網(wǎng)絡(luò)安全等級保護測評機構(gòu)管理辦法【最新版】_第1頁
網(wǎng)絡(luò)安全等級保護測評機構(gòu)管理辦法【最新版】_第2頁
網(wǎng)絡(luò)安全等級保護測評機構(gòu)管理辦法【最新版】_第3頁
網(wǎng)絡(luò)安全等級保護測評機構(gòu)管理辦法【最新版】_第4頁
網(wǎng)絡(luò)安全等級保護測評機構(gòu)管理辦法【最新版】_第5頁
已閱讀5頁,還剩15頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、網(wǎng)絡(luò)安全等級保護測評機構(gòu)管理辦法第一章總則第一條 為加強網(wǎng)絡(luò)安全等級保護測評機構(gòu)(以下簡稱“測評機 構(gòu)”)管理,規(guī)范測評行為,提高等級測評能力和服務(wù)水平,根據(jù)中 華人民共和國網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級保護制度要求,制定本辦 法。第二條等級測評工作,是指測評機構(gòu)依據(jù)國家網(wǎng)絡(luò)安全等級保 護制度規(guī)定,按照有關(guān)管理規(guī)范和技術(shù)標準,對已定級備案的非涉及 國家秘密的網(wǎng)絡(luò)(含信息系統(tǒng)、數(shù)據(jù)資源等)的安全保護狀況進行檢測 評估的活動。測評機構(gòu),是指依據(jù)國家網(wǎng)絡(luò)安全等級保護制度規(guī)定,符合本辦 法規(guī)定的基本條件,經(jīng)省級以上網(wǎng)絡(luò)安全等級保護工作領(lǐng)導(協(xié)調(diào))小 組辦公室(以下簡稱“等保辦”)審核推薦,從事等級測評工作的

2、機構(gòu)。第三條測評機構(gòu)實行推薦目錄管理。測評機構(gòu)由省級以上等保 辦根據(jù)本辦法規(guī)定,按照統(tǒng)籌規(guī)劃、合理布局的原則,擇優(yōu)推薦。第四條測評機構(gòu)聯(lián)合成立測評聯(lián)盟。測評聯(lián)盟按照章程和有關(guān)測評規(guī)范,加強行業(yè)自律,提高測評技術(shù)能力和服務(wù)質(zhì)量。測評聯(lián)盟 在國家等保辦指導下開展工作。第五條測評機構(gòu)應(yīng)按照國家有關(guān)網(wǎng)絡(luò)安全法律法規(guī)規(guī)定和標準 規(guī)范要求,為用戶提供科學、安全、客觀、公正的等級測評服務(wù)。第二章測評機構(gòu)申請第六條申請成為測評機構(gòu)的單位(以下簡稱“申請單位”)需向省 級以上等保辦提出申請。國家等保辦負責受理隸屬國家網(wǎng)絡(luò)安全職能部門和重點行業(yè)主 管部門的申請,對申請單位進行審核、推薦;監(jiān)督管理全國測評機構(gòu)。省級

3、等保辦負責受理本?。▍^(qū)、直轄市)申請單位的申請,對申請 單位進行審核、推薦;監(jiān)督管理其推薦的測評機構(gòu)。第七條申請單位應(yīng)具備以下基本條件:(一)在中華人民共和國境內(nèi)注冊成立,由中國公民、法人投資或 者國家投資的企事業(yè)單位;(二)產(chǎn)權(quán)關(guān)系明晰,注冊資金500萬元以上,獨立經(jīng)營核算,無 違法違規(guī)記錄;(三)從事網(wǎng)絡(luò)安全服務(wù)兩年以上,具備一定的網(wǎng)絡(luò)安全檢測評估 能力;(四)法人、主要負責人、測評人員僅限中華人民共和國境內(nèi)的中 國公民,且無犯罪記錄;(五)具有網(wǎng)絡(luò)安全相關(guān)工作經(jīng)歷的技術(shù)和管理人員不少于15 人,專職滲透測試人員不少于2人,崗位職責清晰,且人員相對穩(wěn) 定;(六)具有固定的辦公場所,配備滿足

