网络安全等级保护测评机构管理办法
- 格式:pdf
- 大小:586.48 KB
- 文档页数:15
《信息安全等级保护管理办法》1 信息安全等级保护管理办法(公通字[2007]43号)作者: 来源: 公安部、国家保密局、国家密码管理局、字体:大中小国务院信息工作办公室时间:2007-06-22第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
网络安全等级保护条例领导全国网络安全等级保护工作,负责制定网络安全等级保护工作的政策、标准和规范,指导、协调、监督网络安全等级保护工作的实施。
各级人民政府应当按照职责分工,加强对所辖区域网络安全等级保护工作的组织领导和监督管理。
网络运营者应当按照国家标准和规范,建立健全网络安全等级保护制度,明确网络安全等级保护的职责和义务,采取有效措施保障网络安全等级保护。
第六条【等级划分】网络安全等级保护工作实行分级分类管理,分为三个等级:重要信息系统安全保护等级、网络安全等级保护等级和基本网络安全保护等级。
第七条【等级保护】网络安全等级保护工作应当按照等级保护要求,采取相应的技术、管理和物理保护措施,保障网络安全等级保护。
网络安全等级保护等级的划分和保护要求,由XXX会同有关部门制定并公布。
第八条【信息公开】XXX应当定期公布网络安全等级保护工作的有关情况,接受社会公众和相关组织的监督和检查。
各级人民政府应当按照有关规定,加强对本行政区域网络安全等级保护工作的宣传和教育,提高公众网络安全意识和自我保护能力。
网络运营者应当按照国家有关规定,公开网络安全等级保护制度、等级保护情况和相关技术、管理和物理保护措施,接受社会公众和相关组织的监督和检查。
网络安全等级保护条例(征求意见稿)目录总则。
- 2 -支持与保障。
- 4 -网络的安全保护。
- 5 -涉密网络的安全保护。
- 13 -密码管理。
- 15 -监督管理。
- 17 -法律责任。
- 21 -附则。
- 23 -领导网络安全等级保护工作的统筹协调工作由国家网信部门负责。
公安部门负责监督管理网络安全等级保护工作,依法组织开展网络安全保卫。
涉密网络分级保护工作由国家保密行政管理部门主管,负责相关保密工作的监督管理。
密码管理工作由国家密码管理部门负责监督管理。
其他有关部门在各自职责范围内开展网络安全等级保护相关工作。
县级以上地方人民政府应依照法律法规规定,开展网络安全等级保护工作。
信息安全等级保护管理办法(公通字[2007]43号)作者 : 来源 : 公安部、国家保密局、国家密码管理局、字体:大中小国务院信息工作办公室时间:2007-06-22第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
信息安全等级保护管理办法(公通字[2007]43号)公安部、国家保密局、国家密码管理局、国务院信息工作办公室第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
网络安全等级保护测评机构管理办法第一章总则第一条为加强网络安全等级保护测评机构(以下简称“测评机构”)管理,规范测评行为,提高等级测评能力和服务水平,根据《中华人民共和国网络安全法》和网络安全等级保护制度要求,制定本办法。
第二条等级测评工作,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。
测评机构,是指依据国家网络安全等级保护制度规定,符合本办法规定的基本条件,经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐,从事等级测评工作的机构。
第三条测评机构实行推荐目录管理。
测评机构由省级以上等保办根据本办法规定,按照统筹规划、合理布局的原则,择优推荐。
第四条测评机构联合成立测评联盟。
测评联盟按照章程和有关测评规范,加强行业自律,提高测评技术能力和服务质量。
测评联盟在国家等保办指导下开展工作。
第五条测评机构应按照国家有关网络安全法律法规规定和标准规范要求,为用户提供科学、安全、客观、公正的等级测评服务。
第二章测评机构申请第六条申请成为测评机构的单位(以下简称“申请单位”)需向省级以上等保办提出申请。
国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请,对申请单位进行审核、推荐;监督管理全国测评机构。
省级等保办负责受理本省(区、直辖市)申请单位的申请,对申请单位进行审核、推荐;监督管理其推荐的测评机构。
