还剩6页未读,继续阅读
文本内容:
信息平安等级爱护测评机构管理方法第一条为加强信息平安等级爱护测评机构管理,规范等级测评行为,提高测评技术实力和服务水平,依据《信息平安等级爱护管理方法》等有关规定,制定本方法其次条等级测评工作,是指等级测评机构依据国家信息平安等级爱护制度规定,依据有关管理规范和技术标准,对非涉及国家隐私信息系统平安等级爱护状况进行检测评估的活动等级测评机构,是指依据国家信息平安等级爱护制度规定,具备本方法规定的基本条件,经审核举荐,从事等级测评等信息平安服务的机构第三条等级测评机构举荐管理工作遵循统筹规划、合理布局、平安规范的方针,依据“谁举荐、谁负责,谁审核、谁负责”的原则有序开展第四条等级测评机构应以供应等级测评服务为主,可依据信息系统运营运用单位平安保障需求,供应信息平安询问、应急保障、平安运维、平安监理等服务第五条国家信息平安等级爱护工作协调小组办公室(以下简称“国家等保办“)负责受理隶属国家信息平安职能部门和重点行业主管部门申请单位提出的申请,并对其举荐的等级测评机构进行监督管理省级信息平安等级爱护工作协调(领导)小组办公室(以下简称“省级等保办)负责受理本省(区、直辖市)申请单位提出的申请,并对其举荐的等级测评机构进行监督管理第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件
(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
(二)产权关系明晰,注册资金100万元以上;
(三)从事信息系统平安相关工作两年以上,无违法记录;
(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(五)具有信息系统平安相关工作阅历的技术人员,不少于10人;
(六)具备必要的办公环境、设备、设施,运用的技术装备、设施应满意测评工作需求;
(七)具有完备的平安保密管理、项目管理、质量管理、人员管理和培训教化等规章制度;(A)自觉接受等保办的监督、检查和指导,对国家平安、社会秩序、公共利益不构成威逼;
(九)不涉及信息平安产品开发、销售或信息系统平安集成等业务;
(十)应具备的其他条件第七条申请时,申请单位应向等保办提交以下材料
(一)《信息平安等级爱护测评机构申请表》;
(二)从事信息系统平安相关工作状况;
(三)检测评估工作所需软硬件及其他服务保障设施配备状况;
(四)有关管理制度建设状况;
(五)申请单位及其测评人员基本状况;
(六)应提交的其他材料等保办收到申请材料后,应在10个工作日内组织初审并出具初审结果告知书第八条通过初审的申请单位,应刚好参与指定评估机构组织的测评人员培训考试合格的人员,取得等级测评师证书等级测评师分为初级、中级和高级申请单位应至少有10人获得等级测评师证书,其中高级和中级测评师均不得少于1人第九条指定评估机构应依据标准规范对申请单位开展实力评估,出具信息平安等级爱护测评机构实力评估报告,并刚好将申请单位实力评估有关状况报送等保办第十条等保办组织专家对通过实力评估的申请单位进行审核审核通过的,颁发《信息平安等级爱护测评机构举荐证书》省级等保办应刚好将本地等级测评机构举荐状况报国家等保办,国家等保办定期发布公告,在《中国信息平安等级爱护网》发布《全国信息平安等级爱护测评机构举荐书目》第H■一条下列事项发生变更时,等级测评机构应在变更后5个工作日内向等保办报告
(一)等级测评机构名称、地址、测评人员和主要负责人发生变更的;
(二)等级测评机构法人、股权结构发生变更的;
(三)其他重大事项发生变更的省级等保办应刚好将等级测评机构变更状况报国家等保办第十二条信息平安等级爱护测评机构举荐证书有效期为三年等级测评机构应在举荐证书期满前30日内,向等保办申请复审复审通过的等级测评机构应换发新证复审未通过的,等保办应督促其限期整改省级等保办应刚好将等级测评机构期满复审状况报国家等保办第十三条等级测评师上岗前,等级测评机构应组织岗前培训培训合格的,由等级测评机构配发上岗证未取得测评师证书和上岗证的,不得参与等级测评项目等级测评师离职前,等级测评机构应与其签订离职保密承诺书,并收回上岗证第十四条等级测评师应妥当保管等级测评师证书、上岗证,不得涂改、出