关于印发《四川省信息安全等级保护测评机构管理办法》的通知
四川省信息安全等级保护测评机构管理办法
第一章 总则
第一条 为提高全省信息系统的安全保护能力和水平,规范信息安全等级测评活动,根据国家《信息安全等级保护管理办法》、《信息安全等级保护测评机构管理办法》等有关文件及标准制定本办法。
第二条 本办法所称测评机构是指经国家有关部门培训考核和能力评估并获得推荐资质,从事对非涉及国家秘密信息系统安全等级保护状况进行检测评估等信息安全服务的机构。
等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、风险评估、应急保障、安全运维、安全监理等服务。
第三条 测评机构开展测评项目不受地域、行业限制,在四川省内开展等级测评活动的测评机构,适用本办法。
第二章 监管机构职责
第四条 申请成为测评机构的单位按国家等保办规定的程序开展报审工作。由省信息安全等级保护工作协调小组办公室(以下简称“等保办”)进行评估推荐,通过后报国家信息安全等级保护工作协调小组办公室审核。
第五条 省、市等保办对备案单位等级测评的测评机构及其测评活动进行监督、检查和指导。
第六条 省等保办定期召开测评机构工作会议,根据情况对测评项目进行抽查评估,组织开展年检,在“四川警察网”发布我省测评机构目录,通报相关工作信息。
第七条 省、市等保办根据情况组织测评机构开展网络安全执法检查、重大活动网络安保,以及重大突发网络安全事件应急处置等工作。
第三章 机构与人员管理
第八条 工商注册地在省内的测评机构名称、地址、法人、主要负责人、股权结构等重大事项发生变更的,或者其等级测评师变动的,测评机构应在变更后5个工作日内省等保办报告并申请办理变更手续。
第九条 工商注册地在省内的测评机构应当在推荐证书三年期满之前30日内,向省等保办申请复审。复审通过的,由省等保办向国家等保办申请换发新证。复审未通过的,省等保办应督促其限期整改。整改后仍未通过复审的,取消推荐资格。
第十条 省等保办在每年一季度对工商注册地在省内的测评机构开展年审,测评机构自推荐之日起未满6个月的,当年可免于年审。省等保办自接到年审申请材料之日起10个工作日内对申请材料进行审核,并及时将年审结论告知测评机构。年审时,测评机构应提交以下材料:
(一)《信息安全等级保护测评机构年审表》;
(二)信息安全等级保护测评机构推荐证书副本;
(三)年度测评工作总结;
(四)抽检报告;
(五)其他所需材料。
第十一条 测评机构应制定严格的保密管理、项目管理、质量管理、人员管理、档案管理、应急处置、培训教育等制度体系,保证等级测评活动的规范、客观、公正、安全进行。
第十二条 测评项目实施过程中,测评机构应接受被测评单位备案地的省或市级等保办的监督、检查和指导。测评项目完成后,测评机构应请被测评信息系统运营使用单位对测评服务情况进行评价,评价情况由被测单位反馈省等保办。
第十三条 等级测评师上岗前,测评机构应组织参加岗前培训。培训合格的,由测评机构配发上岗证。未取得测评师证书和上岗证的,不得参与测评项目。
等级测评师离职前,测评机构应与其签订离职保密承诺书,并收回上岗证。
第十四条 等级测评师应妥善保管等级测评师证书、上岗证,不得涂改、出借、出租和转让。
第四章 异地测评备案
第十五条 工商注册地址在省内的测评机构开展异地等级测评工作,应严格遵照国家等保办开展异地等级测评规定程序申报,并按备案申请地省、市等保办的要求,提供安全保护管理相关的资料及数据文件,接受监督管理。
第十六条 工商注册地址不在我省的测评机构来我省开展测评活动前,需在我省成立常设机构。开展等级测评活动前,必须按照国家等保办异地测评工作要求,到省及备案单位所在地市等保办备案,经批准后方可开展测评业务。
第十七条 异地测评备案申请时应当携带如下材料:
(一)《信息安全等级保护测评机构异地备案申请表》(以下简称《备案申请表》),《备案申请表》一式叁份,并提交电子文档;
(三)《组织机构代码证》正副本复印件;
(四)《信息安全等级保护测评机构推荐证书》;
(五)等级测评师资格证书复印件;
(六)常设机构相关证明文件。
(七)其他备案时需要提供的相关资料。
第十八条 经审核,对符合申请要求的,等保办应当自收到申请材料之日起的5个工作日内,将加盖等保办印章(或等级保护专用章)的《备案申请表》一份反馈测评机构,一份反馈被测评单位,一份存档。对不予批准申请的,应说明理由。
第五章 测评活动管理
第十九条 测评机构应按合法程序承接信息系统测评项目,禁止恶意竞争,扰乱市场秩序。测评机构在测评项目合同签定的同时,须与被测评单位签订测评服务合同和保密协议。测评机构在测评项目合同签定后5个工作日内,向受理备案的等保办报告等级测评项目有关情况,提交《测评服务合同》、《保密协议》及《信息安全等级测评项目登记表》,接受监督管理。
测评项目服务费用标准参照《中关村信息安全测评联盟等级测评项目收费指导意见》执行。被测评单位有预算的,测评费用最低应不低于被测评单位测评预算费用80%。各行业、地市有相关规定并报备省等保办的,优先适用行业、地方标准。
