意專門業(yè)務(wù)培訓(xùn)，考試合格的獲得等級測評師證書。第二十七條【培訓(xùn)與考試】國家信息安全等級愛惜和諧小組辦公室制訂并公布培訓(xùn)打算，指定專門培訓(xùn)機(jī)構(gòu)具體承當(dāng)?shù)燃墱y評師的培訓(xùn)、考試工作。專門培訓(xùn)機(jī)構(gòu)向考試合格的人員頒發(fā)等級測評師證書。第二十八條【證書治理】專門培訓(xùn)機(jī)構(gòu)根據(jù)等級測評師證書治理辦法辦理證書的審核、頒發(fā)、建檔、公布、查詢、年審、換發(fā)和撤銷，并向省級以上等級愛惜工作和諧小組辦公室備案。第二十九條【備案】行業(yè)測評機(jī)構(gòu)每年應(yīng)將本單位等級測評師培訓(xùn)、獲證情形向國家信息安全等級愛惜工作和諧小組辦公室備案。地點測評機(jī)構(gòu)每年應(yīng)將本單位等級測評師培訓(xùn)、獲證情形向我?。▍^(qū)市）等級愛惜和諧（領(lǐng)導(dǎo)）小組辦公室備案。各地等級愛惜和諧（領(lǐng)導(dǎo)）小組辦公室每年應(yīng)將本地等級測評師培訓(xùn)、獲證情形向國家等級愛惜和諧小組辦公室備案。第三十條【年審治理】等級測評師實施年審制度。專門培訓(xùn)機(jī)構(gòu)對等級測評師每年進(jìn)行一第二年審，并將年審成果報等級愛惜和諧（領(lǐng)導(dǎo)）小組辦公室。對未通過年審的等級測評師，測評機(jī)構(gòu)應(yīng)暫停其開展測評工作。專門培訓(xùn)機(jī)構(gòu)應(yīng)對年審不通過的等級測評師開展培訓(xùn)。第三十一條【變更告知】等級測評機(jī)構(gòu)的要緊治理人員和技術(shù)人職工作變動的，應(yīng)及時到等級愛惜和諧（領(lǐng)導(dǎo)）小組辦公室變更備案。第三十二條【人員法律責(zé)任】測評人員在測評工作中含有徇私舞弊、收受賄賂等違反有關(guān)法律法規(guī)行為的，應(yīng)由專門培訓(xùn)機(jī)構(gòu)撤銷違規(guī)人員等級測評師證書，并按照有關(guān)規(guī)定進(jìn)行處分。第三十三條【顧客規(guī)定】信息系統(tǒng)運行使用單位應(yīng)當(dāng)選擇《等級測評機(jī)構(gòu)舉薦名錄》中的等級測評機(jī)構(gòu)，定時對信息系統(tǒng)開展等級測評，并加強(qiáng)對測評過程的監(jiān)督治理。第三十四條【整治前測評】信息系統(tǒng)安全建設(shè)整治前，信息系統(tǒng)運行使用單位能夠選擇測評機(jī)構(gòu)進(jìn)行等級測評，把握信息系統(tǒng)安全狀況，排查系統(tǒng)安全隱患和單薄環(huán)節(jié)，明確安全建設(shè)整治需求。第三十五條【整治后測評】信息系統(tǒng)安全建設(shè)整治后，信息系統(tǒng)運行使用單位應(yīng)當(dāng)再選擇測評機(jī)構(gòu)進(jìn)行等級測評，檢測系統(tǒng)安全愛惜狀況與原則規(guī)定的符合性，進(jìn)一步查找安全隱患和咨詢題，并進(jìn)行風(fēng)險分析，為進(jìn)一步整治提供根據(jù)。第三十六條【定時測評】第三級以上（含）信息系統(tǒng)應(yīng)當(dāng)每年最少進(jìn)行一次等級測評，測評完畢后，信息系統(tǒng)運行使用單位應(yīng)及時向受理備案的公安機(jī)關(guān)提交測評報告。第三十七條【測評機(jī)構(gòu)規(guī)范】測評機(jī)構(gòu)應(yīng)建立規(guī)范的質(zhì)量治理體系，根據(jù)《信息系統(tǒng)安全等級愛惜測評規(guī)定》等原則規(guī)范對信息系統(tǒng)進(jìn)行測評，按照公安部制訂的信息系統(tǒng)安全等級測評報告格式編制測評報告。第三十八條【測評費用】測評機(jī)構(gòu)應(yīng)當(dāng)參考國家信息化工程建設(shè)項目人工計費原則合理收取測評服務(wù)費用。為避免惡意競爭，妨礙測評質(zhì)量，測評機(jī)構(gòu)開展測評業(yè)務(wù)收費應(yīng)當(dāng)不低于最低收費限額。第三十九條【安全責(zé)任】測評機(jī)構(gòu)應(yīng)當(dāng)針對等級測評工作制訂保密治理規(guī)范，明確保密崗位與職責(zé)，定時對工作人員進(jìn)行保密教育，與其訂立《保密責(zé)任書》，規(guī)定應(yīng)當(dāng)推行的安全保密義務(wù)和承當(dāng)?shù)姆韶?zé)任，并負(fù)責(zé)檢查貫徹。第五章監(jiān)督治理測評機(jī)構(gòu)顯現(xiàn)下列情形之一的，按攝影應(yīng)規(guī)定和程序，由等級愛惜和諧（領(lǐng)導(dǎo)）機(jī)構(gòu)決定撤銷其測評機(jī)構(gòu)資格并及時向社會公示。（一）違反法律、法規(guī)并被起訴的；（二）發(fā)生重大泄密事件的；（