第七条申请单位应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金500万元以上,独立经营核算,无违法违规记录;(三)从事网络安全服务两年以上,具备一定的网络安全检测评估能力;(四)法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民,且无犯罪记录;(五)具有网络安全相关工作经历的技术和管理人员不少于15人,专职渗透测试人员不少于2人,岗位职责清晰,且人员相对稳定;(六)具有固定的办公场所,配备满足测评业务需要的检测评估工具、实验环境等;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度;(八)不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务(自用除外);(九)应具备的其他条件。
《⽹络安全等级保护条例》与《信息安全等级保护管理办法》 2018年6⽉27⽇,公安部发布《⽹络安全等级保护条例(征求意见稿)》(以下简称“《征求意见稿》”),向社会公开征求意见。
《征求意见稿》包括总则、⽀持与保障、⽹络的安全保护、涉密⽹络的安全保护、密码管理、监督管理、法律责任和附则等⼋章,共七⼗三条。
《征求意见稿》对于⽹络安全等级保护的各项要求、⼯作流程、涉密⽹络、密码管理等⽅⾯做出了⾮常细致的规定。
对⽐《⽹络安全法》颁布之前的《信息安全等级保护管理办法》及其配套的相关规范、标准(以下简称“等保1.0”),《⽹络安全法》颁布之后的⽹络安全等级保护制度(以下简称“等保2.0”)结合新时期的⽹络安全新形势、新变化以及新技术、新应⽤的发展提出了更⾼的要求,⽹络安全等级保护制度成为⼀个全新的国家⽹络安全基本制度体系。
我们昨天推出《从<⽹络安全等级保护条例(征求意见稿)>看等保1.0到等保2.0的重要变化》,以《征求意见稿》为抓⼿,从法律依据的效⼒位阶、领导机构和主管部门、保护对象和适⽤范围、等级分类界定、法律责任五个⾓度,对等保1.0到等保2.0所发⽣的重要变化进⾏分析。
本⽂为《从<⽹络安全等级保护条例(征求意见稿)>看等保1.0到等保2.0的重要变化》中提到的《征求意见稿》与《管理办法》的条款⽐对,读者可通过本⽂对等保1.0到等保2.0的变化做更深⼊的了解。
下列对⽐中,前为等保2.0《⽹络安全等级保护条例(征求意见稿)》,后为等保1.0《信息安全等级保护管理办法》。
宗旨加强⽹络安全等级保护⼯作,提⾼⽹络安全防范能⼒和⽔平,维护⽹络空间主权和国家安全、社会公共利益,保护公民、法⼈和其他组织的合法权益,促进经济社会信息化健康发展规范信息安全等级保护管理,提⾼信息安全保障能⼒和⽔平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设⽴法依据《⽹络安全法》、《保守国家秘密法》等《计算机信息系统安全保护条例》等定义⽹络:由计算机或者其他信息终端及相关设备组成的按照⼀定的规则和程序对信息进⾏收集、存储、传输、交换、处理的系统。
公安部第十一局关于印发《网络安全等级保护测评机构管理办法》的通知【法规类别】互联网公安综合规定网络安全管理【发文字号】公信安[2018]765号【发布部门】公安部【发布日期】2018.03.23【实施日期】2018.03.23【时效性】现行有效【效力级别】部门规范性文件公安部第十一局关于印发《网络安全等级保护测评机构管理办法》的通知(公信安〔2018〕765号)各省、自治区、直辖市公安厅、局网络安全保卫总队,新疆生产建设兵团公安局网络安全保卫总队:为进一步加强网络安全等级保护测评机构管理,规范测评行为,提升测评能力和质量,保障国家网络安全等级保护制度深入贯彻实施,我局在近年来工作实践的基础上,组织制定了《网络安全等级保护测评机构管理办法》。
现印发各地,请认真贯彻执行。
公安部第十一局2018年3月23日网络安全等级保护测评机构管理办法第一章总则第一条为加强网络安全等级保护测评机构(以下简称“测评机构”)管理,规范测评行为,提高等级测评能力和服务水平,根据《中华人民共和国网络安全法》和网络安全等级保护制度要求,制定本办法。
第二条等级测评工作,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。
