信息安全等級(jí)保護(hù)等級(jí)測(cè)評(píng)實(shí)施細(xì)則信息安全等級(jí)測(cè)評(píng)

信息安全等級(jí)保護(hù)等級(jí)測(cè)評(píng)實(shí)施細(xì)則doc信息安全等級(jí)測(cè)評(píng)第二條【合用范疇】本細(xì)則合用于等級(jí)測(cè)評(píng)機(jī)構(gòu)、測(cè)評(píng)人員和測(cè)評(píng)活動(dòng)的規(guī)范治理。第三條【等級(jí)測(cè)評(píng)定義】等級(jí)測(cè)評(píng)是測(cè)評(píng)機(jī)構(gòu)根據(jù)國(guó)家信息安全等級(jí)愛(ài)惜制度規(guī)定，受有關(guān)單位托付，按照有關(guān)治理規(guī)范和技術(shù)原則，對(duì)信息系統(tǒng)安全等級(jí)愛(ài)惜狀況進(jìn)行檢測(cè)評(píng)定的活動(dòng)。第五條【差不多原則】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)按照有關(guān)規(guī)定和統(tǒng)一原則提供“客觀、公平、安全”的測(cè)評(píng)服務(wù)，按照統(tǒng)一的測(cè)評(píng)報(bào)告模版出具測(cè)評(píng)報(bào)告。第七條【治理體制】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)同意各級(jí)信息安全等級(jí)愛(ài)惜和諧（領(lǐng)導(dǎo)）小組和公安網(wǎng)安部門(mén)的監(jiān)督治理，并同意有關(guān)部門(mén)的業(yè)務(wù)治理和技術(shù)指導(dǎo)。第二章測(cè)評(píng)機(jī)構(gòu)第八條【總體規(guī)定】測(cè)評(píng)機(jī)構(gòu)分為地區(qū)性、行業(yè)性測(cè)評(píng)機(jī)構(gòu)，按照屬地治理和行業(yè)治理相結(jié)合的原則進(jìn)行建設(shè)和治理。第九條【職責(zé)分工】國(guó)家信息安全等級(jí)愛(ài)惜和諧小組辦公室主管等級(jí)測(cè)評(píng)機(jī)構(gòu)的建設(shè)和治理工作，指導(dǎo)行業(yè)等級(jí)測(cè)評(píng)機(jī)構(gòu)的建設(shè)和治理工作，并托付專門(mén)的技術(shù)能力審驗(yàn)機(jī)構(gòu)對(duì)測(cè)評(píng)機(jī)構(gòu)的技術(shù)能力進(jìn)行評(píng)定、審查并確認(rèn)。各?。▍^(qū)、市）等級(jí)愛(ài)惜和諧（領(lǐng)導(dǎo)）小組辦公室負(fù)責(zé)本地等級(jí)測(cè)評(píng)機(jī)構(gòu)的建設(shè)治理工作。第十條【差不多條件】申請(qǐng)成為等級(jí)測(cè)評(píng)機(jī)構(gòu)的單位（下列簡(jiǎn)稱申請(qǐng)單位）應(yīng)當(dāng)含有下列差不多條件：（一）在中華人民共和國(guó)境內(nèi)注冊(cè)成立（港澳臺(tái)地區(qū)除外）；（二）由中國(guó)公民投資、中國(guó)法人投資或者國(guó)家投資的企事業(yè)單位（港澳臺(tái)地區(qū)除外）；（三）產(chǎn)權(quán)關(guān)系明晰，注冊(cè)資金100萬(wàn)元以上；（四）從事信息系統(tǒng)檢測(cè)評(píng)定有關(guān)工作兩年以上；（五）單位法人及要緊工作人員僅限于中華人民共和國(guó)境內(nèi)的中國(guó)公民，且無(wú)犯罪統(tǒng)計(jì)；（六）含有勝任等級(jí)測(cè)評(píng)工作的專業(yè)技術(shù)人員和治理人員，大學(xué)本科（含）以上學(xué)歷所占比例不低于80%。