分享
2023年XX省信息安全等级测评机构管理办法.docx
下载文档

ID:1088907

大小:19.52KB

页数:9页

格式:DOCX

时间:2023-04-18

收藏 分享赚钱
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
2023 XX 信息 安全 等级 测评 机构 管理办法
XX省信息安全等级测评机构管理方法 信息安全等级保护测评机构管理方法 第一条为加强信息安全等级保护测评机构管理,标准等级测评行为,提高测评技术能力和效劳水平,根据信息安全等级保护管理方法等有关规定,制定本方法。 第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理标准和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构,是指依据国家信息安全等级保护制度规定,具备本方法规定的根本条件,经审核推荐,从事等级测评等信息安全效劳的机构。 第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全标准的方针,按照“谁推荐、谁负责,谁审核、谁负责〞的原那么有序开展。 第四条等级测评机构应以提供等级测评效劳为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等效劳。 第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办〞)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐 1的等级测评机构进行监督管理。 省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办〞)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。 第六条申请成为等级测评机构的单位(以下简称“申请单位〞)应具备以下根本条件: (一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位; (二)产权关系明晰,注册资金100万元以上; (三)从事信息系统安全相关工作两年以上,无违法记录; (四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录; (五)具有信息系统安全相关工作经验的技术人员,不少于10人; (六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求; (七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度; (八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁; (九)不涉及信息安全产品开发、销售或信息系统安全 2集成等业务; (十)应具备的其他条件。 第七条申请时,申请单位应向等保办提交以下材料: (一)信息安全等级保护测评机构申请表; (二)从事信息系统安全相关工作情况; (三)检测评估工作所需软硬件及其他效劳保障设施配备情况; (四)有关管理制度建设情况; (五)申请单位及其测评人员根本情况; (六)应提交的其他材料。 等保办收到申请材料后,应在10个工作日内组织初审,并出具初审结果告知书。 第八条通过初审的申请单位,应及时参加指定评估机构组织的测评人员培训。考试合格的人员,取得等级测评师证书。 等级测评师分为初级、中级和高级。申请单位应至少有10人获得等级测评师证书,其中高级和中级测评师均不得少于1人。 第九条指定评估机构应根据标准标准对申请单位开展能力评估,出具信息安全等级保护测评机构能力评估报告,并及时将申请单位能力评估有关情况报送等保办。 第十条等保办组织专家对通过能力评估的申请单位进 3行审核。审核通过的,颁发信息安全等级保护测评机构推荐证书。 省级等保办应及时将本地等级测评机构推荐情况报国家等保办,国家等保办定期发布公告,在中国信息安全等级保护网发布全国信息安全等级保护测评机构推荐目录。 第十一条以下事项发生变更时,等级测评机构应在变更后5个工作日内向等保办报告。 (一)等级测评机构名称、地址、测评人员和主要负责人发生变更的; (二)等级测评机构法人、股权结构发生变更的; (三)其他重大事项发生变更的。 省级等保办应及时将等级测评机构变更情况报国家等保办。 第十二条信息安全等级保护测评机构推荐证书有效期为三年。等级测评机构应在推荐证书期满前30日内,向等保办申请复审。复审通过的等级测评机构应换发新证。复审未通过的,等保办应催促其限期整改。 省级等保办应及时将等级测评机构期满复审情况报国家等保办。 