第一篇：信息安全等級測評實施細則(稿)

信息安全等級保護等級測評實施細則

第一章 總則

第一條【目的】為加強信息安全等級測評機構建設和管理，規范等級測評活動，保障信息安全等級保護制度的貫徹落實，根據《信息安全等級保護管理辦法》等有關規范制訂本實施細則。

第二條【適用范圍】本細則適用于等級測評機構、測評人員和測評活動的規范管理。

第三條【等級測評定義】等級測評是測評機構依據國家信息安全等級保護制度規定，受有關單位委托，按照有關管理規范和技術標準，對信息系統安全等級保護狀況進行檢測評估的活動。

第四條【測評機構定義】測評機構是經有關部門能力認可，經有關部門推薦，在一定范圍內從事信息系統安全等級測評等工作的專業技術機構。

第五條【基本原則】測評機構應當按照有關規定和統一標準提供“客觀、公正、安全”的測評服務，按照統一的測評報告模版出具測評報告。

第六條【保密要求】測評機構和測評人員應當遵守《國家保密法》的規定，保守在測評活動中知悉的國家秘密、商業秘密、敏感信息和個人隱私等。

第七條【管理體制】測評機構應當接受各級信息安全等級保護協調（領導）小組和公安網安部門的監督管理，并接受有關部門的業務管理和技術指導。

第二章 測評機構

第八條【總體要求】測評機構分為地區性、行業性測評機構，按照屬地管理和行業管理相結合的原則進行建設和管理。

第九條【職責分工】國家信息安全等級保護協調小組辦公室主管等級測評機構的建設和管理工作，指導行業等級測評機構的建設和管理工作，并委托專門的技術能力審驗機構對測評機構的技術能力進行評估、審查并確認。

各?。▍^、市）等級保護協調（領導）小組辦公室負責本地等級測評機構的建設管理工作。

第十條【基本條件】申請成為等級測評機構的單位（以下簡稱申請單位）應當具備以下基本條件：

（一）在中華人民共和國境內注冊成立（港澳臺地區除外）；

（二）由中國公民投資、中國法人投資或者國家投資的企事業單位（港澳臺地區除外）；

（三）產權關系明晰，注冊資金100萬元以上；

（四）從事信息系統檢測評估相關工作兩年以上；

（五）單位法人及主要工作人員僅限于中華人民共和國境內的中國公民，且無犯罪記錄；

（六）具有勝任等級測評工作的專業技術人員和管理人員，大學本科（含）以上學歷所占比例不低于80%。其中測評技術人員不少于10人；

（七）具備必要的辦公環境、設備、設施及完備的安全管理制度；

（八）對國家安全、社會秩序、公共利益不構成威脅;

（九）應當具備的其他條件。

第十一條【申請提交】地方申請單位應向屬地?。▍^、市）等級保護協調（領導）小組辦公室提交申請，行業申請單位向國家信息安全等級保護工作協調小組辦公室提交申請，并填寫申請書，申請成為等級測評機構。

第十二條【申請材料】申請單位在申請時應提供以下材料，并對申請材料的真實性負責。

（一）《信息安全等級保護測評機構申請書》；

（二）當地公安網安部門的推薦意見；

（三）營業執照及其他注冊證明文件；

（四）《內設組織機構與崗位設置情況表》；

（五）《工作人員基本情況表》、證明材料和聲明；

（六）《辦公場地、設備與設施情況表》；

（七）《安全測評設備、工具配備情況表》；

（八）信息系統安全測評能力報告；

（九）保密管理、項目管理、質量管理、人員管理和培訓教育等相關管理文件；

（十）需要提供的其他材料。

第十三條【初審】省級（含）以上等級保護協調（領導）小組辦公室收到申請材料后，應在30日內完成初審。

第十四條【技術能力審驗】初審通過的，由技術能力審驗機構評估、審查并確認申請單位的技術能力。

技術能力審驗周期最長為一個月。審驗期滿前，技術能力審驗機構應向等級保護協調（領導）小組辦公室出具審驗意見，并加蓋專門印章。

第十五條【核準】省級（含）以上等級保護協調（領導）

小組辦公室對通過技術能力審驗的申請單位進行復核，并出具核準意見。

第十六條【目錄公布】測評機構實行目錄管理。各省級信息安全等級保護協調（領導）小組辦公室公布本地等級測評機構目錄，并向國家信息安全等級保護工作協調小組辦公室備案。國家信息安全等級保護工作協調小組辦公室公布《全國信息安全等級測評機構目錄》。

第十七條【業務范圍】測評機構應當在規定的業務范圍內開展測評業務。

（一）地方測評機構在本地開展測評業務，行業測評機構在行業內開展測評業務。行業測評機構在地方開展測評業務前，應與本地等級保護協調（領導）小組辦公室協調；

（二）承擔有關部門委托的安全測評專項任務；

（三）配合當地公安網安部門對信息系統進行監督、檢查；

（四）開展風險評估、信息安全培訓、咨詢服務和信息安全工程監理；

（五）為當地信息安全等級保護工作提供技術支持和服務；

（六）其他有關文件規定的職責任務。

第十八條【禁止行為】測評機構不得從事下列活動：

（一）承擔信息系統安全建設整改工作；

（二）將等級測評任務分包、外包；

（三）信息安全產品開發、營銷和信息系統集成活動；

（四）限定被測評單位購買、使用其指定的信息安全產品；

（五）未經許可占有、使用有關測評信息、資料及數據文件；

（六）其他可能影響測評客觀、公正的活動。第十九條【風險告知】在開展測評過程中，對可能影響信息系統正常運行的，測評機構應當事先告知被測評單位，并協助其采取相應的預防措施。

第二十條【人員管理】測評機構應當建立完備的人員檔案，嚴格履行人員錄用、考核、離崗等程序，對進入重要信息系統進行測評的人員，應該進行背景審查，確保人員可靠。

第二十一條【制度管理】測評機構應當建立并落實保密管理、項目管理、質量管理、人員管理、培訓教育等管理制度。

第二十二條【能力建設】測評機構要加強技術能力和管理能力建設，應在測評機構推薦目錄公布后兩年內至少通過一項實驗室或檢查機構資質認定。

第三章 人員管理

第二十三條【人員要求】測評人員應遵守國家有關法律法規、技術標準和測評人員行為準則，認真履行本細則規定 的責任和義務，為用戶提供安全、客觀、公正的測評服務，保證測評的質量和效果。

第二十四條【個人聲明】測評人員應當提供本人社會背景、工作經歷和獎懲情況的證明材料，聲明相關材料的真實性并承擔法律責任。

第二十五條【持證上崗】測評人員上崗前應接受培訓，培訓合格的由測評機構頒發上崗證。測評人員持證上崗。

第二十六條【分級管理】測評機構技術人員實行分級管理，由低到高分為初級等級測評師、中級等級測評師和高級等級測評師。

測評技術人員應當接受專門業務培訓，考試合格的獲得等級測評師證書。

第二十七條【培訓與考試】國家信息安全等級保護協調小組辦公室制定并公布培訓計劃，指定專門培訓機構具體承擔等級測評師的培訓、考試工作。專門培訓機構向考試合格的人員頒發等級測評師證書。

