关于推动等保测评体系建设和测评工作的通知

关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知
公信安[2010]303号
 
各省、自治区、直辖市公安厅、局网络安全保卫（公共信息网络安全监察、网络警察）总队（处）、新疆生产建设兵团公安局公共信息网络安全监察处：
为进一步贯彻落实公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）精神，加快信息安全等级保护测评体系建设，提高测评机构能力，规范测评活动，确保信息安全等级保护安全建设整改工作顺利进行，满足信息安全等级保护工作的迫切需要，我局决定在全国部署开展信息安全等级保护测评体系建设和等级测评工作。现将有关事项通知如下：
一、工作目标
（一）通过广泛宣传和正确引导，鼓励更多的有关企事业单位从事信息安全等级保护测评工作，满足信息安全等级保护测评工作的迫切需要。
（二）通过对测评机构进行统一的能力评估和严格审核，保证测评机构的水平和能力达到有关标准规范要求。
（三）加强对测评机构的安全监督，规范其测评活动，保证为备案单位提供客观、公正和安全的测评服务。
（四）督促备案单位开展等级测评工作，为开展等级保护安全建设整改工作奠定基础，使信息系统安全保护状况逐步达到等级保护要求。
二、工作内容
各地要按照《关于开展信息安全等级保护安全建设整改工作的指导意见》要求，结合本地实际组织开展以下工作：
（一）统筹规划，正确引导，积极稳妥地推动等级测评机构建设。结合本地已定级备案信息系统数量和分布情况，从满足等级测评工作的实际需要出发，统筹规划、合理布局测评机构的规模和数量，积极引导本地符合规定条件、有良好信誉的企事业单位从事等级测评工作，按照成熟一个发展一个的原则，有计划、积极稳妥地推动测评机构建设。
（二）规范流程，严格把关，确保测评机构的水平和能力符合测评工作要求。依据《信息安全等级保护测评工作管理规范（试行）》（见附件一），对申请成为测评机构的单位严格把关，按照申请受理、测评能力评估、审核、推荐的流程，认真开展测评机构评审和推荐工作。同时，要加强对等级测评机构的监督管理和指导，确保测评机构的水平和能力符合要求以及测评活动客观、公正和安全。
（三）督促备案单位开展信息系统等级测评工作，确保安全建设整改工作的顺利开展。督促信息系统备案单位尽快委托测评机构开展等级测评，2010年底前完成测评体系建设，并完成30%第三级（含）以上信息系统的测评工作，2011年底前完成第三级（含）以上信息系统的测评工作，2012年底之前完成第三级（含）以上信息系统的安全建设整改工作。
三、工作要求
（一）高度重视，落实责任。要充分认识开展等级测评体系建设和等级测评工作的重要性，加强组织领导，落实责任。确定主管领导，落实专门管理人员，负责受理申请、审核、监督管理以及其他日常对测评机构、测评人员的管理工作。
（二）制定计划，加强监督。要尽快确定本地等级测评体系建设和测评工作的计划，制定贯彻实施意见和方案。要督促、检查本地测评机构依据有关标准开展等级测评活动，按照《信息系统安全等级测评报告模版（试行）》（公信安[2009]1487号）编制测评报告。
（三）加强指导，积极宣传。要加强对本地备案单位和测评机构等级测评工作的指导，指导测评机构对测评人员开展教育培训，不断提高测评人员的安全意识和业务能力。要充分利用会议、网站和其他媒体，加大对等级测评工作有关政策和相关标准的宣传力度，推动等级测评工作的顺利开展。
各地开展等级保护测评体系建设和测评工作的情况要及时上报。工作中有何问题，请及时报我局。
 