4、測評業(yè)務(wù)需要的檢測評估工 具、實驗環(huán)境等;卜七)具有完備的安全保密管理、項目管理、質(zhì)量管理、人員管理、 檔案管理和培訓教育等規(guī)章制度;(八)不涉及網(wǎng)絡(luò)安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成等可能 影響測評結(jié)果公正性的業(yè)務(wù)伯用除外);(九)應(yīng)具備的其他條件。第八條申請時,申請單位應(yīng)向等保辦提交以下材料:(一)網(wǎng)絡(luò)安全等級保護測評機構(gòu)推薦申請表;(二)近兩年從事網(wǎng)絡(luò)安全服務(wù)情況以及網(wǎng)絡(luò)安全服務(wù)項目完整文 檔和相關(guān)用戶證明;(三)檢測評估工作所需實驗環(huán)境及測評工具、設(shè)備設(shè)施情況;(四)有關(guān)管理制度情況;(五)申請單位及其測評人員基本情況;(六)應(yīng)提交的其他材料。第九條等保辦收到申請材料后,應(yīng)在10個工

5、作日內(nèi)組織初審。 對符合本辦法第七條規(guī)定的申請單位,應(yīng)委托測評聯(lián)盟對其開展測評 能力評估。測評聯(lián)盟組織專家,根據(jù)標準規(guī)范對申請單位開展能力評估,出具測評能力評估報告,并及時將能力評估情況反饋等保辦。能力評估不達標的,等保辦應(yīng)告知申請單位初審未通過。第十條初審通過的申請單位,應(yīng)組織本單位人員參加測評師培 訓??荚嚭细竦模〉脺y評師證書。測評師分為初級、中級和高級。申請單位應(yīng)至少有15人獲得測 評師證書,其中高級測評師不少于1人,中級測評師不少于5人。第十一條等保辦組織專家對人員培訓符合要求的申請單位進行 復核。復核通過的,頒發(fā)網(wǎng)絡(luò)安全等級保護測評機構(gòu)推薦證書。第十二條測評機構(gòu)實行目錄管理,國家等

6、保辦編制全國網(wǎng)絡(luò) 安全等級保護測評機構(gòu)推薦目錄,并在中國網(wǎng)絡(luò)安全等級保護網(wǎng)網(wǎng) 站發(fā)布并及時更新。省級等保辦應(yīng)及時將本地測評機構(gòu)推薦情況報國家等保辦。第十三條省級等保辦每年年底根據(jù)測評工作需求制定下一年度 測評機構(gòu)推薦計劃,并報國家等保辦審定。省級以上等保辦受理測評機構(gòu)申請的時間為每年三月份。第十四條測評聯(lián)盟應(yīng)組織專家對新推薦測評機構(gòu)的首個測評項 目實施情況進行跟蹤評議,并將結(jié)果及時報等保辦。等保辦組織進行 綜合審查。第三章測評機構(gòu)和測評人員管理第十五條測評機構(gòu)應(yīng)與被測評單位簽署測評服務(wù)協(xié)議,依據(jù)有 關(guān)標準規(guī)范開展測評業(yè)務(wù),防范測評風險,客觀準確地反映被測評對 象的安全保護狀況。測評機構(gòu)應(yīng)按照統(tǒng)

7、一模板出具網(wǎng)絡(luò)安全等級測評報告,并針對被 測評網(wǎng)絡(luò)分別出具等級測評報告。對第三級以上網(wǎng)絡(luò)提供等級測評服務(wù)的,測評師人數(shù)不得少于4 名,其中高級測評師、中級測評師應(yīng)各不少于1名。第十六條測評機構(gòu)應(yīng)當指定專人管理測評專用章,制定管理規(guī) 范,不得濫用。出具等級測評報告時,測評機構(gòu)應(yīng)加蓋等級測評專用章。未加蓋專用章的報告,視為無效。第十七條 測評師上崗前,測評機構(gòu)應(yīng)組織崗前培訓;培訓合格 的,由測評機構(gòu)配發(fā)上崗證,上崗證發(fā)放情況應(yīng)于發(fā)放后5個工作日 報等保辦。測評機構(gòu)應(yīng)當對測評師開展等級測評業(yè)務(wù)情況進行考核, 并留存相關(guān)記錄。未取得測評師證書和上崗證的,不得參與等級測評項目。測評師 一年內(nèi)未參與測評活