其中測(cè)評(píng)技術(shù)人員許多于10人；（七）含有必要的辦公環(huán)境、設(shè)備、設(shè)施及完備的安全治理制度；（八）對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成威逼;（九）應(yīng)當(dāng)含有的其它條件。第十一條【申請(qǐng)?zhí)峤弧康攸c(diǎn)申請(qǐng)單位應(yīng)向?qū)俚厥。▍^(qū)、市）等級(jí)愛(ài)惜和諧（領(lǐng)導(dǎo)）小組辦公室提交申請(qǐng)，行業(yè)申請(qǐng)單位向國(guó)家信息安全等級(jí)愛(ài)惜工作和諧小組辦公室提交申請(qǐng)，并填寫(xiě)申請(qǐng)書(shū)，申請(qǐng)成為等級(jí)測(cè)評(píng)機(jī)構(gòu)。第十二條【申請(qǐng)材料】申請(qǐng)單位在申請(qǐng)時(shí)應(yīng)提供下列材料，并對(duì)申請(qǐng)材料的真實(shí)性負(fù)責(zé)。（一）《信息安全等級(jí)愛(ài)惜測(cè)評(píng)機(jī)構(gòu)申請(qǐng)書(shū)》；（二）本地公安網(wǎng)安部門(mén)的舉薦意見(jiàn)；（三）營(yíng)業(yè)執(zhí)照及其它注冊(cè)證明文獻(xiàn)；（四）《內(nèi)設(shè)組織機(jī)構(gòu)與崗位設(shè)立情形表》；（五）《工作人員差不多情形表》、證明材料和聲明；（六）《辦公場(chǎng)地、設(shè)備與設(shè)施情形表》；（七）《安全測(cè)評(píng)設(shè)備、工具配備情形表》；（八）信息系統(tǒng)安全測(cè)評(píng)能力報(bào)告；（九）保密治理、項(xiàng)目治理、質(zhì)量治理、人員治理和培訓(xùn)教育等有關(guān)治理文獻(xiàn)；（十）需要提供的其它材料。第十三條【初審】省級(jí)（含）以上等級(jí)愛(ài)惜和諧（領(lǐng)導(dǎo)）小組辦公室收到申請(qǐng)材料后，應(yīng)在30日內(nèi)完畢初審。第十四條【技術(shù)能力審驗(yàn)】初審?fù)ㄟ^(guò)的，由技術(shù)能力審驗(yàn)機(jī)構(gòu)評(píng)定、審查并確認(rèn)申請(qǐng)單位的技術(shù)能力。技術(shù)能力審驗(yàn)周期最長(zhǎng)為一種月。審驗(yàn)期滿前，技術(shù)能力審驗(yàn)機(jī)構(gòu)應(yīng)向等級(jí)愛(ài)惜和諧（領(lǐng)導(dǎo)）小組辦公室出具審驗(yàn)意見(jiàn)，并加蓋專門(mén)印章。第十五條【核準(zhǔn)】省級(jí)（含）以上等級(jí)愛(ài)惜和諧（領(lǐng)導(dǎo)）小組辦公室對(duì)通過(guò)技術(shù)能力審驗(yàn)的申請(qǐng)單位進(jìn)行復(fù)核，并出具核準(zhǔn)意見(jiàn)。第十六條【名錄公布】測(cè)評(píng)機(jī)構(gòu)實(shí)施名錄治理。各省級(jí)信息安全等級(jí)愛(ài)惜和諧（領(lǐng)導(dǎo)）小組辦公室公布本地等級(jí)測(cè)評(píng)機(jī)構(gòu)名錄，并向國(guó)家信息安全等級(jí)愛(ài)惜工作和諧小組辦公室備案。國(guó)家信息安全等級(jí)愛(ài)惜工作和諧小組辦公室公布《全國(guó)信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)名錄》。第十七條【業(yè)務(wù)范疇】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)在規(guī)定的業(yè)務(wù)范疇內(nèi)開(kāi)展測(cè)評(píng)業(yè)務(wù)。