测评机构,是指依据国家网络安全等级保护制度规定,符合本办法规定的基本条件,经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐,从事等级测评工作的机构。
第三条测评机构实行推荐目录管理。
测评机构由省级以上等保办根据本办法规定,按照统筹规划、合理布局的原则,择优推荐。
第四条测评机构联合成立测评联盟。
测评联盟按照章程和有关测评规范,加强行业自律,提高测评技术能力和服务质量。
测评联盟在国家等保办指导下开展工作。
第五条测评机构应按照国家有关网络安全法律法规规定和标准规范要求,为用户提供科学、安全、客观、公正的等级测评服务。
网络安全等级保护测评机构管理办
法
网络安全等级保护测评机构管理办法是由国家发展改革委同国家信息安全管理部门制定的,为了规范网络安全等级保护测评机构的运行,保障网络安全等级保护测评的质量。
1、网络安全等级保护测评机构必须遵守中华人民共和国相关法律、法规和规章,并设立专业的技术部门,负责承担网络安全等级保护测评工作。
2、网络安全等级保护测评机构应当建立健全内部管理制度,制定出具特定文件的流程,严格控制网络安全等级保护测评的质量。
3、网络安全等级保护测评机构应当依据国家有关法规,严格实施认证、评估、审计等网络安全等级保护测评工作,提高安全等级保护的能力。
4、网络安全等级保护测评机构应当定期向国家有关部门报告其网络安全等级保护测评情况,及时披露被测评信息系统存在的安全风险,并为网络安全等级保护测评工作提供技术支持。
5、网络安全等级保护测评机构不得泄露任何关于被测评信息系统的信息,及网络安全等级保护测评的结果,任何违反此规定的行为,将受到严厉处罚。
信息安全等级保护管理办法(公通字[2007]43号)作者:来源:公安部、国家保密局、国家密码管理局、国务院信息工字体:作办公室时间:2007-06-22第一章?总则????第一条?为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
????第二条?国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
????第三条?公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
????第四条?信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
????第五条?信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
????第二章?等级划分与保护????第六条?国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
????第七条?信息系统的安全保护等级分为以下五级:????第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
????第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
福建省网络安全等级测评与检测评估活动管理办法2015年12月31日,国家网信办公布《网络安全等级测评管理办法》,自2015年12月31日起施行。
《办法》明确了网络安全等级测评的定义和原则:为保证网络系统或服务的安全,依据国家网络安全等级测评相关规定,通过测评将系统或服务建设到一定等级而开展全面检测评估。
《办法》指出:网络安全等级测评应当由经国家网信办备案认定的网络安全等级测评机构开展,其测评活动应当在省(区)级以上网络安全等级测评机构完成,并报省(区)级以上公安机关信息网络安全监督管理部门备案。
此外,从事网络安全等级测评的机构应当依法取得资质并通过国家认证认可监督管理委员会(以下简称“国家认证认可监督管理委员会”)的网络安全等级测评三级以上资质认证。
一、省(区)级以上公安机关信息网络安全监督管理部门(以下简称“信息网络安全监督管理部门”)负责对本行政区域内从事网络安全等级测评和检测评估的机构进行监督管理。
信息网络安全监督管理部门应当自受理之日起15个工作日内对申请开展网络安全等级测评的机构进行审核;在收到申请材料之日起15个工作日内出具审核意见;自审核意见出具之日起15个工作日内组织评估机构应当将评估报告报省(区)级以上公安机关信息网络安全监督管理部门备案。
获得备案认定的机构,应当按照网络安全等级测评相关规定对其提供的测评结果进行检测评估并出具测评报告(详见附件1)。
