收藏 分享(赏)
下载资源 加入VIP,免费下载

网络安全等级保护测评机构管理办法.pdf

上传人:精品资料 文档编号:8537522 上传时间:2019-07-02 格式:PDF 页数:15 大小:586.48KB
下载 相关 举报
网络安全等级保护测评机构管理办法.pdf_第1页
第1页 / 共15页
网络安全等级保护测评机构管理办法.pdf_第2页
第2页 / 共15页
网络安全等级保护测评机构管理办法.pdf_第3页
第3页 / 共15页
网络安全等级保护测评机构管理办法.pdf_第4页
第4页 / 共15页
网络安全等级保护测评机构管理办法.pdf_第5页
第5页 / 共15页
点击查看更多>>
资源描述

1、 1 网络安全 等级 保护 测评机构 管理 办法 第一章 总则 第 一 条 为加强 网络安全 等级 保护 测评机构 (以下简称“ 测评机构”) 管理,规范 测评行为, 提高 等级 测评 能力和服务水平, 根据 中华人民共和国网络安全法和网络安全等级保护制度要求 ,制定本办法。 第 二 条 等级 测评工作,是指测评机构依据国家 网络安全 等级保护制度规定,按照有关管理规范和技术标准,对 已定级备案的 非涉及国家秘密 的网络(含 信息系统 、数据资源等) 的 安全 保护状况进行检测评估的活动。 测评机构 , 是指 依据国家 网络安全 等级保护制度规定 ,符合 本办法 规定 的基本条件, 经 省级以

2、上 网 络安全等级保护工作 领导(协调) 小组办公室 ( 以下简称 “等保办 ”) 审核 推荐, 从事等级测评 工作 的 机构。 第 三 条 测评机构实行 推荐 目录管理 。 测评机构 由省级以上 等保办 根据本办法规定,按照 统筹规划、合理布局的 原则 , 择优 推荐。 第 四 条 测评 机构联合成立测评联盟 。 测评联盟 按照章程 和有关测评 规范 , 加强行业自律 ,提高测评技术能力和服务质量。 测评联盟在国家等保办指导下开展工作。 第 五 条 测评机构 应 按照国家 有关 网络安全 法律法规规2 定 和 标准 规范 要求, 为用户提供 科学、 安全、客观、公正的等级 测评 服务 。 第

3、二章 测评机构 申请 第 六 条 申请成为测评机构的单位(以下简称 “申请单位 ”) 需向省级以上 等保办 提出申请。 国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门 的 申请 ,对申请单位进行审核、推荐;监督管理全国测评机构。 省级等保办负责受理本省(区、直辖市)申请单位的申请 ,对申请单位进行审核、推荐 ; 监督管理 其推荐的测评机构 。 第 七 条 申请单位 应 具备以下基本条件: (一)在中华人民共和国境内注册成立 , 由中国公民 、法人投资或者国家投资的企事业单位 ; ( 二 )产权关系明晰,注册资金 500 万元以上 ,独立经营核算 , 无违法 违规 记录; ( 三

4、)从事 网 络 安全 服务 两 年以上 , 具备一定的网络安全检测评估能力 ; ( 四 ) 法人、 主要负责人、 测评 人员仅限 中华人民共和国境内的中国公民,且无犯罪记录; 3 ( 五 ) 具有 网络 安全相关工作 经历 的 技术和管理 人员 不少于 15 人 , 专职渗透测试人员 不少 于 2 人 , 岗位职责清晰,且人员相对稳定 ; ( 六 )具 有 固定的办公场所, 配备 满足测评 业务需要 的检测评估工具、 实验环境 等 ; ( 七 )具有完备的 安全 保密管理、项目管理、质量管理、人员管理 、档案管理 和培训教育等 规章 制度; ( 八 ) 不涉及 网络安全 产品开发、销售或信息系