地點(diǎn)測(cè)評(píng)機(jī)構(gòu)在本地開(kāi)展測(cè)評(píng)業(yè)務(wù)，行業(yè)測(cè)評(píng)機(jī)構(gòu)在行業(yè)內(nèi)開(kāi)展測(cè)評(píng)業(yè)務(wù)。行業(yè)測(cè)評(píng)機(jī)構(gòu)在地點(diǎn)開(kāi)展測(cè)評(píng)業(yè)務(wù)前，應(yīng)與本地等級(jí)愛(ài)惜和諧（領(lǐng)導(dǎo)）小組辦公室和諧；承當(dāng)有關(guān)部門(mén)托付的安全測(cè)評(píng)專項(xiàng)任務(wù)；配合本地公安網(wǎng)安部門(mén)對(duì)信息系統(tǒng)進(jìn)行監(jiān)督、檢查；開(kāi)展風(fēng)險(xiǎn)評(píng)定、信息安全培訓(xùn)、咨詢服務(wù)和信息安全工程監(jiān)理；為本地信息安全等級(jí)愛(ài)惜工作提供技術(shù)支持和服務(wù)；其它有關(guān)文獻(xiàn)規(guī)定的職責(zé)任務(wù)。第十八條【嚴(yán)禁行為】測(cè)評(píng)機(jī)構(gòu)不得從事下列活動(dòng)：承當(dāng)信息系統(tǒng)安全建設(shè)整治工作；將等級(jí)測(cè)評(píng)任務(wù)分包、外包；信息安全產(chǎn)品開(kāi)發(fā)、營(yíng)銷和信息系統(tǒng)集成活動(dòng)；限定被測(cè)評(píng)單位購(gòu)置、使用其指定的信息安全產(chǎn)品；未經(jīng)許可占有、使用有關(guān)測(cè)評(píng)信息、資料及數(shù)據(jù)文獻(xiàn)；其它可能妨礙測(cè)評(píng)客觀、公平的活動(dòng)。第十九條【風(fēng)險(xiǎn)告知】在開(kāi)展測(cè)評(píng)過(guò)程中，對(duì)可能妨礙信息系統(tǒng)正常運(yùn)行的，測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)事先告知被測(cè)評(píng)單位，并協(xié)助其采用對(duì)應(yīng)的防止方法。第二十條【人員治理】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)建立完備的人員檔案，嚴(yán)格推行人員錄用、考核、離崗等程序，對(duì)進(jìn)入重要信息系統(tǒng)進(jìn)行測(cè)評(píng)的人員，應(yīng)當(dāng)進(jìn)行背景審查，確保人員可靠。第二十一條【制度治理】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)建立并貫徹保密治理、項(xiàng)目治理、質(zhì)量治理、人員治理、培訓(xùn)教育等治理制度。第二十二條【能力建設(shè)】測(cè)評(píng)機(jī)構(gòu)要加強(qiáng)技術(shù)能力和治理能力建設(shè)，應(yīng)在測(cè)評(píng)機(jī)構(gòu)舉薦名錄公布后兩年內(nèi)最少通過(guò)一項(xiàng)實(shí)驗(yàn)室或檢查機(jī)構(gòu)資質(zhì)認(rèn)定。第三章人員治理第二十三條【人員規(guī)定】測(cè)評(píng)人員應(yīng)恪守國(guó)家有關(guān)法律法規(guī)、技術(shù)原則和測(cè)評(píng)人員行為準(zhǔn)則，認(rèn)真推行本細(xì)則規(guī)定的責(zé)任和義務(wù)，為顧客提供安全、客觀、公平的測(cè)評(píng)服務(wù)，確保測(cè)評(píng)的質(zhì)量和成效。第二十四條【個(gè)人聲明】測(cè)評(píng)人員應(yīng)當(dāng)提供本人社會(huì)背景、工作經(jīng)歷和獎(jiǎng)懲情形的證明材料，聲明有關(guān)材料的真實(shí)性并承當(dāng)法律責(zé)任。