检测报告应当包括信息系统安全等级保护制度建设情况、网络安全情况、数据保护情况、网络信息安全事件应对措施、发现网络安全隐患或网络安全事件响应措施等内容。
1、省级信息系统安全等级保护工作主管部门应当在省级公安机关信息网络安全监督管理部门公布的机构名录库中,根据需要选择一定数量符合条件的机构开展网络安全等级测评。
测评方案应当包括下列内容:网络安全等级测评的目标、范围、内容和程序等;机构的组织机构、资质条件和资质能力等;信息安全管理人员和操作人员等;信息系统测评服务的范围和程序等;信息系统安全保障措施。
网络安全等级保护之等级测评460500587本文主要介绍测评工作的内容、流程、方法,介绍测评机构和测评人员,测评工作中的风险及其控制,最后介绍等级测评报告主要内容及说明。
一、基本工作1、测评概念测评(简称“等级测评”)是指测评机构依据国家网络安全等级保护管理制度规定,按照有关管理规范和技术标准对涉及国家机密的信息系统安全保护状况进行分等级测试评估的活动。
等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上网络安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。
等级测评是合规性评判活动,基本依据不是个人或者测评机构的经验,而是网络安全等级保护的国家有关标准,无论是测评指标来源,还是测评方法的选择、测评内容的确定以及结果判定等活动均应依据国家相关的标准进行,按照特定方法对信息系统的安全保护能力进行科学公正的综合评判过程。
2、测评作用和目的通过进行测评,能够对信息系统体系能力的分析与确认;发现存在的安全隐患;帮助运营使用单位认识不足,及时改进;有效提升其防护水平;遵循国家有关规定的要求,对信息系统安全建设进行符合性测评。
测评的作用如下:① 掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求。
② 衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。
③ 等级测评结果,为公安机关等安全监管部门开展监督、检查、指导等工作提供参照。
为了达到上述目的,开展等级测评的最好时期是安全建设整改前、安全建设整改后,及其常规性定期开展测评,如三级系统每年至少开展一次等级测评。
3、测评标准依据《管理办法》第十四条规定:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评;第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
网络安全等级保护测评机构管理办法第一章总则第一条为加强网络安全等级保护测评机构(以下简称“测评机构”)管理,规范测评行为,提高等级测评能力和服务水平,根据《中华人民共和国网络安全法》和网络安全等级保护制度要求,制定本办法。
第二条等级测评工作,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。
测评机构,是指依据国家网络安全等级保护制度规定,符合本办法规定的基本条件,经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐,从事等级测评工作的机构。
第三条测评机构实行推荐目录管理。
测评机构由省级以上等保办根据本办法规定,按照统筹规划、合理布局的原则,择优推荐。
第四条测评机构联合成立测评联盟。
测评联盟按照章程和有关测评规范,加强行业自律,提高测评技术能力和服务质量。
测评联盟在国家等保办指导下开展工作。
第五条测评机构应按照国家有关网络安全法律法规规定和标准规范要求,为用户提供科学、安全、客观、公正的等级测评服务。
第二章测评机构申请第六条申请成为测评机构的单位(以下简称“申请单位”)需向省级以上等保办提出申请。
国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请,对申请单位进行审核、推荐;监督管理全国测评机构。
省级等保办负责受理本省(区、直辖市)申请单位的申请,对申请单位进行审核、推荐;监督管理其推荐的测评机构。
