广东省信息安全等级测评机构管理办法
信息安全等级保护测评机构管理办法
第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。
第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。
第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。
第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐
1的等级测评机构进行监督管理。
省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:
(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
(二)产权关系明晰,注册资金100万元以上;
(三)从事信息系统安全相关工作两年以上,无违法记录;
(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(五)具有信息系统安全相关工作经验的技术人员,不少于10人;
(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;
(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;
(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;
(九)不涉及信息安全产品开发、销售或信息系统安全
2集成等业务;
(十)应具备的其他条件。
第七条申请时,申请单位应向等保办提交以下材料:
(一)《信息安全等级保护测评机构申请表》;
(二)从事信息系统安全相关工作情况;
(三)检测评估工作所需软硬件及其他服务保障设施配备情况;
(四)有关管理制度建设情况;
(五)申请单位及其测评人员基本情况;
(六)应提交的其他材料。
等保办收到申请材料后,应在10个工作日内组织初审,并出具初审结果告知书。
第八条通过初审的申请单位,应及时参加指定评估机构组织的测评人员培训。考试合格的人员,取得等级测评师证书。
等级测评师分为初级、中级和高级。申请单位应至少有10人获得等级测评师证书,其中高级和中级测评师均不得少于1人。
第九条指定评估机构应根据标准规范对申请单位开展能力评估,出具信息安全等级保护测评机构能力评估报告,并及时将申请单位能力评估有关情况报送等保办。
第十条等保办组织专家对通过能力评估的申请单位进
3行审核。审核通过的,颁发《信息安全等级保护测评机构推荐证书》。
省级等保办应及时将本地等级测评机构推荐情况报国家等保办,国家等保办定期发布公告,在《中国信息安全等级保护网》发布《全国信息安全等级保护测评机构推荐目录》。
第十一条下列事项发生变更时,等级测评机构应在变更后5个工作日内向等保办报告。
(一)等级测评机构名称、地址、测评人员和主要负责人发生变更的;
(二)等级测评机构法人、股权结构发生变更的;
(三)其他重大事项发生变更的。
省级等保办应及时将等级测评机构变更情况报国家等保办。
第十二条信息安全等级保护测评机构推荐证书有效期为三年。等级测评机构应在推荐证书期满前30日内,向等保办申请复审。复审通过的等级测评机构应换发新证。复审未通过的,等保办应督促其限期整改。
省级等保办应及时将等级测评机构期满复审情况报国家等保办。
第十三条等级测评师上岗前,等级测评机构应组织岗前培训。培训合格的,由等级测评机构配发上岗证。未取得
此处内容需要权限查看
会员免费查看8第二十九条等级测评机构及其等级测评师违反本办法的相关规定,给被测评信息系统运营使用单位造成严重危害和损失的,由相关部门依照有关法律、法规予以处理。
第三十条任何单位和个人如发现等级测评机构、等级测评师有违法、违规行为的,可向国家等保办举报、投诉。
第三十一条本办法由国家等保办负责解释。第三十二条本办法自发布之日起实施。