第二十五條【持證上崗】測(cè)評(píng)人員上崗前應(yīng)同意培訓(xùn)，培訓(xùn)合格的由測(cè)評(píng)機(jī)構(gòu)頒發(fā)上崗證。測(cè)評(píng)人員持證上崗。第二十六條【分級(jí)治理】測(cè)評(píng)機(jī)構(gòu)技術(shù)人員實(shí)施分級(jí)治理，由低到高分為初級(jí)等級(jí)測(cè)評(píng)師、中級(jí)等級(jí)測(cè)評(píng)師和高級(jí)等級(jí)測(cè)評(píng)師。測(cè)評(píng)技術(shù)人員應(yīng)當(dāng)同意專門(mén)業(yè)務(wù)培訓(xùn)，考試合格的獲得等級(jí)測(cè)評(píng)師證書(shū)。第二十七條【培訓(xùn)與考試】國(guó)家信息安全等級(jí)愛(ài)惜和諧小組辦公室制訂并公布培訓(xùn)打算，指定專門(mén)培訓(xùn)機(jī)構(gòu)具體承當(dāng)?shù)燃?jí)測(cè)評(píng)師的培訓(xùn)、考試工作。專門(mén)培訓(xùn)機(jī)構(gòu)向考試合格的人員頒發(fā)等級(jí)測(cè)評(píng)師證書(shū)。第二十八條【證書(shū)治理】專門(mén)培訓(xùn)機(jī)構(gòu)根據(jù)等級(jí)測(cè)評(píng)師證書(shū)治理辦法辦理證書(shū)的審核、頒發(fā)、建檔、公布、查詢、年審、換發(fā)和撤銷，并向省級(jí)以上等級(jí)愛(ài)惜工作和諧小組辦公室備案。第二十九條【備案】行業(yè)測(cè)評(píng)機(jī)構(gòu)每年應(yīng)將本單位等級(jí)測(cè)評(píng)師培訓(xùn)、獲證情形向國(guó)家信息安全等級(jí)愛(ài)惜工作和諧小組辦公室備案。地點(diǎn)測(cè)評(píng)機(jī)構(gòu)每年應(yīng)將本單位等級(jí)測(cè)評(píng)師培訓(xùn)、獲證情形向我?。▍^(qū)市）等級(jí)愛(ài)惜和諧（領(lǐng)導(dǎo)）小組辦公室備案。各地等級(jí)愛(ài)惜和諧（領(lǐng)導(dǎo)）小組辦公室每年應(yīng)將本地等級(jí)測(cè)評(píng)師培訓(xùn)、獲證情形向國(guó)家等級(jí)愛(ài)惜和諧小組辦公室備案。第三十條【年審治理】等級(jí)測(cè)評(píng)師實(shí)施年審制度。專門(mén)培訓(xùn)機(jī)構(gòu)對(duì)等級(jí)測(cè)評(píng)師每年進(jìn)行一第二年審，并將年審成果報(bào)等級(jí)愛(ài)惜和諧（領(lǐng)導(dǎo)）小組辦公室。對(duì)未通過(guò)年審的等級(jí)測(cè)評(píng)師，測(cè)評(píng)機(jī)構(gòu)應(yīng)暫停其開(kāi)展測(cè)評(píng)工作。專門(mén)培訓(xùn)機(jī)構(gòu)應(yīng)對(duì)年審不通過(guò)的等級(jí)測(cè)評(píng)師開(kāi)展培訓(xùn)。第三十一條【變更告知】等級(jí)測(cè)評(píng)機(jī)構(gòu)的要緊治理人員和技術(shù)人職工作變動(dòng)的，應(yīng)及時(shí)到等級(jí)愛(ài)惜和諧（領(lǐng)導(dǎo)）小組辦公室變更備案。第三十二條【人員法律責(zé)任】測(cè)評(píng)人員在測(cè)評(píng)工作中含有徇私舞弊、收受賄賂等違反有關(guān)法律法規(guī)行為的，應(yīng)由專門(mén)培訓(xùn)機(jī)構(gòu)撤銷違規(guī)人員等級(jí)測(cè)評(píng)師證書(shū)，并按照有關(guān)規(guī)定進(jìn)行處分。