5、统安全集成等 可能影响测评结果 公正性 的 业务 (自 用除外) ; ( 九 ) 应 具备的其他条件。 第 八 条 申请时, 申请单位应 向等保办 提交 以下材料: (一) 网络安全 等级 保护 测评机构 推荐 申请表 ; (二) 近两年 从事 网络 安全 服务 情况 以及 网络 安全服务项目完整文档和相关用户证明 ; (三) 检测评估工作 所需 实验环境及测评工具、设备 设施情况 ; (四) 有关管理制度 情况 ; (五) 申请单位及其测评人员基本情况 ; ( 六 ) 应提交的其他材料。 第 九 条 等保办收到申请材料后,应在 10 个工作日内组织 初审 。 对 符合本办法第七条规定的申请单

6、位 , 应 委托 测评联盟 对其开展测评 能力评估 。 4 测评联盟 组 织 专家 , 根据标 准规范 对 申请单位 开展 能力评估,出具 测评 能力评估报告,并及时将能力评估情况 反馈等保办。 能力评估不达标的, 等保办应告知申请单位 初审未通过 。 第十 条 初审通过 的申请单位, 应 组织本单位人员 参加测评 师 培训 。 考试 合格的,取得 测评师证书。 测评师分为初级、中级和高级。 申请单位 应 至少有 15人 获 得 测评师 证书,其中高级 测评师 不少于 1 人 , 中级测评师 不少于 5 人。 第 十 一 条 等保办组织专家对 人员培训符合要求 的申请单位进行 复 核 。 复

7、核 通过的, 颁发 网络安全 等级 保护 测评机构 推荐证书 。 第十 二 条 测评机构实行目录管理, 国家等保办 编制 全国网络安全 等级 保护 测评机构 推荐目录 , 并 在 中 国网络安全等级保护网 网站 发布 并及时更新 。 省级 等保办应及时将本地 测评机构推荐情况报国家等保办 。 第十 三 条 省级等保办每年 年底根据测评工作需求制定下一年度测评机构推荐计划,并报国家等保办审定。 省级以上等保办受理 测评机构 申请的时间为每年三月份。 5 第十 四 条 测评联盟 应 组织专家 对 新推荐 测评机构 的 首个 测评项目 实施情况进行跟踪评议 ,并将结果 及时 报 等保办。等保办 组织

8、进行综合审查 。 第三章 测评机构 和 测评人员 管理 第十 五 条 测评机构 应 与被测评单位 签署测评服务协议, 依据 有关 标准规范开展测评业务, 防范测评风险, 客观准确 地反映被测 评对象 的安全保护状况 。 测评机构应 按照 统一 模板 出具 网络 安全等级测评报告,并 针对被测 评网络 分别 出具等级测评报告。 对 第三级以上网络提供等级测评服务的,测评师人数不得少于 4 名,其中高级测评师 、 中级测评师 应 各 不少于 1 名 。 第 十 六 条 测评机构应当指定 专人 管理 测评专用章 ,制定管理规范 ,不得滥用 。 出具 等级 测评报告时, 测评机构应加盖等级测评专用章。

9、未加盖专用章的报告,视为无效。 第 十 七 条 测评师上岗前, 测评机构应 组织 岗前培训 ;培训合格的 , 由 测评机构配发上岗证 ,上岗证 发放 情况应 于发放后 5 个工作日报等保办 。测评机构应当对测评师开展等级测评业务情况进行考核, 并留存相关记录 。 未取得测评师证书和上岗证的,不得参与等级测评项6 目。 测评师一年内未参与测评活动的, 测评 联盟 应 注销 其 证书 。 测评师实行年度注册管理。 年 审时, 测评机构 应将本机构测评师情况报等保办注册。 测评机构不得采取挂靠或者聘用兼职测评师开展 测评业务。 第十 八 条 测评机构应采取管理和技术措施保护 测评 活动中 相关 数据