第二十条 测评机构应根据《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》等标准规范,编制《项目实施计划书》、《现场测评实施指导书》和《测评方案》等,现场访谈、实地测试应作好记录,档案管理规范,确保测评活动客观、公正、安全。
第二十一条 测评机构不得任用兼职测评师开展测评活动。从事第二级信息系统等级测评工作的测评机构至少应具有6名以上等级测评师,其中中级测评师不少于2名;第三级(含)以上信息系统等级测评工作的测评机构至少应具有10名以上等级测评师,其中中级测评师不少于4名,高级测评师不少于2名。
二级(含)以上信息系统测评项目,至少配备高级测评师1名,中级、初级测评师2名。除被测单位向备案地等保办申报测评整改期间外,中级、初级测评师不得同时参与2个(含)以上测评项目。
第二十二条 测评项目实施人员必须持证上岗。等级测评项目启动后,测评机构应将《等级测评服务情况评价表》交给被测评单位。项目完成后,被测评单位应将填写好的《等级测评服务情况评价表》加盖公章后提交省等保办。
第二十三条 等级测评项目中如发生质量、安全事故或其他影响信息系统正常运行的事件时,测评机构要与被测评单位合力开展应急处置工作并立即将情况报告等保办。
第二十四条 项目完成后,测评机构应按照《信息系统安全等级测评报告模板(试行)》规定的格式编制报告,在5个工作日内报送等级测评项目有关情况。测评报告一式叁份,一份测评机构存档,一份提交被测评单位,一份报等保办。
第二十五条 测评机构应定期总结等级测评工作情况,分析当前信息系统安全状况以及存在安全问题,提出对策意见,于每季度上报省等保办。
第六章 监督检查
第二十六条 地市等保办负责对属地备案单位测评项目,及参与、承担等级测评的测评机构在该项目的测评活动进行日常监管,发现相关问题报省等保核查处置。
第二十七条 省等保办每年组织或委托市等保办对测评机构开展的测评项目进行抽样检查。抽检以第二级以上(含)信息系统测评项目为主,每年度每家测评机构至少检查一个已完成的测评项目。
第二十八条 抽样检查按照正常等级测评工作流程开展。若抽检符合度不低于原测评符合度,则抽检合格;若抽检符合度低于原测评符合度,则抽检不合格。
第二十九条 等级测评师有下列行为之一的,等保办应责令等级测评机构督促其限期改正;情节严重的,责令等级测评机构暂停三个月参与测评工作;情形特别严重的,应通报公安部评估中心取消其等级测评师证书,并对其所在等级测评机构进行通报。
(一)未经允许擅自使用或泄露、出售等级测评工作中收集的数据信息、资料或信息系统安全等级测评报告的;
(二)未妥善保管等级测评师证书、上岗证,有涂改、出借、出租和转让等行为的;
(三)测评行为失误或不当,影响信息系统安全或造成运营使用单位利益损失的;
(四)违反国家招投标法及政府采购法,对测评公信力造成负面影响的;
(五)测评师有违法违规行为;直接或间接从事危害网络安全的活动,或者为他人从事危害网络安全的活动提供技术支持等协助,尚不构成犯罪的;
(六)其他违反等级测评有关规定的行为。
第三十条 测评机构有下列情形之一,省等保办向其下发《等级保护测评机构限期整改通知书》,责令三个月限期改正;情形严重的,予以通报。整改期内,不得从事测评活动。
(一)未按照有关标准规范开展测评或未按规定出具信息系统安全等级测评报告的;
(二)影响被测评信息系统正常运行,危害被测评信息系统安全的;
(三)非授权占有、使用或者未妥善保管等级测评相关资料及数据文件的;
(四)分包或转包等级测评项目;
(五)违反行业自律,以低价中标等方式恶意扰乱测评市场秩序的;
(六)限定被测评单位购买、使用指定信息安全产品的;
(七)测评人员未取得等级测评师证书和上岗证,从事等级测评活动的;或者使用兼职测评师进行测评活动的;或者测评师管理不严,出现第二十九条规定情形之一的;
(八)未取得备案批准,擅自开展测评活动的;
(九)未按本办法规定定期或按时向等保办提交材料、报告情况或弄虚作假的;
(十)测评项目抽检不合格的;
(十一)其他违反等级测评有关规定的行为。
第三十一条 测评机构有以下情况之一的,取消测评机构的推荐证书,并向社会公告。
(一)因单位股权、人员等情况发生变动,不符合等级测评机构基本条件的;
(二)有信息安全产品开发、销售或信息系统安全集成行为的;
(三)故意泄露被测评单位工作秘密、重要信息系统数据信息的;
(四)一年内出现三次(含)以上限期整改的;或者两年内累计出现五次(含)以上限期整改的;
(五)一年内未开展信息系统测评工作或自愿退出《全国信息安全等级保护测评机构推荐目录》的;
(六)违反本办法第三十条规定,情节特别严重的;
(七)其他严重违反等级测评有关规定,不适合再从事等级测评业务的。
第三十二条 测评机构或者等级测评师违反本办法的相关规定,给被测评单位造成损失的,应当依法承担法律责任。
第三十三条 测评机构及其等级测评师违反本办法的相关规定,给被测评信息系统运营使用单位造成严重危害和损失的,由相关部门依照有关法律、法规予以处理。
第三十四条 任何单位和个人如发现测评机构、等级测评师有违法、违规行为的,可向市、省、国家等保办逐级举报、投诉。
第七章 附则
第三十五条 本办法由省等保办负责解释。
第三十六条 本办法自发布之日起实施。