第二十八條【證書管理】專門培訓機構依據等級測評師證書管理辦法辦理證書的審核、頒發、建檔、公布、查詢、年審、換發和撤銷，并向省級以上等級保護工作協調小組辦公室備案。

第二十九條【備案】行業測評機構每年應將本單位等級測評師培訓、獲證情況向國家信息安全等級保護工作協調小組辦公室備案。

地方測評機構每年應將本單位等級測評師培訓、獲證情況向本?。▍^市）等級保護協調（領導）小組辦公室備案。

各地等級保護協調（領導）小組辦公室每年應將本地等級測評師培訓、獲證情況向國家等級保護協調小組辦公室備案。

第三十條【年審管理】等級測評師實行年審制度。專門培訓機構對等級測評師每年進行一次年審，并將年審結果報等級保護協調（領導）小組辦公室。

對未通過年審的等級測評師，測評機構應暫停其開展測評工作。專門培訓機構應對年審不通過的等級測評師開展培訓。

第三十一條【變更告知】等級測評機構的主要管理人員和技術人員工作變動的，應及時到等級保護協調（領導）小組辦公室變更備案。

第三十二條【人員法律責任】測評人員在測評工作中具有徇私舞弊、收受賄賂等違反有關法律法規行為的，應由專門培訓機構撤銷違規人員等級測評師證書，并按照有關規定進行處罰。

第四章 測評活動

第三十三條【用戶要求】信息系統運營使用單位應當選擇《等級測評機構推薦目錄》中的等級測評機構，定期對信息系統開展等級測評，并加強對測評過程的監督管理。

第三十四條【整改前測評】信息系統安全建設整改前，信息系統運營使用單位可以選擇測評機構進行等級測評，掌握信息系統安全狀況，排查系統安全隱患和薄弱環節，明確安全建設整改需求。

第三十五條【整改后測評】信息系統安全建設整改后，信息系統運營使用單位應當再選擇測評機構進行等級測評，檢測系統安全保護狀況與標準要求的符合性，進一步查找安全隱患和問題，并進行風險分析，為進一步整改提供依據。

第三十六條【定期測評】第三級以上（含）信息系統應當每年至少進行一次等級測評，測評完成后，信息系統運營使用單位應及時向受理備案的公安機關提交測評報告。

第三十七條【測評機構規范】測評機構應建立規范的質量管理體系，依據《信息系統安全等級保護測評要求》等標準規范對信息系統進行測評，按照公安部制訂的信息系統安全等級測評報告格式編制測評報告。

第三十八條【測評費用】測評機構應當參照國家信息化工程建設項目人工計費標準合理收取測評服務費用。為防止惡意競爭，影響測評質量，測評機構開展測評業務收費應當不低于最低收費限額。

第三十九條【安全責任】測評機構應當針對等級測評工作制定保密管理規范，明確保密崗位與職責，定期對工作人員進行保密教育，與其簽訂《保密責任書》，規定應當履行的安全保密義務和承擔的法律責任，并負責檢查落實。

第五章 監督管理

第四十條【監管主體】各級等級保護協調（領導）小組辦公室對等級測評機構、測評人員、測評活動等進行監督、檢查，處理對測評機構的投訴。

第四十一條【年審】各級等級保護工作協調（領導）小組辦公室對備案的測評機構及測評人員實施年審管理，每年對測評機構的能力和工作進行審核、審查，并公布審核、審查結果。

第四十二條【機構違規】測評機構違反規定，情節輕微的，由等級保護協調領導機構辦公室責令其限期改正或予以通報、警告。

測評機構出現以下情況之一的，按照相應規定和程序，由等級保護協調（領導）機構決定撤銷其測評機構資格并及時向社會公告。

（一）違反法律、法規并被起訴的；

（二）發生重大泄密事件的；

（三）運營管理不規范，嚴重影響測評質量，經整改仍無法達到要求的；

（四）與被測評單位共同隱瞞在安全評估過程中發現的安全漏洞，未按要求寫入評估報告的；

（五）在評估過程中弄虛作假，編造安全評估報告的；

（六）不履行規定的責任和義務，經通報批評、警告仍不改正的；

（七）測評機構成立后一年內不開展測評業務的；

（八）由于自身原因主動提出退出的；

（九）連續兩次年審未通過的；

（十）違反其他有關規定的。

第四十三條【爭議處理】測評機構應當嚴格遵循申訴、投訴及爭議處理制度，妥善處理爭議事件，及時采取糾正和改進措施。

第四十四條【監督自身要求】各級等級保護協調（領導）小組辦公室應嚴格依照本細則的有關規定，按照公平、公正的原則開展監督檢查工作。

第四十五條【變更】測評機構性質、經營（業務）范圍、隸屬關系、法定代表人等重要事項發生變化的，應在30日內向等級保護協調（領導）機構辦理變更手續。

第二篇：信息安全等級保護測評

TopSec可信等級體系 天融信等級保護方案

Hacker.cn 更新時間:08-03-27 09:37 來源:硅谷動力 作者:中安網

1.等級保護概述

1.1為什么要實行等級保護？

信息系統與社會組織體系是具有對應關系的，而這些組織體系是分層次和級別的，因此各種信息系統是具有不同等級的重要性和社會、經濟價值的。對信息系統的基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統中各子系統的重要程度進行區別對待就是級別的客觀要求。信息安全必須符合這些客觀要求，這就需要對信息系統進行分級、分區域、分階段進行保護，這是做好國家信息安全的必要條件。

1.2等級保護的政策文件

信息安全等級保護工作非常重要，為此從2003年開始國家發布了一系列政策文件，具體如下：

2003年9月，中辦國辦頒發《關于加強信息安全保障工作的意見》（中辦發[2003]27號），這是我國第一個信息安全保障工作的綱領性文件，戰略目標為經過五年努力，基本形成國家信息安全保障體系，實行等級保護制度。

2004年11月，四部委會簽《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）：等級保護是今后國家信息安全的基本制度也是根本方法、等級保護制度的重要意義、原則、基本內容、工作職責分工、工作要求和實施計劃。2005年9月，國信辦文件，《關于轉發《電子政務信息安全等級保護實施指南》的通知》（國信辦[2004]25號）：基本原理、定級方法、安全規劃與設計、實施與運營、大型復雜電子政務系統等級保護過程。

2005年，公安部標準：《等級保護安全要求》、《等級保護定級指南》、《等級保護實施指南》、《等級保護測評準則》。

2006年1月，四部委會簽《關于印發《信息安全等級保護管理辦法的通知》（公通字[2006]7號）。

1.3 等級保護的管理結構－北京為例

等級保護的實施和落實離不開各級管理機構的指導和監督，這在等級保護的相關文件中已經得到了規定，下面以北京市為例來說明管理機構的組成和職責，具體如下圖所示：

1.4等級保護理論的技術演進

在等級保護理論被提出以后，經過相關部門的努力工作，逐漸提出了一系列原則、技術和框架，已經具備實施等級保護工作的基礎條件了，其具體演進過程如下圖所示：

1.5等級保護的基本需求

一個機構要實施等級保護，需要基本需求。由于等級保護是國家推動的旨在規范安全工作的基本工作制度，因此各級組織在這方面就存在如下需求：

（1）政策要求－符合等級保護的要求。系統符合《基本要求》中相應級別的指標，符合《測評準則》中的要求。

（2）實際需求－適應客戶實際情況。適應業務特性與安全要求的差異性，可工程化實施。

1.6基本安全要求的結構

對系統進行定級后，需要通過努力達到相應等級的基本安全要求，在總體上分為技術要求和管理要求，技術上又分為物理安全、網絡安全、主機安全、應用安全、數據安全，在管理要求中又分為安全管理機構、安全管理制度等5項，具體如下圖所示：