二〇一〇年三月十二日
 
信息安全等级保护测评工作管理规范
（试行）
 
第一条 为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作（以下简称“等级测评工作”）的顺利开展，根据《信息安全等级保护管理办法》等有关规定，制订本规范。
第二条 本规范适用于等级测评机构和人员及其测评活动的管理。
第三条 等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。
第四条 省级以上等保办负责等级测评机构的审核和推荐工作。
公安部信息安全等级保护评估中心（以下简称“评估中心”）负责测评机构的能力评估和培训工作。
第五条 等级测评机构应当具备以下基本条件：
（一）在中华人民共和国境内注册成立（港澳台地区除外）；
（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；
（三）产权关系明晰，注册资金100万元以上；
（四）从事信息系统检测评估相关工作两年以上，无违法记录；
（五）工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；
（六）具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人；
（七）具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求；
（八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；
（九）对国家安全、社会秩序、公共利益不构成威胁;
（十）应当具备的其他条件。
第六条 测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。
测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。不得从事下列活动：
（一）影响被测评信息系统正常运行，危害被测评信息系统安全；
（二）泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密；
（三）故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假，未如实出具等级测评报告；
（四）未按规定格式出具等级测评报告；
（五）非授权占有、使用等级测评相关资料及数据文件；
（六）分包或转包等级测评项目；
（七）信息安全产品开发、销售和信息系统安全集成；
（八）限定被测评单位购买、使用其指定的信息安全产品；
（九）其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。
第七条 申请成为等级测评机构的单位（以下简称“申请单位”）应当向省级以上等保办申请。
国家信息安全等级保护工作协调小组办公室负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请。省级等保办负责受理本省（区、直辖市）申请单位提出的申请。
申请单位申请时，等保办应当告知测评机构的条件、从事的业务范围以及禁止行为等内容，使申请单位清楚了解测评机构的责任和义务。
第八条 知悉有关规定并愿意成为测评机构的申请单位，可以向省级以上等保办提出书面申请，如实填写《信息安全等级保护测评机构申请表》。
申请单位的人员应当如实填写人员基本情况表，并承诺对信息的真实性和有效性负责。
省级以上等保办对申请单位进行初审，初审通过的，应当告知申请单位到评估中心进行测评能力评估。
第九条 评估中心按照有关标准规范，在30个工作日内完成对申请单位的材料审查和现场核查工作。
测评人员参加由评估中心举办的专门培训、考试并取得评估中心颁发的《等级测评师证书》（等级测评师分为初级、中级和高级）。等级测评人员需持等级测评师证上岗。
评估中心综合评估申请单位的测评能力，测评能力评估合格的，出具评估报告。
第十条 省级以上等保办组织专家对测评能力评估合格的申请单位及其测评人员进行审核。
第十一条 通过审核的，由省级以上等保办向申请单位颁发信息安全等级保护测评机构推荐证书，并向社会公布测评机构推荐目录。
省级等保办将测评机构推荐目录报国家信息安全等级保护工作协调小组办公室，国家信息安全等级保护工作协调小组办公室汇总公布《全国信息安全等级保护测评机构推荐目录》。
第十二条 测评机构应按照公安部统一制订的《信息系统安全等级测评报告模版（试行）》格式出具测评报告，根据信息系统规模和所投入的成本，合理收取测评服务费用。
第十三条 省级以上等保办每年对所推荐的测评机构进行检查。检查时，测评机构应提交《信息安全等级保护测评机构检查表》。
第十四条 测评机构名称、法人等事项发生变化的，或者其等级测评师变动的，测评机构应在30日内到受理申请的省级以上等保办办理变更手续。
第十五条 测评机构应当严格遵循申诉、投诉及争议处理制度，妥善处理争议事件，及时采取纠正和改进措施。
第十六条 测评机构或者其测评人员违反本规范第六条规定之一或年度检查未通过的，由省级以上等保办责令其限期改正；逾期不改正的，给予警告，直至取消测评机构的推荐证书或等级测评师证书，并向社会公告；造成严重损害的，由相关部门依照有关法律、法规予以处理。
第十七条 测评机构或者测评人员违反本规范的规定，给被测评单位造成损失的，应当依法承担法律责任。
第十八条 本规范由国家信息安全等级保护工作协调小组办公室负责解释。
第十九条 本规范中省级以上含省级。
第二十条 本规范自发布之日起施行。