第三十三條【顧客規(guī)定】信息系統(tǒng)運(yùn)行使用單位應(yīng)當(dāng)選擇《等級(jí)測(cè)評(píng)機(jī)構(gòu)舉薦名錄》中的等級(jí)測(cè)評(píng)機(jī)構(gòu)，定時(shí)對(duì)信息系統(tǒng)開(kāi)展等級(jí)測(cè)評(píng)，并加強(qiáng)對(duì)測(cè)評(píng)過(guò)程的監(jiān)督治理。第三十四條【整治前測(cè)評(píng)】信息系統(tǒng)安全建設(shè)整治前，信息系統(tǒng)運(yùn)行使用單位能夠選擇測(cè)評(píng)機(jī)構(gòu)進(jìn)行等級(jí)測(cè)評(píng)，把握信息系統(tǒng)安全狀況，排查系統(tǒng)安全隱患和單薄環(huán)節(jié)，明確安全建設(shè)整治需求。第三十五條【整治后測(cè)評(píng)】信息系統(tǒng)安全建設(shè)整治后，信息系統(tǒng)運(yùn)行使用單位應(yīng)當(dāng)再選擇測(cè)評(píng)機(jī)構(gòu)進(jìn)行等級(jí)測(cè)評(píng)，檢測(cè)系統(tǒng)安全愛(ài)惜狀況與原則規(guī)定的符合性，進(jìn)一步查找安全隱患和咨詢題，并進(jìn)行風(fēng)險(xiǎn)分析，為進(jìn)一步整治提供根據(jù)。第三十六條【定時(shí)測(cè)評(píng)】第三級(jí)以上（含）信息系統(tǒng)應(yīng)當(dāng)每年最少進(jìn)行一次等級(jí)測(cè)評(píng)，測(cè)評(píng)完畢后，信息系統(tǒng)運(yùn)行使用單位應(yīng)及時(shí)向受理備案的公安機(jī)關(guān)提交測(cè)評(píng)報(bào)告。第三十七條【測(cè)評(píng)機(jī)構(gòu)規(guī)范】測(cè)評(píng)機(jī)構(gòu)應(yīng)建立規(guī)范的質(zhì)量治理體系，根據(jù)《信息系統(tǒng)安全等級(jí)愛(ài)惜測(cè)評(píng)規(guī)定》等原則規(guī)范對(duì)信息系統(tǒng)進(jìn)行測(cè)評(píng)，按照公安部制訂的信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告格式編制測(cè)評(píng)報(bào)告。第三十八條【測(cè)評(píng)費(fèi)用】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)參考國(guó)家信息化工程建設(shè)項(xiàng)目人工計(jì)費(fèi)原則合理收取測(cè)評(píng)服務(wù)費(fèi)用。為避免惡意競(jìng)爭(zhēng)，妨礙測(cè)評(píng)質(zhì)量，測(cè)評(píng)機(jī)構(gòu)開(kāi)展測(cè)評(píng)業(yè)務(wù)收費(fèi)應(yīng)當(dāng)不低于最低收費(fèi)限額。第三十九條【安全責(zé)任】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)針對(duì)等級(jí)測(cè)評(píng)工作制訂保密治理規(guī)范，明確保密崗位與職責(zé)，定時(shí)對(duì)工作人員進(jìn)行保密教育，與其訂立《保密責(zé)任書(shū)》，規(guī)定應(yīng)當(dāng)推行的安全保密義務(wù)和承當(dāng)?shù)姆韶?zé)任，并負(fù)責(zé)檢查貫徹。第五章監(jiān)督治理測(cè)評(píng)機(jī)構(gòu)顯現(xiàn)下列情形之一的，按攝影應(yīng)規(guī)定和程序，由等級(jí)愛(ài)惜和諧（領(lǐng)導(dǎo)）機(jī)構(gòu)決定撤銷其測(cè)評(píng)機(jī)構(gòu)資格并及時(shí)向社會(huì)公示。（一）違反法律、法規(guī)并被起訴的；（二）發(fā)生重大泄密事件的；（