8、動的,測評聯(lián)盟應(yīng)注銷其證書。測評師實行年度注冊管理。年審時,測評機構(gòu)應(yīng)將本機構(gòu)測評師 情況報等保辦注冊。測評機構(gòu)不得采取掛靠或者聘用兼職測評師開展 測評業(yè)務(wù)。第十八條測評機構(gòu)應(yīng)采取管理和技術(shù)措施保護測評活動中相關(guān) 數(shù)據(jù)和信息的安全,不得泄露在測評服務(wù)中知悉的商業(yè)秘密、重要敏 感信息和個人信息;未經(jīng)等保辦同意,不得擅自發(fā)布、披露在測評服 務(wù)中收集掌握的網(wǎng)絡(luò)信息、系統(tǒng)漏洞、惡意代碼、網(wǎng)絡(luò)攻擊等信息。第十九條測評機構(gòu)提供測評服務(wù)不受地域、行業(yè)、領(lǐng)域的限制。測評項目采取登記管理。測評機構(gòu)在實施測評項目之前,須將測評項 目信息及時、準確地填報到網(wǎng)絡(luò)安全等級保護測評項目登記管理系統(tǒng)(以下簡稱“項目管理系統(tǒng)

9、”)。測評機構(gòu)應(yīng)于測評項目合同簽訂后或測評活動實施前5個工作 日內(nèi),通過項目管理系統(tǒng)填報測評項目基本情況,不得于測評項目完 成后進行補錄。由于項目實施變更導致已登記信息與實際情況不符 的,應(yīng)及時修改并說明理由。第二十條省級以上等保辦對測評機構(gòu)填報的信息應(yīng)在5個工作 日內(nèi)進行審核確認。逾期未審核確認的,項目管理系統(tǒng)默認審核通過。 測評項目填報登記和審核確認的具體要求,參見項目管理系統(tǒng)填報 指南。第二十一條省級以上等保辦在審核確認測評項目登記信息時, 發(fā)現(xiàn)測評機構(gòu)具有下列情形之一的,應(yīng)不予審核通過。(一)處于暫停測評業(yè)務(wù)期間;(二)因違規(guī)被通報后,未反饋整改情況的;(三)其他不符合本辦法規(guī)定情形的

10、。第二十二條屬于異地測評項目的,測評機構(gòu)應(yīng)從項目管理系統(tǒng)中生成測評項目基本情況表,并于測評項目實施前報送或傳至被測評 網(wǎng)絡(luò)備案公安機關(guān)。第二十三條測評機構(gòu)名稱、地址、測評人員、主要負責人和聯(lián) 系人發(fā)生變更的,測評機構(gòu)應(yīng)在變更后5個工作日內(nèi)向等保辦報告, 并提交變更材料。測評機構(gòu)法人、股權(quán)結(jié)構(gòu)發(fā)生變更或其他重大事項發(fā)生變更的, 等保辦應(yīng)組織重新進行推薦審查并出具審查意見。測評機構(gòu)不得假借 變更名義轉(zhuǎn)讓推薦證書。第二十四條測評機構(gòu)應(yīng)加強對測評人員的監(jiān)督管理,定期組織 開展安全保密教育和測評業(yè)務(wù)培訓,簽訂安全保密責任書,規(guī)定其應(yīng) 當履行的安全保密義務(wù)和承擔的法律責任,并負責檢查落實。第二十五條測評機

11、構(gòu)應(yīng)組織測評師參加多種形式的測評業(yè)務(wù)和 技術(shù)培訓,測評師每年培訓時長累計不少于40學時。培訓時長不足 的,不予年度注冊。測評聯(lián)盟確定測評業(yè)務(wù)和技術(shù)培訓科目,發(fā)布年度測評培訓綱 要。第二十六條測評師離職前,測評機構(gòu)應(yīng)與其簽訂離職保密承諾 書,收回上崗證并及時向等保辦報備。自離職之日起超過6個月再入職測評機構(gòu)的測評師,應(yīng)通過測評 師考試后從事測評活動;自離職之日起一年內(nèi)未入職測評機構(gòu)從事測 評活動的,測評聯(lián)盟應(yīng)注銷其測評師證書。第二十七條測評機構(gòu)應(yīng)監(jiān)督測評師妥善保管測評師證書、上崗 證,不得涂改、出借、出租和轉(zhuǎn)讓。第二十八條測評機構(gòu)應(yīng)當建立網(wǎng)絡(luò)安全應(yīng)急處置機制和糾紛處 理機制,防范測評風險,妥善處

