广东省信息安全等级测评机构管理办法

信息安全等级保护测评机构管理办法

第一条为加强信息安全等级保护测评机构管理，规范等级测评行为，提高测评技术能力和服务水平，根据《信息安全等级保护管理办法》等有关规定，制定本办法。

第二条等级测评工作，是指等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构，是指依据国家信息安全等级保护制度规定，具备本办法规定的基本条件，经审核推荐，从事等级测评等信息安全服务的机构。

第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针，按照“谁推荐、谁负责，谁审核、谁负责”的原则有序开展。

第四条等级测评机构应以提供等级测评服务为主，可根据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。

第五条国家信息安全等级保护工作协调小组办公室（以下简称“国家等保办”）负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请，并对其推荐

1的等级测评机构进行监督管理。

省级信息安全等级保护工作协调（领导）小组办公室（以下简称“省级等保办”）负责受理本省（区、直辖市）申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。

第六条申请成为等级测评机构的单位（以下简称“申请单位”）应具备以下基本条件：

（一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位；

（二）产权关系明晰，注册资金100万元以上；

（三）从事信息系统安全相关工作两年以上，无违法记录；

（四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；

（五）具有信息系统安全相关工作经验的技术人员，不少于10人；

（六）具备必要的办公环境、设备、设施，使用的技术装备、设施应满足测评工作需求；

（七）具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度；

（八）自觉接受等保办的监督、检查和指导，对国家安全、社会秩序、公共利益不构成威胁；

（九）不涉及信息安全产品开发、销售或信息系统安全

2集成等业务；

（十）应具备的其他条件。

第七条申请时，申请单位应向等保办提交以下材料：

（一）《信息安全等级保护测评机构申请表》；

（二）从事信息系统安全相关工作情况；

（三）检测评估工作所需软硬件及其他服务保障设施配备情况；

（四）有关管理制度建设情况；

（五）申请单位及其测评人员基本情况；

（六）应提交的其他材料。

等保办收到申请材料后，应在10个工作日内组织初审，并出具初审结果告知书。

第八条通过初审的申请单位，应及时参加指定评估机构组织的测评人员培训。考试合格的人员，取得等级测评师证书。

等级测评师分为初级、中级和高级。申请单位应至少有10人获得等级测评师证书，其中高级和中级测评师均不得少于1人。