第十三条等级测评师上岗前,等级测评机构应组织岗前培训。培训合格的,由等级测评机构配发上岗证。未取得 4测评师证书和上岗证的,不得参与等级测评项目。 等级测评师离职前,等级测评机构应与其签订离职保密承诺书,并收回上岗证。 第十四条等级测评师应妥善保管等级测评师证书、上岗证,不得涂改、出借、出租和转让。 第十五条等级测评机构应加强对本机构等级测评师的监督管理,定期组织开展安全保密教育和业务培训。 第十六条等级测评机构应严格按照信息安全等级保护标准标准公正、独立地开展等级测评工作,依据模板出具信息系统安全等级测评报告,确保测评质量,全面、客观地反映被测信息系统的安全保护状况。 第十七条等级测评机构开展测评项目不受地域、行业限制。等级测评机构应在测评项目合同签订以及项目完成后5个工作日内,向受理信息系统备案的公安机关报告等级测评项目有关情况。 第十八条测评项目实施过程中,等级测评机构应接受等保办的监督、检查和指导。测评项目完成后,等级测评机构应请被测评信息系统运营使用单位对测评效劳情况进行评价,评价情况由被测单位反响等保办。 第十九条等级测评机构应定期向等保办报送测评工作开展情况。根据测评实践,每年底编制并报送信息系统安全状况分析报告。 5第二十条等级测评机构实行等级化管理。根据信息系统测评数量、机构规模、测评技术能力和效劳质量等指标,对等级测评机构划分为五个星级,最低为一星级,最高为五星级。等级测评机构星级评定标准由国家等保办另行制定。 第二十一条等级测评机构应于每年底向等保办提交星级评定所需材料。 等保办负责组织所推荐等级测评机构的星级评定审核工作,并出具星级评定意见。省级等保办应及时将评定意见报国家等保办审定,国家等保办定期发布星级评定结果。 第二十二条取得信息安全等级保护测评机构推荐证书未满一年的,不参加星级评定。 第二十三条等保办负责对所推荐等级测评机构的日常监督检查、测评项目抽查和年审工作,及时掌握等级测评机构工作情况。 第二十四条等保办应于每年底对所推荐的等级测评机构进行年审。等级测评机构自推荐之日起未满6个月的,当年可免予年审。年审时,等级测评机构应提交以下材料: (一)信息安全等级保护测评机构年审表; (二)信息安全等级保护测评机构推荐证书副本; (三)年度测评工作总结; (四)其他所需材料。 第二十五条 国家等保办负责组织开展等级测评机构能 6力验证和抽查工作。 第二十六条等级测评机构有以下情形之一的,等保办应责令其限期整改;情形严重的,予以通报。 (一)未按照有关标准标准开展测评或未按规定出具信息系统安全等级测评报告的; (二)影响被测评信息系统正常运行,危害被测评信息系统安全的; (三)非授权占有、使用,未妥善保管等级测评相关资料及数据文件的; (四)分包或转包等级测评项目,以及扰乱测评市场秩序的; (五)限定被测评单位购置、使用指定信息安全产品的; (六)测评人员未取得等级测评师证书和上岗证从事等级测评活动的; (七)未按本方法规定向等保办提交材料、报告情况或弄虚作假的; (八)其他违反等级测评有关规定的行为。 第二十七条等级测评机构有以下情形之一的,等保办应取消其信息安全等级保护测评机构推荐证书,并向社会公告。 (一)因单位股权、人员等情况发生变动,不符合等级测评机构根本条件的; (二)有信息安全产品开发、销售或信息系统安全集成行为的; (三)成心泄露被测评单位工作秘密、重要信息系统数据信息的; (四)成心隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假未如实出具等级测评报告的; (五)一年内未开展信息系统测评工作或自愿退出全国信息安全等级保护测评机构推荐目录的; (六)连续两年年审不合格或限期整改后仍未通过复审的; (七)违反本方法第二十六条规定,情节特别严重的。第二十八条等级测评师有以下行为之一的,等保办应责令等级测评机构催促其限期改正;情节严重的,责令等级测评机构暂停其参与测评工作;情形特别严重的,应注销其等级测评师证书,并对其所在等级测评机构进行通报。 (一)未经允许擅自使用或泄露、出售等级测评工作中收集的数据信息、资料或信息系统安全等级测评报告的; (二)违反本方法第十四条规定,未妥善保管等级测评师证书、上岗证,有涂改、出借、出租和转让等行为的; (三)测评行为失误或不当,影响信息系统安全或造成运营使用单位利益损失的; (四)其他违反等级测评有关规定的行为。 8第二十九条等级测评机构及其等级测评师违反本方法的相关规定,给被测评信息系统运营使用单位造成严重危害和损失的,由相关部门依照有关法律、法规予以处理。 第三十条任何单位和个人如发现等级测评机构、等级测评师有违法、违规行为的,可向国家等保办举报、投诉。 第三十一条本方法由国家等保办负责解释。第三十二条本方法自发布之日起实施。 第9页 共9页

此文档下载收益归作者所有

下载文档
你可能关注的文档
收起
展开