第七条申请单位应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金500 万元以上,独立经营核算,无违法违规记录;(三)从事网络安全服务两年以上,具备一定的网络安全检测评估能力;(四)法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民,且无犯罪记录;(五)具有网络安全相关工作经历的技术和管理人员不少于15 人,专职渗透测试人员不少于2 人,岗位职责清晰,且人员相对稳定;(六)具有固定的办公场所,配备满足测评业务需要的检测评估工具、实验环境等;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度;(八)不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务(自用除外);(九)应具备的其他条件。
1范围本标准规定了等级测评机构的术语和定义、能力要求、评估规范。
适用于等级测评机构能力建设、资格评定等活动。
2规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 28449 信息安全技术信息安全等级保护测评过程指南《信息安全等级保护测评机构管理办法》3术语与定义3.1等级测评 Classified Cybersecurity Protection Assessment依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
3.2等级测评机构 Assessment Organization of Classified Cybersecurity Protection 依据国家网络安全等级保护制度规定,具备《信息安全等级保护测评机构管理办法》规定的基本条件,经能力评估和审核推荐,从事等级测评等信息安全服务的机构。
3.3能力评估 Capability Evaluation依据标准和(或)其他规范性文件,对等级测评机构申请单位的能力进行评审、验证和评价的过程。
3.4评估机构 Capability Evaluation对申请成为测评机构的企事业单位进行能力评估的专业技术机构。
3.5被评估机构 Evaluatee具备《信息安全等级保护测评机构管理办法》中要求的基本条件,准备对其等级测评能力进行评估的企事业单位。
3.6初次评估 First-time Evaluation评估机构依据本规范和相关文件,首次对被评估机构能力进行核查、验证和评价的过程。
3.7期间评估 Continuous Evaluation为已经获得推荐证书的测评机构是否持续地符合能力要求而在证书有效期内安排的定期或不定期的评估、抽查等活动。
3.8能力复评 Capability Review测评机构推荐证书有效期结束前,由评估机构对其实施全面评估以确认其是否持续符合能力要求,为延续到下一个推荐有效期提供依据的活动。
网络安全等级保护测评机构管理办法第一章总则第一条为加强网络安全等级保护测评机构(以下简称“测评机构”)管理,规范测评行为,提高等级测评能力和服务水平,根据《中华人民共和国网络安全法》和网络安全等级保护制度要求,制定本办法。
第二条等级测评工作,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。
测评机构,是指依据国家网络安全等级保护制度规定,符合本办法规定的基本条件,经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐,从事等级测评工作的机构。
第三条测评机构实行推荐目录管理。
测评机构由省级以上等保办根据本办法规定,按照统筹规划、合理布局的原则,择优推荐。
第四条测评机构联合成立测评联盟。
测评联盟按照章程和有关测评规范,加强行业自律,提高测评技术能力和服务质量。
测评联盟在国家等保办指导下开展工作。
第五条测评机构应按照国家有关网络安全法律法规规定和标准规范要求,为用户提供科学、安全、客观、公正的等级测评服务。
第二章测评机构申请第六条申请成为测评机构的单位(以下简称“申请单位”)需向省级以上等保办提出申请。
国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请,对申请单位进行审核、推荐;监督管理全国测评机构。
省级等保办负责受理本省(区、直辖市)申请单位的申请,对申请单位进行审核、推荐;监督管理其推荐的测评机构。