2.等級保護實施中的困難與出路

由于等級保護制度還處于探討階段，目前來看，尚存在如下困難：

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統，否則：

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善

3.管理難度太大，管理成本高

4.大型客戶最關注的關鍵要求指標超出《基本要求》規定

針對上述問題，在下面幾小節分別給出了堅決辦法。

2.1安全體系設計方法

需求分析－1

問題1：標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

需求：從組織整體出發，綜合考核所有系統

方法：引入體系設計方法

2.2保護對象框架設計方法

需求分析－2

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

需求：準確地進行大系統的分解和描述，反映實際特性和差異性安全要求

方法：引入保護對象框架設計方法

保護對象框架－政府行業

保護對象框架－電信行業

保護對象框架－銀行業

2.3安全平臺的設計與建設方法

需求分析－3

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

需求：統一規劃，集中建設，避免重復和分散，降低成本，提高建設水平

方法：引入安全平臺的設計與建設方法

平臺定義：為系統提供互操作性及其服務的環境

2.4建立安全運行體系

需求分析－4

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善

需求：建立長效機制，建立可持續運行、發展和完善的體系

方法：建立安全運行體系

2.5安全運維工作過程

需求分析－5

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善

3.管理難度太大，管理成本高

需求：需要高水平、自動化的安全管理工具

方法：TSM安全管理平臺

2.6 TNA可信網絡架構模型

需求分析－6

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善

3.管理難度太大，管理成本高

4.大型客戶最關注的關鍵指標超出《基本要求》規定

需求：在《基本要求》基礎上提出更強的措施，滿足客戶最關注的指標

方法：引入可信計算的理念，提供可信網絡架構

3.總體解決方案－TopSec可信等級體系

按照上面解決等級保護目前困難的方法，總體解決方案就是建立TopSec可信等級體系：

遵照國家等級保護制度、滿足客戶實際需求，采用等級化、體系化和可信保障相結合的方法，為客戶建設一套覆蓋全面、重點突出、節約成本、持續運行的安全保障體系。

實施后狀態：一套持續運行、涵蓋所有安全內容的安全保障體系，是企業或組織安全工作所追求的最終目標

特質：

等級化：突出重點，節省成本，滿足不同行業、不同發展階段、不同層次的要求

整體性：結構化，內容全面，可持續發展和完善，持續運行

針對性：針對實際情況，符合業務特性和發展戰略

3.1可信等級體系設計方法

3.2信息安全保障體系總體框架

3.3體系設計的成果

安全組織體系

安全策略體系

安全技術體系

安全運行體系

3.4安全體系的實現

4.成功案例

某國有大型企業已經采用了我們的可信等級體系，取得了良好的效果。

第三篇：信息安全等級合規測評

信息安全等級合規測評

合規，簡而言之就是要符合法律、法規、政策及相關規則、標準的約定。在信息安全領域內，等級保護、分級保護、塞班斯法案、計算機安全產品銷售許可、密碼管理等，是典型的合規性要求。

信息安全合規測評是國家強制要求的，信息系統運營、使用單位或者其主管部門，必須在系統建設、改造完成后，選擇具備資質測評機構，依據信息安全合規性要求，對信息系統是否合規進行檢測和評估的活動。信息安全合規測評具有強制性和周期性（定期檢測），是國家信息安全部門督促合規性要求落地實施，保障信息安全的重要手段。

一、信息安全合規性要求

1、等級保護

等級保護將信息系統按照價值系統基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統中各子系統重要程度的區別劃分五個等級進行保護。其分級、分區域、分類和分階段是做好國家信息安全保護的前提。等級保護依據公安部、國家保密局、國家密碼管理局和國信辦先后聯合下發《關于信息安全等級保護工作的實施意見》、《信息安全等級保護信息安全等級保護管理辦法》開展。

2、分級保護

分級保護針對的是涉密信息系統，根據涉密信息的涉密等級，涉密信息系統的重要性，遭到破壞后對國計民生造成的危害性，以及涉密信息系統必須達到的安全保護水平劃分為秘密級、機密級和絕密級三個等級。國家保密局專門對涉密信息系統如何進行分級保護制定了一系列的管理辦法和技術標準，目前，正在執行的兩個分級保護的國家保密標準是BMB17《涉及國家秘密的信息系統分級保護技術要求》和BMB20《涉及國家秘密的信息系統分級保護管理規范》。

國家保密科技測評中心是我國唯一的涉密信息系統安全保密測評機構，山東省軟件評測中心是國家保密科技測評中心在山東省設立的分中心。

3、塞班斯法案 針對安然、世通等財務欺詐事件，美國國會出臺了《2002年公眾公司會計改革和投資者保護法案》。該法案由美國眾議院金融服務委員會主席奧克斯利和參議院銀行委員會主席塞班斯聯合提出，又被稱作《2002年塞班斯-奧克斯利法案》（簡稱塞班斯法案），法案對美國《1933年證券法》、《1934年證券交易法》做了不少修訂，在會計職業監管、公司治理、證券市場監管等方面做出了許多新規定。

塞班斯法案成為在美上市企業躲不過去的坎。它規定，上市公司的財務報告必須包括一份內控報告，并明確規定公司管理層對建立和維護財務報告的內部控制體系及相應控制流程負有完全責任；此外，財務報告中必須附有其內控體系和相應流程有效性的評估。它的出臺意味著在美國上市的公司不僅要保證其財務報表數據的準確，還要保證內控系統能通過相關審計。

4、計算機信息系統安全專用產品銷售許可

計算機信息系統安全專用產品銷售許可證是為了加強計算機信息系統安全專用產品的管理，保證安全專用產品的安全功能，由公安部公共信息網絡安全監察局頒發的許可證書。

辦理依據：

（1）《中華人民共和國計算機信息系統安全保護條例》、（1994年2月18日，國務院令147號發布）。

（2）、《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》（1997年12月1日，公安部令第32號）。

(3)、《計算機病毒防治管理辦法》（2000年4月26日，公安部令第51號）。審批辦理流程：

(1)、產品檢測。申請單位須將樣品送指定檢測機構進行檢測。

(2)、申請辦證。檢測合格后，申請單位按規定提交證書申請的相關材料。(3)、審批發證。公安部公共信息網絡安全監察局。

5、信息系統密碼安全管理

為推動商用密碼發展，確保國家重要信息系統密碼安全，具備檢測資質的機構依據《信息安全等級保護商用密碼管理辦法》、《信息安全等級保護商用密碼技術實施要求》 《信息系統安全等級保護基本要求》，對信息安全等級為三級以上（含三級）信息系統中的商用密碼系統進行測評。的商用密碼系統安全等級保護測評工作擬分以下三個階段：測評申請階段、現場檢測階段、報告與結論階段。

