信息安全等级保护测评工作管理规范 下载本文

竭诚为您提供优质文档/双击可除

信息安全等级保护测评工作管理规范

篇一:信息安全等级保护测评工作管理规范(试行) 附件一:

信息安全等级保护测评工作管理规范 (试行)

第一条为加强信息安全等级保护测评机构建设和管理,规范等级测评活动,保障信息安全等级保护测评工作(以下简称“等级测评工作”)的顺利开展,根据《信息安全等级保护管理办法》等有关规定,制订本规范。

第二条本规范适用于等级测评机构和人员及其测评活动的管理。

第三条等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评

第 1 页 共 16 页

工作的机构。

第四条省级以上等保办负责等级测评机构的审核和推荐工作。

公安部信息安全等级保护评估中心(以下简称“评估中心”)负责测评机构的能力评估和培训工作。 第五条等级测评机构应当具备以下基本条件: (一)在中华人民共和国境内注册成立(港澳台地区除外);

(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);

(三)产权关系明晰,注册资金100万元以上; (四)从事信息系统检测评估相关工作两年以上,无违法记录;

(五)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;

(六)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人;

(七)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;

(八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;

第 2 页 共 16 页

(九)对国家安全、社会秩序、公共利益不构成威胁; (十)应当具备的其他条件。

第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。 测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等 工作的技术支持。不得从事下列活动:

(一)影响被测评信息系统正常运行,危害被测评信息系统安全;

(二)泄露知悉的被测评单位及被测信息系统的国家秘密和工作秘密;

(三)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告; (四)未按规定格式出具等级测评报告;

(五)非授权占有、使用等级测评相关资料及数据文件; (六)分包或转包等级测评项目;

(七)信息安全产品开发、销售和信息系统安全集成; (八)限定被测评单位购买、使用其指定的信息安全产品;

(九)其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。

第 3 页 共 16 页