第七条申请单位应具备以下基本条件:(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;(二)产权关系明晰,注册资金500万元以上,独立经营核算,无违法违规记录;(三)从事网络安全服务两年以上,具备一定的网络安全检测评估能力;(四)法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民,且无犯罪记录;(五)具有网络安全相关工作经历的技术和管理人员不少于15人,专职渗透测试人员不少于2人,岗位职责清晰,且人员相对稳定;(六)具有固定的办公场所,配备满足测评业务需要的检测评估工具、实验环境等;(七)具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度;(八)不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务(自用除外);(九)应具备的其他条件。
第八条申请时,申请单位应向等保办提交以下材料:(一)网络安全等级保护测评机构推荐申请表;(二)近两年从事网络安全服务情况以及网络安全服务项目完整文档和相关用户证明;(三)检测评估工作所需实验环境及测评工具、设备设施情况;(四)有关管理制度情况;(五)申请单位及其测评人员基本情况;(六)应提交的其他材料。
第九条等保办收到申请材料后,应在10个工作日内组织初审。
对符合本办法第七条规定的申请单位,应委托测评联盟对其开展测评能力评估。
测评联盟组织专家,根据标准规范对申请单位开展能力评估,出具测评能力评估报告,并及时将能力评估情况反馈等保办。
能力评估不达标的,等保办应告知申请单位初审未通过。
第十条初审通过的申请单位,应组织本单位人员参加测评师培训。
考试合格的,取得测评师证书。
测评师分为初级、中级和高级。
申请单位应至少有15人获得测评师证书,其中高级测评师不少于1人,中级测评师不少于5人。
第十一条等保办组织专家对人员培训符合要求的申请单位进行复核。
复核通过的,颁发《网络安全等级保护测评机构推荐证书》。
第十二条测评机构实行目录管理,国家等保办编制《全国网络安全等级保护测评机构推荐目录》,并在中国网络安全等级保护网网站发布并及时更新。
省级等保办应及时将本地测评机构推荐情况报国家等保办。
第十三条省级等保办每年年底根据测评工作需求制定下一年度测评机构推荐计划,并报国家等保办审定。
省级以上等保办受理测评机构申请的时间为每年三月份。
第十四条测评联盟应组织专家对新推荐测评机构的首个测评项目实施情况进行跟踪评议,并将结果及时报等保办。
等保办组织进行综合审查。
第三章测评机构和测评人员管理第十五条测评机构应与被测评单位签署测评服务协议,依据有关标准规范开展测评业务,防范测评风险,客观准确地反映被测评对象的安全保护状况。
测评机构应按照统一模板出具网络安全等级测评报告,并针对被测评网络分别出具等级测评报告。
对第三级以上网络提供等级测评服务的,测评师人数不得少于4名,其中高级测评师、中级测评师应各不少于1名。
第十六条测评机构应当指定专人管理测评专用章,制定管理规范,不得滥用。
出具等级测评报告时,测评机构应加盖等级测评专用章。
未加盖专用章的报告,视为无效。
第十七条测评师上岗前,测评机构应组织岗前培训;培训合格的,由测评机构配发上岗证,上岗证发放情况应于发放后5个工作日报等保办。
测评机构应当对测评师开展等级测评业务情况进行考核,并留存相关记录。
未取得测评师证书和上岗证的,不得参与等级测评项目。
测评师一年内未参与测评活动的,测评联盟应注销其证书。
测评师实行年度注册管理。
年审时,测评机构应将本机构测评师情况报等保办注册。
测评机构不得采取挂靠或者聘用兼职测评师开展测评业务。
第十八条测评机构应采取管理和技术措施保护测评活动中相关数据和信息的安全,不得泄露在测评服务中知悉的商业秘密、重要敏感信息和个人信息;未经等保办同意,不得擅自发布、披露在测评服务中收集掌握的网络信息、系统漏洞、恶意代码、网络攻击等信息。
第十九条测评机构提供测评服务不受地域、行业、领域的限制。
测评项目采取登记管理。
测评机构在实施测评项目之前,须将测评项目信息及时、准确地填报到网络安全等级保护测评项目登记管理系统(以下简称“项目管理系统”)。
测评机构应于测评项目合同签订后或测评活动实施前5个工作日内,通过项目管理系统填报测评项目基本情况,不得于测评项目完成后进行补录。
由于项目实施变更导致已登记信息与实际情况不符的,应及时修改并说明理由。
第二十条省级以上等保办对测评机构填报的信息应在5个工作日内进行审核确认。
逾期未审核确认的,项目管理系统默认审核通过。
测评项目填报登记和审核确认的具体要求,参见《项目管理系统填报指南》。
第二十一条省级以上等保办在审核确认测评项目登记信息时,发现测评机构具有下列情形之一的,应不予审核通过。