10、和 信息的安全 ,不得泄露在测评服务中知悉的商业秘密、重要敏感信息和个人信息; 未经等保办同意,不得擅自发布、 披露在测评 服务中收集掌握的网络信息、系统漏洞、恶意代码、网络攻击 等信息。 第 十九 条 测评机构 提供测评服务 不受地域、行业 、 领域的 限制。 测评项目采取登记管理。 测评机构在 实施 测评 项目 之前,须 将 测评 项目 信息 及时、 准确 地 填报到 网络安全等级保护测评项目登记管理系统 ( 以下 简称 “ 项目管理系统 ” ) 。 测评机构应于 测评项目合同签订后 或 测评活动实施前 5个工作 日内, 通过 项目管理系统填报测评项目基本情况 ,不得于测评 项目 完成后进

11、行补录。 由于项目实施变更导致已登记信息与实际情况 不符 的,应及时修改并说明理由 。 第 二十 条 省级 以上 等保办 对测评机构填报 的信息 应在5 个工作日内 进行审核确认。 逾期未审核确认的,项目管理系统默认 审核 通过。 测评项目填报登记和审核确认的具体要求,参见 项目 管理系统填报指南 。 7 第 二十一 条 省级以上等保办在审核确认 测评 项目登记信息时,发现 测评机构 具有下列情形之一的, 应 不予审核通过 。 (一) 处于暂停测评 业 务期间 ; (二) 因违规被通报后,未 反馈 整改 情况 的; (三) 其他 不符合本办法规定 情形 的 。 第 二十二 条 属于异地测评项目

12、的 , 测评机构应从 项目管理系统中 生成 测评项目基本情况表 , 并于测评 项目 实施前报送 或传 至 被测评 网络 备案公安机关。 第 二十三 条 测评机构名称、地址、测评人员 、 主要负责人 和联系人 发生变更的 , 测评机构应在变更后 5 个工作日内向等保办报告 ,并提交变更材料 。 测评机构法人、股权结构 发生变更 或 其他重大事项 发生变更的 ,等保办应组织 重新进行推荐 审查 并出具审查意见 。测评机构 不得假借变更名义转让推荐证书 。 第 二十 四 条 测评机构应加强对测评 人员 的监督管理,定期组织 开展 安全保密教育和 测评 业务培训 , 签订安全保密责任书 ,规定其应当履

13、行的安全保密义务和承担的法律责任,并负责检查落实。 第 二 十 五 条 测评机构应 组织 测评师 参加 多种形式的 测评业务和技术培训 ,测评师每年培 训时长累计不少于 40 学时。 培训时长不足的,不予年度注册。 8 测评 联盟 确定测评业务和技术培训科目,发布 年度 测评培训 纲要。 第 二 十 六 条 测评师离职前, 测评机构应与其签订离职保密承诺书, 收回上岗证 并及时向等保办报备 。 自 离职 之日起 超过 6 个月 再 入职 测评机构 的 测评师 ,应通过 测评师 考试 后从事 测评活动 ; 自离职之日起一年内未入职测评机构从事测评活动的, 测评联盟 应注销其测评师证书。 第 二

14、十 七 条 测评机构应监督 测评师 妥善保管 测评师证书、上岗证,不得涂改、出借、出租和转让。 第 二 十 八 条 测评机构应当建立网络安全应急处置机制和纠纷 处理 机制 ,防范测评风险 ,妥善处理纠纷 。 第 二 十 九 条 测评项目完成后,测评机构应请被测 评 单位 对测评服务情况进行评价 , 评价情况 表 由 被测 单位 密封后反馈 测评机构,留存备查 。 第 三十 条 测评机构应 每季度 向等保办报送 测评 业务 开展情况 和测评数据 。根据测评实践, 测评机构 每年底编制 并向等保办报送 网络 安全状况分析报告。 测评机构在测评活动中,发现重大网络安全事件、重大网络安全风险隐患、高危

15、漏洞和重大网络安全威胁时,应及时报告公安机关。 第 三十一 条 国家等保办 每年第四季度 组织开展 测评机9 构能力验证 活动,并将能力 验证 结果 通报各省 级 等保办。 未参加能力验证的 测评机构 , 视为 能力 验证未通过。 第 三十 二 条 等保办 应于 每年 12 月 份 对 所推荐 测评机构进行 年审 。 年审通过的,等保办 在推荐证书副本上加盖等级保护专用章或等保办印章,发放测评师 注册标识。 年审时,测评机构应当提交以下材料: (一)网络安全等级 保护 测评机构年审表; (二) 网络安全等级 保护 测评机构 推荐证书副本; (三)年度测评工作总结; (四) 测评师年度注册表;