在信息安全合規性要求中，等級保護和分級保護以其涉及范圍廣，實施具有高度專業化和復雜性的特點，成為信息安全合規測評工作的重點和難點，后面的文章將會對這兩個概念進行重點解讀。

二、區分信息安全等級保護與分級保護

通過上文我們知道，信息安全等級保護與分級保護是在信息安全合規測評中兩個非常重要的概念，二者密切相關又有區別。山東省軟件評測中心結合在等級保護測評和分級保護測評中的具體實踐，對等級保護和分級保護進行詳細介紹，理清兩者間的關聯。

1、信息系統等級保護

由于信息系統結構是應社會發展、社會生活和工作的需要而設計、建立的，是社會構成、行政組織體系的反映，因而這種系統結構是分層次和級別的，而其中的各種信息系統具有重要的社會和經濟價值，不同的系統具有不同的價值。系統基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統中各子系統重要程度的區別等就是級別的客觀體現。信息安全保護必須符合客觀存在和發展規律，其分級、分區域、分類和分階段是做好國家信息安全保護的前提。

信息系統安全等級保護將安全保護的監管級別劃分為五個級別：

第一級：用戶自主保護級完全由用戶自己來決定如何對資源進行保護，以及采用何種方式進行保護。

第二級：系統審計保護級本級的安全保護機制受到信息系統等級保護的指導，支持用戶具有更強的自主保護能力，特別是具有訪問審計能力。第三級：安全標記保護級除具有第二級系統審計保護級的所有功能外，還它要求對訪問者和訪問對象實施強制訪問控制，并能夠進行記錄，以便事后的監督、審計。

第四級：結構化保護級將前三級的安全保護能力擴展到所有訪問者和訪問對象，支持形式化的安全保護策略。

第五級：訪問驗證保護級這一個級別除了具備前四級的所有功能外還特別增設了訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問活動，仲裁訪問者能否訪問某些對象從而對訪問對象實行?？?，保護信息不能被非授權獲取。

在等級保護的實際操作中，強調從五個部分進行保護，即：

物理部分：包括周邊環境，門禁檢查，防火、防水、防潮、防鼠、蟲害和防雷，防電磁泄漏和干擾，電源備份和管理，設備的標識、使用、存放和管理等；

支撐系統：包括計算機系統、操作系統、數據庫系統和通信系統； 網絡部分：包括網絡的拓撲結構、網絡的布線和防護、網絡設備的管理和報警，網絡攻擊的監察和處理；

應用系統：包括系統登錄、權限劃分與識別、數據備份與容災處理，運行管理和訪問控制，密碼保護機制和信息存儲管理；

管理制度：包括管理的組織機構和各級的職責、權限劃分和責任追究制度，人員的管理和培訓、教育制度，設備的管理和引進、退出制度，環境管理和監控，安防和巡查制度，應急響應制度和程序，規章制度的建立、更改和廢止的控制程序。

由這五部分的安全控制機制構成系統整體安全控制機制。

2、涉密信息系統分級保護

涉密信息系統實行分級保護，先要根據涉密信息的涉密等級，涉密信息系統的重要性，遭到破壞后對國計民生造成的危害性，以及涉密信息系統必須達到的安全保護水平來確定信息安全的保護等級；涉密信息系統分級保護的核心是對信息系統安全進行合理分級、按標準進行建設、管理和監督。國家保密局專門對涉密信息系統如何進行分級保護制定了一系列的管理辦法和技術標準，目前，正在執行的兩個分級保護的國家保密標準是BMB17《涉及國家秘密的信息系統分級保護技術要求》和BMB20《涉及國家秘密的信息系統分級保護管理規范》。從物理安全、信息安全、運行安全和安全保密管理等方面，對不同級別的涉密信息系統有明確的分級保護措施，從技術要求和管理標準兩個層面解決涉密信息系統的分級保護問題。

涉密信息系統安全分級保護根據其涉密信息系統處理信息的最高密級，可以劃分為秘密級、機密級和機密級（增強）、絕密級三個等級：

秘密級：信息系統中包含有最高為秘密級的國家秘密，其防護水平不低于國家信息安全等級保護三級的要求，并且還必須符合分級保護的保密技術要求。

機密級：信息系統中包含有最高為機密級的國家秘密，其防護水平不低于國家信息安全等級保護四級的要求，還必須符合分級保護的保密技術要求。屬于下列情況之一的機密級信息系統應選擇機密級（增強）的要求：

（1）信息系統的使用單位為副省級以上的黨政首腦機關，以及國防、外交、國家安全、軍工等要害部門；

（2）信息系統中的機密級信息含量較高或數量較多；（3）信息系統使用單位對信息系統的依賴程度較高。

絕密級：信息系統中包含有最高為絕密級的國家秘密，其防護水平不低于國家信息安全等級保護五級的要求，還必須符合分級保護的保密技術要求，絕密級信息系統應限定在封閉的安全可控的獨立建筑內，不能與城域網或廣域網相聯。

涉密信息系統要按照分級保護的標準，結合涉密信息系統應用的實際情況進行方案設計。涉密信息系統定級遵循“誰建設、誰定級"的原則，可以根據信息密級、系統重要性和安全策略劃分為不同的安全域，針對不同的安全域確定不同的等級，并進行相應的保護。建設完成之后應該進行審批；審批前由國家保密局授權的涉密信息系統測評機構進行系統測評（山東省軟件評測中心是山東省內唯一的涉密信息系統檢測機構），確定在技術層面是否達到了涉密信息系統分級保護的要求。

3、等級保護和分級保護之間的關系

國家安全信息等級保護重點保護的對象是涉及國計民生的重要信息系統和通信基礎信息系統，而不論它是否涉密。如：國家事務處理信息系統（黨政機關辦公系統）；金融、稅務、工商、海關、能源、交通運輸、社會保障、教育等基礎設施的信息系統；國防工業企業、科研等單位的信息系統等。

涉密信息系統分級保護保護的對象是所有涉及國家秘密的信息系統，重點是黨政機關、軍隊和軍工單位，由各級保密工作部門根據涉密信息系統的保護等級實施監督管理，確保系統和信息安全，確保國家秘密不被泄漏。

國家信息安全等級保護是國家從整體上、根本上解決國家信息安全問題的辦法, 進一步確定了信息安全發展的主線和中心任務, 提出了總體要求。對信息系統實行等級保護是國家法定制度和基本國策，是開展信息安全保護工作的有效辦法，是信息安全保護工作的發展方向。而涉密信息系統分級保護則是是國家信息安全等級保護的重要組成部分，是等級保護在涉密領域的具體體現。

三、等級合規測評的主要內容

1、單元測評。單元測評從信息安全管理制度、信息安全管理機構、人員安全管理、信息系統建設管理、信息系統運維管理、物理安全、網絡安全、主機安全、應用安全、數據安全等層面，測評《信息系統安全等級保護基本要求》（GB/T 22239-2008）所要求的基本安全控制在信息系統中的實施配置情況。

2、整體測評。整體測評主要測評分析信息系統的整體安全性。在內容上主要包括安全控制間、層面間和區域間相互作用的安全測評以及系統結構的安全測評等，是在單元測評基礎上進行的進一步測評分析。