12、理糾紛。第二十九條測評項目完成后,測評機構(gòu)應(yīng)請被測評單位對測評 服務(wù)情況進行評價,評價情況表由被測單位密封后反饋測評機構(gòu),留 存?zhèn)洳椤5谌畻l測評機構(gòu)應(yīng)每季度向等保辦報送測評業(yè)務(wù)開展情況和 測評數(shù)據(jù)。根據(jù)測評實踐,測評機構(gòu)每年底編制并向等保辦報送網(wǎng)絡(luò) 安全狀況分析報告。測評機構(gòu)在測評活動中,發(fā)現(xiàn)重大網(wǎng)絡(luò)安全事件、重大網(wǎng)絡(luò)安全風險隱患、高危漏洞和重大網(wǎng)絡(luò)安全威脅時,應(yīng)及時報告公安機關(guān)。第三十一條國家等保辦每年第四季度組織開展測評機構(gòu)能力驗 證活動,并將能力驗證結(jié)果通報各省級等保辦。未參加能力驗證的測評機構(gòu),視為能力驗證未通過。第三十二條等保辦應(yīng)于每年12月份對所推薦測評機構(gòu)進行年 審。年審通過的

13、,等保辦在推薦證書副本上加蓋等級保護專用章或等 保辦印章,發(fā)放測評師注冊標識。年審時,測評機構(gòu)應(yīng)當提交以下材料:(一)網(wǎng)絡(luò)安全等級保護測評機構(gòu)年審表;(二)網(wǎng)絡(luò)安全等級保護測評機構(gòu)推薦證書副本;(三)年度測評工作總結(jié);(四)測評師年度注冊表;(五)其他所需材料。第三十三條測評機構(gòu)有下列情形之一的,年審不予通過。(一)未及時、準確地填報測評項目信息;(二)測評師培訓時長不足;(三)未定期報送測評業(yè)務(wù)開展情況和測評數(shù)據(jù);(四)能力驗證未通過且整改方案落實不到位;(五)其他有關(guān)情形。年審未通過的,等保辦責令測評機構(gòu)限期整改。拒不整改或整改 不符合要求的,應(yīng)暫停測評機構(gòu)開展等級測評業(yè)務(wù)。第三十四條測評

14、機構(gòu)推薦證書有效期為三年。測評機構(gòu)應(yīng)在推 薦證書期滿前30日內(nèi),向等保辦申請期滿復審。等保辦應(yīng)于收到期滿復審申請后5個工作日內(nèi),組織開展復審工作。復審通過的測評機構(gòu),由等保辦換發(fā)新證。省級等保辦應(yīng)及時將 測評機構(gòu)期滿復審情況報國家等保辦匯總。期滿復審時,測評機構(gòu)應(yīng)提交以下材料:(一)測評機構(gòu)期滿復審申請表;(二)年審情況;(三)其他需要提供的有關(guān)材料。第三十五條測評機構(gòu)有下列情形之一的,期滿復審不予通過。(一)累計兩年年審未通過或三年能力驗證未通過的;(二)基本條件不符合的;(三)違反本辦法有關(guān)規(guī)定且情形特別嚴重的;(四)逾期30日未提交期滿復審申請的。期滿復審未通過的,等保辦應(yīng)公告宣布取消其

15、推薦證書。第四章監(jiān)督管理第三十六條省級以上等保辦對測評機構(gòu)和測評業(yè)務(wù)開展情況進 行監(jiān)督、檢查、指導。國家等保辦每年組織對測評機構(gòu)及測評活動開展監(jiān)督抽查。測評項目實施過程中,測評機構(gòu)應(yīng)接受被測網(wǎng)絡(luò)備案公安機關(guān)的 監(jiān)督、檢查和指導。第三十七條等保辦開展監(jiān)督檢查時,重點檢查以下內(nèi)容:(一)測評機構(gòu)基本條件符合情況;(二)測評機構(gòu)管理制度執(zhí)行情況;(三)測評機構(gòu)相關(guān)事項變更報告、審查情況;(四)測評師管理、行為規(guī)范情況;(五)測評項目實施情況;(六)測評服務(wù)評價情況;七)測評報告及相關(guān)數(shù)據(jù)文檔管理情況;(八)其他需監(jiān)督檢查的事項。第三十八條等保辦、被測網(wǎng)絡(luò)備案公安機關(guān)在監(jiān)督檢查時,發(fā) 現(xiàn)異地測評機構(gòu)有