16、(五) 其他所需材料。 第三十 三 条 测评机构有 下列情形 之一 的 ,年审不予通过。 (一)未及时、 准确 地填报测评项目信息; ( 二)测评师培训时长不足 ; ( 三 ) 未定期 报送测评 业务 开展情况 和测评数据; ( 四 )能力验证未通过且整改方案 落实不到位 ; ( 五 )其他有关情形。 年审未通 过的,等保办责令测评机构限期整改 。 拒不整改或 整改不符合要求 的 ,应 暂停测评机构开展等级测评业务 。 10 第 三十 四 条 测评机构 推荐证书有效期为三年。测评机构应在推荐证书期满前 30 日内,向等保办申请 期满 复审。 等保办 应于收到期满 复审 申请后 5 个工作日内,

17、 组织开展 复审 工作 。复审通过的测评机构 ,由等保办 换发新证。省级等保办应及时将测评机构期满复审情况报国家等保办 汇总 。 期满 复审 时, 测评机构 应提交以下材料: (一)测评机构期满复审申请表; (二)年审 情况; (三 )其他需要提供的有关材料。 第 三十五 条 测评机构有下列情形 之一 的,期满复审不予通过。 (一) 累计两年年审未通过或三年能力验证未通过的 ; (二 )基本条件不符合的; (三 ) 违反本办法有关规定且 情形特别严重的; (四 ) 逾期 30 日未提交期满复审申请的 。 期满复审未通过的, 等保办 应 公告宣布取消其推荐证书 。 第四章 监督管理 第 三十 六

18、 条 省级以上等保办对测评机构 和测评业务开11 展 情况 进行监督 、检查、指导 。 国家等保办每年 组织 对测评机构 及测评活动 开展 监督抽查 。 测评项目实施过程中, 测评机构应接受 被测 网络 备案公安机关 的监督、检查和指导。 第 三十七 条 等保办开展监督检查时,重点检查以下内容: (一)测评机构基本条件符合情况 ; (二)测评机构管理制度执行情况 ; (三)测评机构相关事项变更报告 、 审查 情况 ; (四) 测评师管理、行为规范情况 ; (五) 测评项目实施情况 ; ( 六 )测评服务评价情况; ( 七 ) 测评报告 及相关 数据 文档 管理 情况 ; ( 八 )其他 需 监

19、督检查的事项 。 第 三十八 条 等保办、被测网络 备案公安机关在监督检查时 , 发现异地测评机构 有 违 反 本办法规定情形的,应书面通报 该 机构 推荐 等保办 。 等保办在收到通报后 ,应及时组织进行核查 处置 并 反馈 , 同时 将有关情况 报国家等保办。 第 三十九 条 等保办应及时将测评数据、测评机构 及其测评师 情况、 年审和期满复审情况、 监督检查情况等相关数12 据录入数据库。 第 四十 条 国家等保办 每年 对 全国 测评机构 开展年度 评定 活动 , 评 定 结果 及时 发布。 第 四十一 条 任何组织和个人有权向省级以上等保办 、测评联盟 投诉举报测评 机构和测评人员违

20、法 违规行为。 第 四十二 条 测评机构 违反本办 法第十 五 、 十六、 十七、十八、十九、 二十二 、二十三、二十四、二十 五、二十六 、二十七、二十八、二十九、三十 条 规定,等保办应责令其 限期 整改 ; 拒不 整改 或 情形严重的, 约谈 测评机构法人和 主要负责人;屡次违反上述规定或情形特别严重的,责令 其 暂停测评业务 ,并予 通报 。 第 四十 三 条 测评机构 有下列 情形 之一 的 ,等保办 责令其限期整改 ; 情形严重的 , 责令 整改期间暂停 测评业务 ,并予 通报 。 (一) 未按照有关标准规范开展测评 , 或未按规定出具测评报告的; (二) 分包 、 转包 、 代理