四、等級合規測評的重要作用

1、等級合規測評是落實信息安全等級保護制度的重要環節

在信息系統建設、整改時，信息系統運營、使用單位通過等級測評進行現狀分析，確定系統的安全保護現狀和存在的安全問題，并在此基礎上確定系統的整改安全需求。信息系統定級是整個等級保護工作的開始，等級保護基本要求是對不同等級信息系統實行等級保護的基礎?？蛻艨梢曰诙壷改蠈π畔⑾到y定級，基于等級保護基本要求實施保護措施，從而將有效落實國家有關等級保護的制度要求和文件精神。

2、等級測評報告是信息系統開展整改加固的重要指導性文件，也是信息系統備案的重要附件材料

等級測評結論為信息系統未達到相應等級的基本安全保護能力的，運營、使用單位應當根據等級測評報告，制定方案進行整改，盡快達到相應等級的安全保護能力。

3、等級測評使整個組織規范一致的開展等級評定工作

合規測評基于客戶的組織架構、運作模式等特點，制定信息系統安全保護等級定級指南，明確在組織內開展等級評定工作的原則、方法和流程，從而使得客戶的等級評定工作能夠在整個組織范圍內一致地開展。

4、確保突出重點保護對象并進行適度保護

信息系統安全等級保護基本要求明確了不同等級信息系統的技術要求和管理要求，基于信息系統安全等級保護基本要求，合規測評可使客戶在符合國家法律法規要求的前提下，針對不同等級信息系統采取相應等級的保護措施，從而確保重點突出、適度保護，節省IT投資。

5、等級測評提高內部人員的信息安全意識

合規測評過程中，第三方咨詢專家將與被服務單位人員密切合作。通過與被服務單位人員有針對性的交流，以及精心設計的調查問卷等，被服務單位的管理、業務、技術等人員將逐步提高對信息安全合規的認識，強化信息安全意識，杜絕違規操作。

作為第三方測評機構，山東省軟件評測中心認為，通過等級合規測評可指導用戶在各個層面上綜合采取多種保護措施，保護網絡和安全域邊界、網絡及基礎設施、終端計算環境的安全、以及進行安全運行中心等支撐性安全設施的建設。

五、等級合規測評的操作流程 要充分發揮等級測評對信息安全的保障作用，就要按照科學的流程和方法進行操作。山東省軟件評測中心根據等級測評的相關要求將等級測評過程分為四個基本測評活動：測評準備活動、方案編制活動、現場測評活動、分析及報告編制活動。而測評雙方之間的溝通與洽談應貫穿整個等級測評過程。具體過程如下：

1、測評準備活動

本活動是開展等級測評工作的前提和基礎，是整個等級測評過程有效性的保證。測評準備工作是否充分直接關系到后續工作能否順利開展。本活動的主要任務是掌握被測系統的詳細情況，準備測試工具，為編制測評方案做好準備。

2、方案編制活動

本活動是開展等級測評工作的關鍵活動，為現場測評提供最基本的文檔和指導方案。本活動的主要任務是確定與被測信息系統相適應的測評對象、測評指標及測評內容等，并根據需要重用或開發測評指導書測評指導書，形成測評方案。

3、現場測評活動

本活動是開展等級測評工作的核心活動。本活動的主要任務是按照測評方案的總體要求，嚴格執行測評指導書測評指導書，分步實施所有測評項目，包括單元測評和整體測評兩個方面，以了解系統的真實保護情況，獲取足夠證據，發現系統存在的安全問題。

4、分析與報告編制活動

本活動是給出等級測評工作結果的活動，是總結被測系統整體安全保護能力的綜合評價活動。本活動的主要任務是根據現場測評結果和《信息安全等級保護基本要求》的有關要求，通過單項測評結果判定、單元測評結果判定、整體測評和風險分析等方法，找出整個系統的安全保護現狀與相應等級的保護要求之間的差距，并分析這些差距導致被測系統面臨的風險，從而給出等級測評結論，形成測評報告文本。

等級測評項目啟動測評準備活動信息收集與分析工具和表單準備測評對象確定測評指標確定方案編制活動測評工具接入點確定測評內容確定測評指導書開發測評方案編制現場測評活動測評實施準備現場測評和記錄結果結果確認和資料歸還單項測評結果判定分析與報告編制活動單元測評結果判定整體測評風險分析等級測評結論形成測評報告編制溝通與洽談

六、等級合規測評的關鍵點

確定了等級測評的具體流程，是為開展測評工作奠定了堅實基礎，但是還要關注在具體環節上關鍵要素，它們對測評工作的成效高低具有重大影響。

1、等級測評的方法和強度

等級測評的基本方法一般包括訪談、檢查和測試等三種。

訪談是測評人員通過與被測評單位的相關人員進行交談和問詢，了解被測信息系統安全技術和安全管理方面的相關信息，以對測評內容進行確認。

檢查是測評人員通過簡單比較或使用專業知識分析的方式獲得測評證據的方法，包括：評審、核查、審查、觀察、研究和分析等方法。

測試是指測評人員通過使用相關技術工具對信息系統進行驗證測評的方法，包括功能測試、性能測試、滲透測試等。

等級測評機構應當根據被測信息系統的實際情況選取適合的測評強度。測評強度可以通過測評的深度和廣度來描述。訪談的深度體現在訪談過程的嚴格和詳細程度，廣度體現在訪談人員的構成和數量上；檢查的深度體現在檢查過程的嚴格和詳細程度，廣度體現在檢查對象的種類（文檔、機制等）和數量上；測試的深度體現在執行的測試類型上（功能/性能測試和滲透測試），廣度體現在測試使用的機制種類和數量上。

2、等級測評對象

測評對象是在被測信息系統中實現特定測評指標所對應的安全功能的具體系統組件。正確選擇測評對象的種類和數量是整個等級測評工作能夠獲取足夠證據、了解到被測系統的真實安全保護狀況的重要保證。

測評對象一般采用抽查信息系統中具有代表性組件的方法確定。在測評對象確定中應兼顧工作投入與結果產出兩者的平衡關系。

七、等級合規測評的指標

開展等級測評活動應從《信息系統安全等級保護基本要求》（GB/T 22239-2008）中選擇相應等級的安全要求作為基本測評指標。

1、第二級信息系統等級測評指標，除按照《信息系統安全等級保護基本要求》所規定的物理安全、網絡安全、主機安全、應用安全、數據安全、管理制度、管理機構、人員安全管理、系統建設安全管理、系統運維管理的66項基本要求（177個控制點）作為基礎測評指標以外，還應參照《信息系統通用技術要求》中的83個控制點、《信息系統安全管理要求》中的70個控制點、《信息系統安全工程管理要求》中的51個控制點以及行業測評標準所規定的其他控制點，結合不同的定級結果組合情況進行確定。

2、第三級信息系統等級測評指標確定，除按照《信息系統安全等級保護基本要求》所規定的物理安全、網絡安全、主機安全、應用安全、數據安全、管理制度、管理機構、人員安全管理、系統建設安全管理、系統運維管理的73項基本要求（290個控制點）作為測評指標以外，還應參照《信息系統通用技術要求》中的109個控制點、《信息系統安全管理要求》中的104個控制點、《信息系統安全工程管理要求》中的42個控制點以及行業測評標準所規定的其他控制點，結合不同的定級結果組合情況進行確定。