16、違反本辦法規(guī)定情形的,應(yīng)書面通報該機構(gòu)推薦等 保辦。等保辦在收到通報后,應(yīng)及時組織進行核查處置并反饋,同時將 有關(guān)情況報國家等保辦。第三十九條等保辦應(yīng)及時將測評數(shù)據(jù)、測評機構(gòu)及其測評師情 況、年審和期滿復審情況、監(jiān)督檢查情況等相關(guān)數(shù)據(jù)錄入數(shù)據(jù)庫。第四十條國家等保辦每年對全國測評機構(gòu)開展年度評定活動, 評定結(jié)果及時發(fā)布。第四十一條任何組織和個人有權(quán)向省級以上等保辦、測評聯(lián)盟 投訴舉報測評機構(gòu)和測評人員違法違規(guī)行為。第四十二條測評機構(gòu)違反本辦法第十五、十六、十七、十八、 十九、二十二、二十三、二十四、二十五、二十六、二十七、二十八、 二十九、三十條規(guī)定,等保辦應(yīng)責令其限期整改;拒不整改或情形嚴 重

17、的,約談測評機構(gòu)法人和主要負責人;屢次違反上述規(guī)定或情形特 別嚴重的,責令其暫停測評業(yè)務(wù),并予通報。第四十三條測評機構(gòu)有下列情形之一的,等保辦責令其限期整 改;情形嚴重的,責令整改期間暫停測評業(yè)務(wù),并予通報。(一)未按照有關(guān)標準規(guī)范開展測評,或未按規(guī)定出具測評報告的;(二)分包、轉(zhuǎn)包、代理測評項目,或惡意競爭,擾亂測評工作正 常開展的;(三)擅自簡化測評工作環(huán)節(jié),或未按測評流程要求開展測評工作 的;(四)監(jiān)督檢查或抽查中發(fā)現(xiàn)問題突出的;(五)影響被測評網(wǎng)絡(luò)正常運行,或因測評不到位,未發(fā)現(xiàn)網(wǎng)絡(luò)中 存在相關(guān)漏洞隱患,導致被測評網(wǎng)絡(luò)發(fā)生重大網(wǎng)絡(luò)安全事件的;(六)非授權(quán)占有、使用,以及未妥善保管等級測

18、評相關(guān)資料及數(shù) 據(jù)文件的;卜七)限定被測評單位購買、使用指定網(wǎng)絡(luò)安全產(chǎn)品,或與產(chǎn)品和 服務(wù)商存在利益勾結(jié)行為的;(八)非本機構(gòu)測評師或測評人員未取得等級測評師證書和上崗證 從事等級測評活動的;(九)未通過測評項目管理系統(tǒng)及時填報項目登記信息或未通過審 核開展等級測評項目的;(十)未按本辦法規(guī)定向等保辦提交材料或弄虛作假的;(十一)其他違反本辦法有關(guān)規(guī)定行為的。第四十四條測評機構(gòu)有下列情形之一的,等保辦應(yīng)取消其推薦 證書,并向社會公告,三年內(nèi)不得再次申請。(一)運營管理不規(guī)范,屢次被責令整改,嚴重影響測評服務(wù)質(zhì)量 的;(二)因單位股權(quán)、人員等情況發(fā)生變動,不符合測評機構(gòu)基本條 件的;(三)有網(wǎng)絡(luò)安全產(chǎn)品開發(fā)、銷售或系統(tǒng)安全集成等影響測評結(jié)果 公正性行為;與產(chǎn)品提供商、服務(wù)商或被測評方存在利益勾結(jié),擾亂 測評業(yè)務(wù)正常開展的;(四)泄露被測評單位工作秘密、重要數(shù)據(jù)信息的;(五)隱瞞測評過程中發(fā)現(xiàn)的重大安全問題,或者在測評過程中弄 虛作假未如實出具等級測評報告的;(六)一年內(nèi)未開展測評業(yè)務(wù)(被暫停開展測評業(yè)務(wù)的情況除外)或 自愿放棄測評機構(gòu)推薦資

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論