信息安全等级测评实施细则(稿)

信息安全等级保护等级测评实施细则

第一章总则

第一条【目的】

为加强信息安全等级测评机构建设和管理，规范等级测评活动，保障信息安全等级保护制度的贯彻落实，根据《信息安全等级保护管理办法》等有关规范制订本实施细则。

第二条【适用范围】

本细则适用于等级测评机构、测评人员和测评活动的规范管理。

第三条【等级测评定义】

等级测评是测评机构依据国家信息安全等级保护制度规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。

第四条【测评机构定义】

测评机构是经有关部门能力认可，经有关部门推荐，在一定范围内从事信息系统安全等级测评等工作的专业技术机构。

第五条【基本原则】

测评机构应当按照有关规定和统一标准提供“客观、公正、安全”的测评服务，按照统一的测评报告模版出具测评报告。

第六条【保密要求】

测评机构和测评人员应当遵守《国家保密法》的规定，保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等。

第七条【管理体制】

测评机构应当接受各级信息安全等级保护协调（领导）小组和公安网安部门的监督管理，并接受有关部门的业务管理和技术指导。

第二章测评机构

第八条【总体要求】

测评机构分为地区性、行业性测评机构，按照属地管理和行业管理相结合的原则进行建设和管理。

第九条【职责分工】

国家信息安全等级保护协调小组办公室主管等级测评机构的建设和管理工作，指导行业等级测评机构的建设和管理工作，并委托专门的技术能力审验机构对测评机构的技术能力进行评估、审查并确认。

各省（区、市）等级保护协调（领导）小组办公室负责本地等级测评机构的建设管理工作。

第十条【基本条件】

申请成为等级测评机构的单位（以下简称申请单位）应当具备以下基本条件：

（一）在中华人民共和国境内注册成立（港澳台地区除外）；

（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；

（三）产权关系明晰，注册资金100万元以上；

（四）从事信息系统检测评估相关工作两年以上；

（五）单位法人及主要工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；

（六）具有胜任等级测评工作的专业技术人员和管理人员，大学本科（含）以上学历所占比例不低于80%。其中测评技术人员不少于10人；

（七）具备必要的办公环境、设备、设施及完备的安全管理制度；

（八）对国家安全、社会秩序、公共利益不构成威胁;

（九）应当具备的其他条件。

第十一条【申请提交】

地方申请单位应向属地省（区、市）等级保护协调（领导）小组办公室提交申请，行业申请单位向国家信息安全等级保护工作协调小组办公室提交申请，并填写申请书，申请成为等级测评机构。

第十二条【申请材料】

申请单位在申请时应提供以下材料，并对申请材料的真实性负责。

（一）《信息安全等级保护测评机构申请书》；

（二）当地公安网安部门的推荐意见；

（三）营业执照及其他注册证明文件；

（四）《内设组织机构与岗位设置情况表》；

（五）《工作人员基本情况表》、证明材料和声明；

（六）《办公场地、设备与设施情况表》；

（七）《安全测评设备、工具配备情况表》；

（八）信息系统安全测评能力报告；

（九）保密管理、项目管理、质量管理、人员管理和培训教育等相关管理文件；

（十）需要提供的其他材料。

第十三条【初审】

省级（含）以上等级保护协调（领导）小组办公室收到申请材料后，应在30日内完成初审。

第十四条【技术能力审验】

初审通过的，由技术能力审验机构评估、审查并确认申请单位的技术能力。