關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知
公信安[2010]303號
各省���、自治區(qū)�����、直轄市公安廳���、局網(wǎng)絡(luò)安全保衛(wèi)(公共信息網(wǎng)絡(luò)安全監(jiān)察�����、網(wǎng)絡(luò)警察)總隊(處)、新疆生產(chǎn)建設(shè)兵團公安局公共信息網(wǎng)絡(luò)安全監(jiān)察處:
為進一步貫徹落實公安部《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導意見》(公信安[2009]1429號)精神����,加快信息安全等級保護測評體系建設(shè),提高測評機構(gòu)能力�����,規(guī)范測評活動�,確保信息安全等級保護安全建設(shè)整改工作順利進行,滿足信息安全等級保護工作的迫切需要���,我局決定在全國部署開展信息安全等級保護測評體系建設(shè)和等級測評工作?����,F(xiàn)將有關(guān)事項通知如下:
一�����、工作目標
(一)通過廣泛宣傳和正確引導�,鼓勵更多的有關(guān)企事業(yè)單位從事信息安全等級保護測評工作,滿足信息安全等級保護測評工作的迫切需要���。
(二)通過對測評機構(gòu)進行統(tǒng)一的能力評估和嚴格審核��,保證測評機構(gòu)的水平和能力達到有關(guān)標準規(guī)范要求�。
(三)加強對測評機構(gòu)的安全監(jiān)督���,規(guī)范其測評活動���,保證為備案單位提供客觀、公正和安全的測評服務(wù)���。
(四)督促備案單位開展等級測評工作����,為開展等級保護安全建設(shè)整改工作奠定基礎(chǔ),使信息系統(tǒng)安全保護狀況逐步達到等級保護要求�����。
二�����、工作內(nèi)容
各地要按照《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導意見》要求����,結(jié)合本地實際組織開展以下工作:
(一)統(tǒng)籌規(guī)劃,正確引導�,積極穩(wěn)妥地推動等級測評機構(gòu)建設(shè)。結(jié)合本地已定級備案信息系統(tǒng)數(shù)量和分布情況����,從滿足等級測評工作的實際需要出發(fā)�����,統(tǒng)籌規(guī)劃����、合理布局測評機構(gòu)的規(guī)模和數(shù)量��,積極引導本地符合規(guī)定條件�����、有良好信譽的企事業(yè)單位從事等級測評工作����,按照成熟一個發(fā)展一個的原則�����,有計劃���、積極穩(wěn)妥地推動測評機構(gòu)建設(shè)���。
(二)規(guī)范流程,嚴格把關(guān)���,確保測評機構(gòu)的水平和能力符合測評工作要求�����。依據(jù)《信息安全等級保護測評工作管理規(guī)范(試行)》(見附件一)��,對申請成為測評機構(gòu)的單位嚴格把關(guān)��,按照申請受理��、測評能力評估����、審核、推薦的流程����,認真開展測評機構(gòu)評審和推薦工作。同時��,要加強對等級測評機構(gòu)的監(jiān)督管理和指導�����,確保測評機構(gòu)的水平和能力符合要求以及測評活動客觀���、公正和安全。
(三)督促備案單位開展信息系統(tǒng)等級測評工作�,確保安全建設(shè)整改工作的順利開展��。督促信息系統(tǒng)備案單位盡快委托測評機構(gòu)開展等級測評��,2010年底前完成測評體系建設(shè)�,并完成30%第三級(含)以上信息系統(tǒng)的測評工作��,2011年底前完成第三級(含)以上信息系統(tǒng)的測評工作����,2012年底之前完成第三級(含)以上信息系統(tǒng)的安全建設(shè)整改工作。
三��、工作要求
(一)高度重視����,落實責任。要充分認識開展等級測評體系建設(shè)和等級測評工作的重要性�����,加強組織領(lǐng)導�,落實責任。確定主管領(lǐng)導��,落實專門管理人員����,負責受理申請��、審核��、監(jiān)督管理以及其他日常對測評機構(gòu)�����、測評人員的管理工作�。