3、第四級信息系統等級測評指標確定，除按照《信息系統安全等級保護基本要求》所規定的物理安全、網絡安全、主機安全、應用安全、數據安全、管理制度、管理機構、人員安全管理、系統建設安全管理、系統運維管理的77項基本要求（317個控制點）作為測評指標以外，還應參照《信息系統通用技術要求》中的120個控制點、《信息系統安全管理要求》中的104個控制點、《信息系統安全工程管理要求》中的35個控制點以及行業測評標準所規定的其他控制點，結合不同的定級結果組合情況進行確定。

4、對于由多個不同等級的信息系統組成的被測系統，應分別確定各個定級對象的測評指標。如果多個定級對象共用物理環境或管理體系，而且測評指標不能分開，則不能分開的測評指標應采用就高原則。

八、高效等級測評工作的注意事項

為了保障等級測評取得真正的成效，在測評之前，需要認真籌備；測評過程中依照相關規定，強化管理。同時，在測評操作過程中還應該嚴格遵循等級測評的相關原則。以上經驗，都已經在山東省軟件測評中心的實踐中得到驗證，成效顯著。

1、認真做好等級測評質量保障工作

等級測評機構開展測評前應與委托單位聯合成立等級測評工作組，建立通暢的溝通聯絡機制，確保等級測評活動的順利開展。

等級測評機構開展等級測評時，必須保證足夠的現場測評等級測評師。開展第二級信息系統的等級測評活動時，測評機構至少應由一名中級等級測評師、一名管理類等級測評師、二名技術類等級測評師參與等級測評活動；開展第三級信息系統的等級測評活動時，測評機構至少應由一名高級等級測評師、兩名中級等級測評師、二名管理類等級測評師、三名技術類等級測評師參與等級測評活動；開展第四級信息系統的等級測評活動時，測評機構至少應由二名高級等級測評師、兩名中級等級測評師、兩名管理類等級測評師、四名以上技術類等級測評師參與等級測評活動。

等級測評機構開展等級測評時，應當投入滿足測評需要的拓撲發現設備、網絡安全配置核查設備、網絡協議分析設備、漏洞掃描設備、滲透攻擊集成設備等功能測試、性能測試、滲透測試工具以及必要的交通、通信設備。

等級測評活動包括測評準備、方案編制、現場測評、分析及報告編制四個基本階段。第二級信息系統單個業務系統等級測評全過程，一般不少于5個工作日。第三級信息系統單個業務系統等級測評全過程，一般不少于10個工作日。第四級信息系統單個業務系統等級測評全過程，一般不少于20個工作日。

等級測評活動中，測評機構需要提交給委托方的資料不少于以下紙質文檔：項目計劃書、公正性聲明、保密協議、等級測評方案、現場測評記錄、等級測評報告、安全建設整改意見

2、嚴格等級測評管理

信息系統的運營、使用單位或主管部門應當選擇年審合格的測評機構，按照《信息系統安全等級保護測評要求》等技術標準，定期對信息系統的安全狀況開展等級測評。

第三級信息系統應每年進行一次等級測評，第四級信息系統應每半年進行一次等級測評。重要的第二級信息系統可參照第三級信息系統的測評要求進行等級測評。符合測評條件的新建、擴建信息系統及信息系統發生重大改變時，應及時安排等級測評。等級測評活動結束后，測評機構應在15個工作日內向被測評信息系統的運營、使用單位提供等級測評報告，并應同時向省、市兩級等保辦提交第三級（含）以上信息系統的等級測評報告。被測評信息系統安全狀況未達到信息安全等級保護制度要求的，由等級測評機構提出安全建設整改意見，運營、使用單位應當及時制定方案進行整改。

省內信息系統的等級測評工作原則上由省內等級測評機構完成，特殊行業等級測評機構或省外其他等級測評機構在省內開展等級測評活動時，應在省等保辦辦理登記備案手續，按照本規范開展等級測評活動，并接受省等保辦的監督管理。測評機構及其測評人員應當嚴格執行有關管理規范和技術標準，開展客觀、公正、安全的測評服務。測評機構可以從事等級測評活動以及信息系統安全等級保護定級、安全建設整改建議、信息安全等級保護宣傳教育等工作的技術支持，但不得從事下列活動：

(1)、影響被測評信息系統正常運行，危害被測評信息系統安全；(2)、泄露被測評單位及被測信息系統的敏感信息和工作秘密；

(3)、故意隱瞞測評過程中發現的安全問題，或者在測評過程中弄虛作假，未如實出具等級測評報告；

(4)、未按規定格式出具等級測評報告；

(5)、非授權占有、使用等級測評活動中的獲得的相關資料及數據文件；(6)、分包或轉包等級測評項目；

(7)、從事信息安全產品開發、銷售和信息系統安全集成；(8)、限定被測評單位購買、使用其指定的信息安全產品；

(9)、其他危害國家安全、社會秩序、公共利益以及被測單位利益的活動。

九、等級合規測評中應當嚴格遵循的五個原則

1、客觀公正原則。測評人員應當在沒有偏見和最小主觀判斷情形下，按照測評雙方相互認可的測評方案，基于明確定義的測評方法和過程，實施測評活動。

2、充分性原則。為客觀反映被測評信息系統的安全狀況，測評活動要保證必需的廣度和深度，以滿足國家標準和行業標準的測評指標的要求。

3、經濟性原則。測評活動應盡可能降低成本，減少投入。基于測評成本和工作復雜性，鼓勵測評工作部分使用能反映信息系統當前安全狀態的已有測評結果，包括商業安全產品測評結果和信息系統已有的安全測評結果。

4、結果一致性原則。針對同一信息系統的等級測評，不同測評機構依據同一的測評方案和測評方法得出的測評結果應當一致，同一測評機構重復執行相同測評過程得出的結果應當一致。

5、安全性原則。測評機構和測評人員在測評活動中，應當履行安全保密義務，承擔相應的法律責任，確保被測評信息系統安全運行和用戶的工作秘密及商業秘密不被泄露。

第四篇：廣東省信息安全等級測評機構管理辦法

廣東省信息安全等級測評機構管理辦法

（試行）

第一條

為規范信息安全等級測評機構管理，提高信息安全保障能力和水平，保障和促進信息化建設，根據《廣東省計算機信息系統安全保護條例》和《信息安全等級保護管理辦法》等規定，制定本辦法。

第二條

本辦法所稱信息安全等級測評機構是指對信息系統的安全保護措施是否符合信息安全等級保護相關法律和標準進行評估的組織。

第三條

信息安全等級測評應當堅持實事求是、客觀公正的原則，保證測評活動的獨立性和測評結論的準確性。

第四條

第二級以上的計算機信息系統的安全測評應當選擇符合下列條件的計算機信息系統安全等級測評機構（簡稱測評機構）承擔：

（一）在中華人民共和國境內注冊成立（港澳臺地區除外），具有相應經營范圍的營業執照，注冊資本100萬元以上；

（二）由中國公民投資、中國法人投資或者國家投資的企事業單位（港澳臺地區除外）；

（三）近3年完成的測評項目總值150萬元以上；

（四）具有計算機安全或相關專業資格證書的專業技術人員不少于20人，其中大學本科以上學歷的人員不少于15人；

（五）管理人員應當具有3年以上從事計算機信息系統安全技術領域企業管理工作經歷，技術負責人已獲得計算機信息系統安全技術相關專業的高級職稱，從事安全測評工作不少于3年，無犯罪記錄；