(一)处于暂停测评业务期间;(二)因违规被通报后,未反馈整改情况的;(三)其他不符合本办法规定情形的。
第二十二条属于异地测评项目的,测评机构应从项目管理系统中生成测评项目基本情况表,并于测评项目实施前报送或传至被测评网络备案公安机关。
第二十三条测评机构名称、地址、测评人员、主要负责人和联系人发生变更的,测评机构应在变更后5个工作日内向等保办报告,并提交变更材料。
测评机构法人、股权结构发生变更或其他重大事项发生变更的,等保办应组织重新进行推荐审查并出具审查意见。
测评机构不得假借变更名义转让推荐证书。
第二十四条测评机构应加强对测评人员的监督管理,定期组织开展安全保密教育和测评业务培训,签订安全保密责任书,规定其应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第二十五条测评机构应组织测评师参加多种形式的测评业务和技术培训,测评师每年培训时长累计不少于40学时。
培训时长不足的,不予年度注册。
测评联盟确定测评业务和技术培训科目,发布年度测评培训纲要。
第二十六条测评师离职前,测评机构应与其签订离职保密承诺书,收回上岗证并及时向等保办报备。
自离职之日起超过6个月再入职测评机构的测评师,应通过测评师考试后从事测评活动;自离职之日起一年内未入职测评机构从事测评活动的,测评联盟应注销其测评师证书。
第二十七条测评机构应监督测评师妥善保管测评师证书、上岗证,不得涂改、出借、出租和转让。
第二十八条测评机构应当建立网络安全应急处置机制和纠纷处理机制,防范测评风险,妥善处理纠纷。
第二十九条测评项目完成后,测评机构应请被测评单位对测评服务情况进行评价,评价情况表由被测单位密封后反馈测评机构,留存备查。
第三十条测评机构应每季度向等保办报送测评业务开展情况和测评数据。
根据测评实践,测评机构每年底编制并向等保办报送网络安全状况分析报告。
测评机构在测评活动中,发现重大网络安全事件、重大网络安全风险隐患、高危漏洞和重大网络安全威胁时,应及时报告公安机关。
第三十一条国家等保办每年第四季度组织开展测评机构能力验证活动,并将能力验证结果通报各省级等保办。
未参加能力验证的测评机构,视为能力验证未通过。
第三十二条等保办应于每年12月份对所推荐测评机构进行年审。
年审通过的,等保办在推荐证书副本上加盖等级保护专用章或等保办印章,发放测评师注册标识。
年审时,测评机构应当提交以下材料:(一)网络安全等级保护测评机构年审表;(二)网络安全等级保护测评机构推荐证书副本;(三)年度测评工作总结;(四)测评师年度注册表;(五)其他所需材料。
第三十三条测评机构有下列情形之一的,年审不予通过。
(一)未及时、准确地填报测评项目信息;(二)测评师培训时长不足;(三)未定期报送测评业务开展情况和测评数据;(四)能力验证未通过且整改方案落实不到位;(五)其他有关情形。
年审未通过的,等保办责令测评机构限期整改。
拒不整改或整改不符合要求的,应暂停测评机构开展等级测评业务。
第三十四条测评机构推荐证书有效期为三年。
测评机构应在推荐证书期满前30日内,向等保办申请期满复审。
等保办应于收到期满复审申请后5个工作日内,组织开展复审工作。
复审通过的测评机构,由等保办换发新证。
省级等保办应及时将测评机构期满复审情况报国家等保办汇总。
期满复审时,测评机构应提交以下材料:(一)测评机构期满复审申请表;(二)年审情况;(三)其他需要提供的有关材料。
第三十五条测评机构有下列情形之一的,期满复审不予通过。
(一)累计两年年审未通过或三年能力验证未通过的;(二)基本条件不符合的;(三)违反本办法有关规定且情形特别严重的;(四)逾期30日未提交期满复审申请的。
期满复审未通过的,等保办应公告宣布取消其推荐证书。
第四章监督管理第三十六条省级以上等保办对测评机构和测评业务开展情况进行监督、检查、指导。
国家等保办每年组织对测评机构及测评活动开展监督抽查。
测评项目实施过程中,测评机构应接受被测网络备案公安机关的监督、检查和指导。
第三十七条等保办开展监督检查时,重点检查以下内容:(一)测评机构基本条件符合情况;(二)测评机构管理制度执行情况;(三)测评机构相关事项变更报告、审查情况;(四)测评师管理、行为规范情况;(五)测评项目实施情况;(六)测评服务评价情况;(七)测评报告及相关数据文档管理情况;(八)其他需监督检查的事项。
第三十八条等保办、被测网络备案公安机关在监督检查时,发现异地测评机构有违反本办法规定情形的,应书面通报该机构推荐等保办。