(二)制定計劃��,加強監(jiān)督��。要盡快確定本地等級測評體系建設(shè)和測評工作的計劃�����,制定貫徹實施意見和方案����。要督促、檢查本地測評機構(gòu)依據(jù)有關(guān)標準開展等級測評活動����,按照《信息系統(tǒng)安全等級測評報告模版(試行)》(公信安[2009]1487號)編制測評報告。
(三)加強指導�����,積極宣傳�����。要加強對本地備案單位和測評機構(gòu)等級測評工作的指導����,指導測評機構(gòu)對測評人員開展教育培訓,不斷提高測評人員的安全意識和業(yè)務(wù)能力���。要充分利用會議����、網(wǎng)站和其他媒體��,加大對等級測評工作有關(guān)政策和相關(guān)標準的宣傳力度��,推動等級測評工作的順利開展�����。
各地開展等級保護測評體系建設(shè)和測評工作的情況要及時上報。工作中有何問題��,請及時報我局�����。
二〇一〇年三月十二日
信息安全等級保護測評工作管理規(guī)范
(試行)
第一條 為加強信息安全等級保護測評機構(gòu)建設(shè)和管理���,規(guī)范等級測評活動�����,保障信息安全等級保護測評工作(以下簡稱“等級測評工作”)的順利開展��,根據(jù)《信息安全等級保護管理辦法》等有關(guān)規(guī)定����,制訂本規(guī)范���。
第二條 本規(guī)范適用于等級測評機構(gòu)和人員及其測評活動的管理����。
第三條 等級測評工作,是指測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定�,按照有關(guān)管理規(guī)范和技術(shù)標準,對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動��。
等級測評機構(gòu)�����,是指具備本規(guī)范的基本條件���,經(jīng)能力評估和審核,由省級以上信息安全等級保護工作協(xié)調(diào)(領(lǐng)導)小組辦公室(以下簡稱為“等保辦”)推薦�,從事等級測評工作的機構(gòu)。
第四條 省級以上等保辦負責等級測評機構(gòu)的審核和推薦工作���。
公安部信息安全等級保護評估中心(以下簡稱“評估中心”)負責測評機構(gòu)的能力評估和培訓工作����。
第五條 等級測評機構(gòu)應當具備以下基本條件:
(一)在中華人民共和國境內(nèi)注冊成立(港澳臺地區(qū)除外)����;
(二)由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位(港澳臺地區(qū)除外)����;
(三)產(chǎn)權(quán)關(guān)系明晰���,注冊資金100萬元以上;
(四)從事信息系統(tǒng)檢測評估相關(guān)工作兩年以上��,無違法記錄����;
(五)工作人員僅限于中華人民共和國境內(nèi)的中國公民,且無犯罪記錄�;
(六)具有滿足等級測評工作的專業(yè)技術(shù)人員和管理人員,測評技術(shù)人員不少于10人�����;
(七)具備必要的辦公環(huán)境�、設(shè)備、設(shè)施�����,使用的技術(shù)裝備���、設(shè)施應當符合《信息安全等級保護管理辦法》對信息安全產(chǎn)品的要求����;
(八)具有完備的保密管理、項目管理�����、質(zhì)量管理�����、人員管理和培訓教育等安全管理制度�����;
(九)對國家安全���、社會秩序、公共利益不構(gòu)成威脅;
(十)應當具備的其他條件��。
第六條 測評機構(gòu)及其測評人員應當嚴格執(zhí)行有關(guān)管理規(guī)范和技術(shù)標準�,開展客觀、公正���、安全的測評服務(wù)�。
測評機構(gòu)可以從事等級測評活動以及信息系統(tǒng)安全等級保護定級、安全建設(shè)整改�、信息安全等級保護宣傳教育等工作的技術(shù)支持。不得從事下列活動:
(一)影響被測評信息系統(tǒng)正常運行�,危害被測評信息系統(tǒng)安全;
(二)泄露知悉的被測評單位及被測評信息系統(tǒng)的國家秘密和工作秘密����;