（六）工作人員僅限于中國公民，法人及主要業務、技術人員無犯罪記錄；

（七）具有與所承擔項目適應的技術裝備；

（八）具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度；

（九）對國家安全、社會秩序、公共利益不構成威脅。

第五條

我省對測評機構實施備案制度。符合第四條規定的條件，承擔第二級以上的計算機信息系統測評工作的機構應當到公安機關公共信息網絡安全監察部門備案。

第六條

信息安全等級測評機構申請備案，應當向地級以上市公安機關公共信息網絡安全監察部門提交下列資料：

（一）備案申請書；

（二）營業執照復印件；

（三）管理人員和專業技術人員的身份證明、學歷證明、計算機安全培訓合格證書復印件和無犯罪證明；

（四）技術裝備情況及組織管理制度報告。第七條

地級以上市公安機關公共信息網絡安全監察部門應當自接到申請材料之日起15日內對申請材料進行初審。初審合格的，報送省公安廳公共信息網絡安全監察部門審查；初審不合格的，退回申請并說明理由。

省公安廳公共信息網絡安全監察部門應當自接到初審材料之日起15日內進行審查，符合條件的，發給備案證書。不符合條件的，作出不予備案的決定并說明理由。

承擔省直和中央駐粵單位信息安全等級測評工作的機構，直接向省公安廳公共信息網絡安全監察部門提出申請，省公安廳公共信息網絡安全監察部門應當在30日內作出備案意見。

第八條

省公安廳公共信息網絡安全監察部門對已備案的信息安全等級測評機構進行公布。

第九條

備案證書分為正本和副本，正本和副本具有同等效力。

第十條

備案證書實行年檢制度。年檢時間為每年2月至3月，新領備案證書未滿半年的不需年檢。

第十二條

信息安全等級測評機構參加年檢，應當持下列材料向地級以上市公安機關公共信息網絡安全監察部門提出申請：

（一）備案證書年檢申請書；

（二）備案證書副本；

（三）其他材料。

第十三條

地級以上市公安機關公共信息網絡安全監察部門應當自接到申請材料之日起15日內對申請材料進行初審。初審合格的，報送省公安廳公共信息網絡安全監察部門審查；初審不合格的，退回申請并說明理由。

省公安廳公共信息網絡安全監察部門應當自接到初審材料之日起15日內進行審查并作出年檢結論。

持國家工商行政管理總局或省工商行政管理局核發的營業執照的機構，直接向省公安廳公共信息網絡安全監察部門提出申請，省公安廳公共信息網絡安全監察部門應當在30日內作出年檢結論。

第十四條

年檢結論分為合格、取消兩種。

具備下列情形的，年審結論為合格：

（一）遵守國家有關法律法規和本省有關規定；

（二）上完成的測評項目總值不低于50萬元；

（三）符合備案條件。

有下列情形之一的，年檢結論為取消：

（一）違反國家有關法律法規和本省有關規定，情節嚴重；

（二）上完成的測評項目總值低于50萬元；

（三）情況發生變更，達不到備案條件。

年檢合格的，在備案證書副本和年檢申請書上注明，加蓋省公安廳公共信息網絡安全監察專用章。

年檢結論為取消的，備案證書作廢，信息安全等級測評機構應當自接到年檢結論之日起10日內交回備案證書。

未按時參加年檢的，年審結論視為取消。

因特殊原因未年檢的，應當書面說明理由，經批準，方可補辦相關手續。

第十五條

備案證書登記事項發生變更的，應在30日內到地級以上市公安機關公共信息網絡安全監察部門辦理變更手續。

第十六條

信息安全等級測評機構應當履行下列義務：

（一）遵守國家有關法律法規和技術標準，提供安全、客觀、公正的檢測評估服務，保證測評的質量和效果；

（二）保守在測評活動中知悉的國家秘密、商業秘密和個人隱私，防范測評風險；

（三）對測評人員進行安全保密教育，與其簽訂安全保密責任書，規定應當履行的安全保密義務和承擔的法律責任，并負責檢查落實。

第十七條

公安機關公共信息網絡安全監察部門對信息安全等級測評機構進行監督、檢查和指導。第十八條

信息安全等級測評機構有下列行為之一的，由所在地公安機關公共信息網絡安全監察部門責令改正，并予以通報。對已辦理備案的，收回備案證書。觸犯有關法律、法規和規章的，依法追究法律責任。

（一）偽造、冒用信息安全等級測評機構備案證書的；

（二）轉讓、轉借信息安全等級測評機構備案證書的；

（三）出具虛假、失實的信息安全等級測評結論的；

（四）泄露測評活動中掌握的國家秘密、商業秘密和個人隱私的；

（五）違反法律、法規、規章等規定的其他行為。

第十九條

本辦法自印發之日起施行。

第五篇：《信息安全等級保護測評機構管理辦法》最新

信息安全等級保護測評機構管理辦法

第一條 為加強信息安全等級保護測評機構管理，規范等級測評行為，提高測評技術能力和服務水平，根據《信息安全等級保護管理辦法》等有關規定，制定本辦法。

第二條 等級測評工作，是指等級測評機構依據國家信息安全等級保護制度規定，按照有關管理規范和技術標準，對非涉及國家秘密信息系統安全等級保護狀況進行檢測評估的活動。

等級測評機構，是指依據國家信息安全等級保護制度規定，具備本辦法規定的基本條件，經審核推薦，從事等級測評等信息安全服務的機構。

第三條 等級測評機構推薦管理工作遵循統籌規劃、合理布局、安全規范的方針，按照“誰推薦、誰負責，誰審核、誰負責”的原則有序開展。

第四條 等級測評機構應以提供等級測評服務為主，可根據信息系統運營使用單位安全保障需求，提供信息安全咨詢、應急保障、安全運維、安全監理等服務。

第五條 國家信息安全等級保護工作協調小組辦公室（以下簡稱“國家等保辦”）負責受理隸屬國家信息安全職能部門和重點行業主管部門申請單位提出的申請，并對其推薦的等級測評機構進行監督管理。