21、 测评项目 , 或 恶意竞争, 扰乱测评 工作正常开展 的; (三 ) 擅自 简化测评 工作 环节 , 或 未按测评流程要求开展测评工作的 ; (四 ) 监督检查 或 抽查 中发现 问题突出的 ; ( 五 )影响被测评 网络 正常运行 , 或 因测评不到位,未13 发现 网络中 存在相关漏洞隐患,导致被测评 网络 发生 重大 网络安全事件的; ( 六 )非授权占有、使用, 以及 未妥善保管等级测评相关资料及数据文件 的 ; ( 七 ) 限定被测评单位购买、使用指定 网络安全 产品 ,或与产品和服务商 存在利益勾结 行为的 ; ( 八 ) 非本机构测评师 或 测评人员未取得等级测评师证书和上岗证

22、 从事等级测评活动的; ( 九 ) 未通过测 评项目管理系统及时填报项目登记信息或未通过审核开展等级测评项 目 的 ; ( 十 ) 未按本办法规定向等保办提交材料或弄虚作假的; ( 十 一 ) 其他 违反 本办法 有关规定 行为 的。 第 四 十 四 条 测评机构有下 列 情 形 之一的,等保办 应 取消 其 推荐证书,并向社会公告 ,三年内不得再次申请。 (一 )运营管理不规范,屡次被 责令 整改,严重影响测评服务质量 的 ; ( 二 )因单位股权、人员等情况发生变动,不符合测评机构基本条件的; ( 三 )有网络安全产品开发、销售或 系统安全集成等影响测评结果公正性行为 ; 与产品提供商 、

23、 服务商或被测评方存在利益勾结 ,扰乱测评 业务 正常开展 的; 14 ( 四 )泄露被测评单位 工作秘密、 重要数据信息 的; ( 五 ) 隐瞒测评过程中发现的 重大 安全问题,或者在测评过程中弄虚作假 未如实出具等级测评报告的; ( 六 ) 一年内未开展测评 业务 (被暂停开展测评业务的情况除外) 或自愿 放弃 测评机构 推荐 资格 的; ( 七 )连续两年年审 未通过 或未通过 期满 复审的 ; ( 八 ) 测评实施期间,导致 被测评网络 发生宕机等严重网络安全事件的; ( 九 ) 有第 四十二 条、第四十 三 条情形, 造成特别严重后果或影响 特别 恶劣的 ; (十) 其他违反 法律法

24、规或 严重违反本办法规定 情形的 。 第 四 十 五 条 测评师有下列行为之一的,等保办责令测评机构督促其限期改正;情节严重的,责令测 评机构暂停其参与测评 业务 ;情形特别严重的, 应注销 其 测评师证书 ,责令 其 所在测评机构进行 限期整改 。 (一)未经允许擅自使用 、 泄露 或 出售等级测评 活动 中收集的数据信息、资料或测评报告的; (二)违反 本办法 规定 , 有涂改、出借、出租和转让 测评师证书、上岗证 等行为的 ; (三)测评行为失误或不当 , 严重 影响 网络 安全或 造成被 测评单位利益 重大 损失的; 15 (四)其他违反 本办法 有关规定 行为 的。 第 四 十 六

25、条 测评机构及其 测评师 违反本办法的相关规定,给 网络运营者 造成严重危害和损失 , 构成违法犯罪的,由相关部门依照有关法律、法规予以处理。 第 四 十 七 条 公安机关有关工作人员 在工作中 不得 利用职权索取、收受贿赂 ;不得 滥用职权 、 干预测评机构 及 测评业务 正常开展 ,以及法律法规禁止的其他行为 。 第四十 八 条 本办法自发布之日起实施 。 本办法由 国家等保办负责解释。 第四十 九 条 自 本办法 实施之日起, 信息安全等级保护测评机构管理办法、信息安全等级保护测评机构异地备案实施细则 、各地 自行制定的与本办法规定不符的 规范性 文件一律作废。 第五 十 条 本办法所称“以上”含本数。

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报