(三)故意隱瞞測評過程中發(fā)現(xiàn)的安全問題,或者在測評過程中弄虛作假�����,未如實出具等級測評報告�;
(四)未按規(guī)定格式出具等級測評報告;
(五)非授權(quán)占有�、使用等級測評相關(guān)資料及數(shù)據(jù)文件;
(六)分包或轉(zhuǎn)包等級測評項目����;
(七)信息安全產(chǎn)品開發(fā)、銷售和信息系統(tǒng)安全集成���;
(八)限定被測評單位購買����、使用其指定的信息安全產(chǎn)品;
(九)其他危害國家安全���、社會秩序�����、公共利益以及被測單位利益的活動����。
第七條 申請成為等級測評機構(gòu)的單位(以下簡稱“申請單位”)應當向省級以上等保辦申請�����。
國家信息安全等級保護工作協(xié)調(diào)小組辦公室負責受理隸屬國家信息安全職能部門和重點行業(yè)主管部門申請單位提出的申請�。省級等保辦負責受理本?�。▍^(qū)����、直轄市)申請單位提出的申請。
申請單位申請時��,等保辦應當告知測評機構(gòu)的條件�����、從事的業(yè)務(wù)范圍以及禁止行為等內(nèi)容,使申請單位清楚了解測評機構(gòu)的責任和義務(wù)����。
第八條 知悉有關(guān)規(guī)定并愿意成為測評機構(gòu)的申請單位,可以向省級以上等保辦提出書面申請�,如實填寫《信息安全等級保護測評機構(gòu)申請表》。
申請單位的人員應當如實填寫人員基本情況表�����,并承諾對信息的真實性和有效性負責�����。
省級以上等保辦對申請單位進行初審��,初審通過的�����,應當告知申請單位到評估中心進行測評能力評估��。
第九條 評估中心按照有關(guān)標準規(guī)范��,在30個工作日內(nèi)完成對申請單位的材料審查和現(xiàn)場核查工作。
測評人員參加由評估中心舉辦的專門培訓�����、考試并取得評估中心頒發(fā)的《等級測評師證書》(等級測評師分為初級�����、中級和高級)�。等級測評人員需持等級測評師證上崗。
評估中心綜合評估申請單位的測評能力�,測評能力評估合格的,出具評估報告�。
第十條 省級以上等保辦組織專家對測評能力評估合格的申請單位及其測評人員進行審核。
第十一條 通過審核的����,由省級以上等保辦向申請單位頒發(fā)信息安全等級保護測評機構(gòu)推薦證書�����,并向社會公布測評機構(gòu)推薦目錄���。
省級等保辦將測評機構(gòu)推薦目錄報國家信息安全等級保護工作協(xié)調(diào)小組辦公室�����,國家信息安全等級保護工作協(xié)調(diào)小組辦公室匯總公布《全國信息安全等級保護測評機構(gòu)推薦目錄》�。
第十二條 測評機構(gòu)應按照公安部統(tǒng)一制訂的《信息系統(tǒng)安全等級測評報告模版(試行)》格式出具測評報告,根據(jù)信息系統(tǒng)規(guī)模和所投入的成本�,合理收取測評服務(wù)費用。
第十三條 省級以上等保辦每年對所推薦的測評機構(gòu)進行檢查��。檢查時�,測評機構(gòu)應提交《信息安全等級保護測評機構(gòu)檢查表》。
第十四條 測評機構(gòu)名稱��、法人等事項發(fā)生變化的����,或者其等級測評師變動的,測評機構(gòu)應在30日內(nèi)到受理申請的省級以上等保辦辦理變更手續(xù)���。
第十五條 測評機構(gòu)應當嚴格遵循申訴�����、投訴及爭議處理制度����,妥善處理爭議事件,及時采取糾正和改進措施��。
第十六條 測評機構(gòu)或者其測評人員違反本規(guī)范第六條規(guī)定之一或年度檢查未通過的���,由省級以上等保辦責令其限期改正����;逾期不改正的��,給予警告����,直至取消測評機構(gòu)的推薦證書或等級測評師證書,并向社會公告�����;造成嚴重損害的�����,由相關(guān)部門依照有關(guān)法律�、法規(guī)予以處理��。
第十七條 測評機構(gòu)或者測評人員違反本規(guī)范的規(guī)定,給被測評單位造成損失的���,應當依法承擔法律責任�。
第十八條 本規(guī)范由國家信息安全等級保護工作協(xié)調(diào)小組辦公室負責解釋�����。
第十九條 本規(guī)范中省級以上含省級���。
第二十條 本規(guī)范自發(fā)布之日起施行�����。