省級信息安全等級保護工作協調（領導）小組辦公室（以下簡稱“省級等保辦”）負責受理本?。▍^、直轄市）申請單位提出的申請，并對其推薦的等級測評機構進行監督管理。

第六條 申請成為等級測評機構的單位（以下簡稱“申請單位”）應具備以下基本條件：

（一）在中華人民共和國境內注冊成立，由中國公民、法人投資或者國家投資的企事業單位；

（二）產權關系明晰，注冊資金100萬元以上；

（三）從事信息系統安全相關工作兩年以上，無違法記錄；

（四）測評人員僅限于中華人民共和國境內的中國公民，且無犯罪記錄；

（五）具有信息系統安全相關工作經驗的技術人員，不少于10人；

（六）具備必要的辦公環境、設備、設施，使用的技術裝備、設施應滿足測評工作需求；

（七）具有完備的安全保密管理、項目管理、質量管理、人員管理和培訓教育等規章制度；

（八）自覺接受等保辦的監督、檢查和指導，對國家安全、社會秩序、公共利益不構成威脅；

（九）不涉及信息安全產品開發、銷售或信息系統安全集成等業務；

（十）應具備的其他條件。

第七條 申請時，申請單位應向等保辦提交以下材料：

（一）《信息安全等級保護測評機構申請表》；

（二）從事信息系統安全相關工作情況；

（三）檢測評估工作所需軟硬件及其他服務保障設施配備情況；

（四）有關管理制度建設情況；

（五）申請單位及其測評人員基本情況；

（六）應提交的其他材料。

等保辦收到申請材料后，應在10個工作日內組織初審，并出具初審結果告知書。

第八條 通過初審的申請單位，應及時參加指定評估機構組織的測評人員培訓?？荚嚭细竦娜藛T，取得等級測評師證書。

等級測評師分為初級、中級和高級。申請單位應至少有10人獲得等級測評師證書，其中高級和中級測評師均不得少于1人。

第九條 指定評估機構應根據標準規范對申請單位開展能力評估，出具信息安全等級保護測評機構能力評估報告，并及時將申請單位能力評估有關情況報送等保辦。

第十條 等保辦組織專家對通過能力評估的申請單位進行審核。審核通過的，頒發《信息安全等級保護測評機構推薦證書》。

省級等保辦應及時將本地等級測評機構推薦情況報國家等保辦，國家等保辦定期發布公告，在《中國信息安全等級保護網》發布《全國信息安全等級保護測評機構推薦目錄》。

第十一條 下列事項發生變更時，等級測評機構應在變更后5個工作日內向等保辦報告。

（一）等級測評機構名稱、地址、測評人員和主要負責人發生變更的；

（二）等級測評機構法人、股權結構發生變更的；

（三）其他重大事項發生變更的。

省級等保辦應及時將等級測評機構變更情況報國家等保辦。

第十二條 信息安全等級保護測評機構推薦證書有效期為三年。等級測評機構應在推薦證書期滿前30日內，向等保辦申請復審。復審通過的等級測評機構應換發新證。復審未通過的，等保辦應督促其限期整改。

省級等保辦應及時將等級測評機構期滿復審情況報國家等保辦。

第十三條 等級測評師上崗前，等級測評機構應組織崗前培訓。培訓合格的，由等級測評機構配發上崗證。未取得測評師證書和上崗證的，不得參與等級測評項目。

等級測評師離職前，等級測評機構應與其簽訂離職保密承諾書，并收回上崗證。

第十四條 等級測評師應妥善保管等級測評師證書、上崗證，不得涂改、出借、出租和轉讓。

第十五條 等級測評機構應加強對本機構等級測評師的監督管理，定期組織開展安全保密教育和業務培訓。

第十六條 等級測評機構應嚴格按照信息安全等級保護標準規范公正、獨立地開展等級測評工作，依據模板出具信息系統安全等級測評報告，確保測評質量，全面、客觀地反映被測信息系統的安全保護狀況。

第十七條 等級測評機構開展測評項目不受地域、行業限制。等級測評機構應在測評項目合同簽訂以及項目完成后5個工作日內，向受理信息系統備案的公安機關報告等級測評項目有關情況。

第十八條 測評項目實施過程中，等級測評機構應接受等保辦的監督、檢查和指導。測評項目完成后，等級測評機構應請被測評信息系統運營使用單位對測評服務情況進行評價，評價情況由被測單位反饋等保辦。

第十九條 等級測評機構應定期向等保辦報送測評工作開展情況。根據測評實踐，每年底編制并報送信息系統安全狀況分析報告。第二十條 等級測評機構實行等級化管理。根據信息系統測評數量、機構規模、測評技術能力和服務質量等指標，對等級測評機構劃分為五個星級，最低為一星級，最高為五星級。等級測評機構星級評定標準由國家等保辦另行制定。

第二十一條 等級測評機構應于每年底向等保辦提交星級評定所需材料。

等保辦負責組織所推薦等級測評機構的星級評定審核工作，并出具星級評定意見。省級等保辦應及時將評定意見報國家等保辦審定，國家等保辦定期發布星級評定結果。

第二十二條 取得信息安全等級保護測評機構推薦證書未滿一年的，不參加星級評定。

第二十三條 等保辦負責對所推薦等級測評機構的日常監督檢查、測評項目抽查和年審工作，及時掌握等級測評機構工作情況。

第二十四條 等保辦應于每年底對所推薦的等級測評機構進行年審。等級測評機構自推薦之日起未滿6個月的，當年可免予年審。年審時，等級測評機構應提交以下材料：

（一）《信息安全等級保護測評機構年審表》；

（二）信息安全等級保護測評機構推薦證書副本；

（三）測評工作總結；

（四）其他所需材料。

第二十五條

國家等保辦負責組織開展等級測評機構能力驗證和抽查工作。

第二十六條 等級測評機構有下列情形之一的，等保辦應責令其限期整改；情形嚴重的，予以通報。

（一）未按照有關標準規范開展測評或未按規定出具信息系統安全等級測評報告的；

（二）影響被測評信息系統正常運行，危害被測評信息系統安全的；

（三）非授權占有、使用，未妥善保管等級測評相關資料及數據文件的；

（四）分包或轉包等級測評項目，以及擾亂測評市場秩序的；

（五）限定被測評單位購買、使用指定信息安全產品的；

（六）測評人員未取得等級測評師證書和上崗證從事等級測評活動的；

（七）未按本辦法規定向等保辦提交材料、報告情況或弄虛作假的；

（八）其他違反等級測評有關規定的行為。

第二十七條 等級測評機構有下列情形之一的，等保辦應取消其信息安全等級保護測評機構推薦證書，并向社會公告。

（一）因單位股權、人員等情況發生變動，不符合等級測評機構基本條件的；

（二）有信息安全產品開發、銷售或信息系統安全集成行為的；

（三）故意泄露被測評單位工作秘密、重要信息系統數據信息的；

（四）故意隱瞞測評過程中發現的安全問題，或者在測評過程中弄虛作假未如實出具等級測評報告的；

（五）一年內未開展信息系統測評工作或自愿退出《全國信息安全等級保護測評機構推薦目錄》的；

（六）連續兩年年審不合格或限期整改后仍未通過復審的；

（七）違反本辦法第二十六條規定，情節特別嚴重的。第二十八條 等級測評師有下列行為之一的，等保辦應責令等級測評機構督促其限期改正；情節嚴重的，責令等級測評機構暫停其參與測評工作；情形特別嚴重的，應注銷其等級測評師證書，并對其所在等級測評機構進行通報。

（一）未經允許擅自使用或泄露、出售等級測評工作中收集的數據信息、資料或信息系統安全等級測評報告的；

（二）違反本辦法第十四條規定，未妥善保管等級測評師證書、上崗證，有涂改、出借、出租和轉讓等行為的；

（三）測評行為失誤或不當，影響信息系統安全或造成運營使用單位利益損失的；

（四）其他違反等級測評有關規定的行為。第二十九條 等級測評機構及其等級測評師違反本辦法的相關規定，給被測評信息系統運營使用單位造成嚴重危害和損失的，由相關部門依照有關法律、法規予以處理。

第三十條 任何單位和個人如發現等級測評機構、等級測評師有違法、違規行為的，可向國家等保辦舉報、投訴。

第三十一條 本辦法由國家等保辦負責解釋。第三十二條 本辦法自發布之日起實施。