借、出租和转让第十五条等级测评机构应加强对本机构等级测评师的监督管理,定期组织开展平安保密教化和业务培训第十六条等级测评机构应严格依据信息平安等级爱护标准规范公正、独立地开展等级测评工作,依据模板出具信息系统平安等级测评报告,确保测评质量,全面、客观地反映被测信息系统的平安爱护状况第十七条等级测评机构开展测评项目不受地域、行业限制等级测评机构应在测评项目合同签订以及项目完成后5个工作日内,向受理信息系统备案的公安机关报告等级测评项目有关状况第十八条测评项目实施过程中,等级测评机构应接受等保办的监督、检查和指导测评项目完成后,等级测评机构应请被测评信息系统运营运用单位对测评服务状况进行评价,评价状况由被测单位反馈等保办第十九条等级测评机构应定期向等保办报送测评工作开展状况依据测评实践,每年底编制并报送信息系统平安状况分析报告其次十条等级测评机构实行等级化管理依据信息系统测评数量、机构规模、测评技术实力和服务质量等指标,对等级测评机构划分为五个星级,最低为一星级,最高为五星级等级测评机构星级评定标准由国家等保办另行制定其次十一条等级测评机构应于每年底向等保办提交星级评定所需材料等保办负责组织所举荐等级测评机构的星级评定审核工作,并出具星级评定看法省级等保办应刚好将评定看法报国家等保办审定,国家等保办定期发布星级评定结果其次十二条取得信息平安等级爱护测评机构举荐证书未满一年的,不参与星级评定其次十三条等保办负责对所举荐等级测评机构的日常监督检查、测评项目抽查和年审工作,刚好驾驭等级测评机构工作状况其次十四条等保办应于每年底对所举荐的等级测评机构进行年审等级测评机构自举荐之日起未满6个月的,当年可免予年审年审时,等级测评机构应提交以下材料
(一)《信息平安等级爱护测评机构年审表》;
(二)信息平安等级爱护测评机构举荐证书副本;
(三)年度测评工作总结;
(四)其他所需材料其次十五条国家等保办负责组织开展等级测评机构实力验证和抽查工作其次十六条等级测评机构有下列情形之一的,等保办应责令其限期整改;情形严峻的,予以通报
(一)未依据有关标准规范开展测评或未按规定出具信息系统平安等级测评报告的;
(二)影响被测评信息系统正常运行,危害被测评信息系统平安的;
(三)非授权占有、运用,未妥当保管等级测评相关资料及数据文件的;
(四)分包或转包等级测评项目,以及扰乱测评市场秩序的;
(五)限定被测评单位购买、运用指定信息平安产品的;
(六)测评人员未取得等级测评师证书和上岗证从事等级测评活动的;
(七)未按本方法规定向等保办提交材料、报告状况或弄虚作假的;
(八)其他违反等级测评有关规定的行为其次十七条等级测评机构有下列情形之一的,等保办应取消其信息平安等级爱护测评机构举荐证书,并向社会公告
(一)因单位股权、人员等状况发生变动,不符合等级测评机构基本条件的;
(二)有信息平安产品开发、销售或信息系统平安集成行为的;
(三)有意泄露被测评单位工作隐私、重要信息系统数据信息的;
(四)有意隐瞒测评过程中发觉的平安问题,或者在测评过程中弄虚作假未照实出具等级测评报告的;
(五)一年内未开展信息系统测评工作或自愿退出《全国信息平安等级爱护测评机构举荐书目》的;
(六)连续两年年审不合格或限期整改后仍未通过复审的;
(七)违反本方法其次十六条规定,情节特殊严峻的其次十八条等级测评师有下列行为之一的,等保办应责令等级测评机构督促其限期改正;情节严峻的,责令等级测评机构暂停其参与测评工作;情形特殊严峻的,应注销其等级测评师证书,并对其所在等级测评机构进行通报
(一)未经允许擅自运用或泄露、出售等级测评工作中收集的数据信息、资料或信息系统平安等级测评报告的;
(二)违反本方法第十四条规定,未妥当保管等级测评师证书、上岗证,有涂改、出借、出租和转让等行为的;
(三)测评行为失误或不当,影响信息系统平安或造成运营运用单位利益损失的;
(四)其他违反等级测评有关规定的行为其次十九条等级测评机构及其等级测评师违反本方法的相关规定,给被测评信息系统运营运用单位造成严峻危害和损失的,由相关部门依照有关法律、法规予以处理第三十条任何单位和个人如发觉等级测评机构、等级测评师有违法、违规行为的,可向国家等保办举报、投诉第三十一条本方法由国家等保办负责说明第三十二条本方法自发布之日起实施。