当前位置:首页 > 监督管理 > 机构监管 > 正文

江苏省信息安全等级保护测评机构管理办法

发布时间: 2016-02-26 16:25:56   浏览次数:

第一章 总则

第一条 为提高全省信息系统的安全保护能力和水平,规范信息安全等级测评活动,根据国家《信息安全等级保护管理办法》、《信息安全等级保护测评机构管理办法》等有关文件及标准制定本办法。

第二条 本办法所称测评机构是指经国家有关部门培训考核和能力评估并获得推荐资质,从事对非涉及国家秘密信息系统安全等级保护状况进行检测评估等信息安全服务的机构。

等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、风险评估、应急保障、安全运维、安全监理等服务。

第三条 在江苏省行政区划内开展等级测评活动的测评机构,适用本办法。

 

第二章 监管机构职责

第四条 按照“统筹规划、合理布局、安全规范”的原则,省、市信息安全等级保护工作协调小组办公室(以下简称“等保办”)对测评机构实行“备案审核推荐制度”,对测评机构及其工作人员、测评活动进行监督、检查和指导。

申请成为测评机构的单位按国家等保办规定的程序开展报审工作。

信息安全职能部门和行业性测评机构在我省开展等级测评工作,遵照本办法执行。

第五条 省等保办承担指导省级党政机关各部门、省属企事业单位(高校按属地进行管理)、在宁中央派驻机构及部属企事业单位,以及电力等信息系统具有明显行业特殊性的重要行业的信息安全等级保护工作,对省级信息安全职能部门和重点行业主管部门推荐的从事上述单位、行业信息系统等级测评活动的测评机构进行监督管理。上述单位、行业信息系统定级备案工作由省级公安机关受理。

各市信息安全等级保护工作协调小组办公室(以下简称“市等保办”)承担指导属地除省等保办监管范围外的单位、行业的信息安全等级保护工作,对推荐从事上述单位、行业信息系统等级测评活动的测评机构和工商注册地在本地的测评机构进行监督管理。上述单位、行业信息系统定级备案工作由市级公安机关受理。

省等保办应定期发布公告,在《江苏信息安全等级保护网》发布在我省符合备案条件的、能够开展测评活动的测评机构目录,并通报测评机构活动及被抽检情况。

 

第三章 机构与人员管理

第六条 工商注册地在省内的测评机构名称、地址、法人、主要负责人、股权结构等重大事项发生变更的,或者其等级测评师变动的,测评机构应在变更后5个工作日内向注册地所在市等保办报告并申请办理变更手续。市等保办预审后,应及时将变更情况报请省等保办审核。

第七条 工商注册地在省内的测评机构应当在推荐证书三年期满之前30日内,向省等保办申请复审。复审通过的,由省等保办向国家等保办申请换发新证。复审未通过的,省等保办应督促其限期整改。整改后仍未通过复审的,取消推荐资格。

第八条 省等保办应在每年一季度对工商注册地在省内的测评机构开展年审,测评机构自推荐之日起未满6个月的,当年可免于年审。省等保办自接到年审申请材料之日起10个工作日内对申请材料进行审核,并及时将年审结论告知测评机构。年审时,测评机构应提交以下材料:

(一)《信息安全等级保护测评机构年审表》;

(二)信息安全等级保护测评机构推荐证书副本;

(三)年度测评工作总结;

(四)抽检报告;

(五)其他所需材料。

第九条 测评机构应制定严格的保密管理、项目管理、质量管理、人员管理、应急处置、培训教育等制度体系,保证等级测评活动的规范、客观、公正、安全进行。

第十条 测评项目实施过程中,测评机构应接受被测评单位备案地的省或市级等保办的监督、检查和指导。测评项目完成后,测评机构应请被测评信息系统运营使用单位对测评服务情况进行评价,评价情况由被测单位反馈等保办。

第十一条 等级测评师上岗前,测评机构应组织参加岗前培训。培训合格的,由测评机构配发上岗证。未取得测评师证书和上岗证的,不得参与测评项目。

等级测评师离职前,测评机构应与其签订离职保密承诺书,并收回上岗证。

第十二条 等级测评师应妥善保管等级测评师证书、上岗证,不得涂改、出借、出租和转让。

 

第四章 备案管理

第十三条 测评机构开展测评项目不受地域、行业限制。为便于等保办的日常监管,测评机构在每年开展等级测评活动前,必须到被测评单位定级备案所在的等保办提交业务开展申请,经批准后方可开展测评业务。有效期自申请批准之日起至第二年当日。

第十四条 申请时应当携带如下材料:

(一)《信息安全等级保护测评机构异地备案申请表》(以下简称《备案申请表》),《备案申请表》一式两份,并提交电子文档;

(二)《营业执照》副本及《税务登记证》副本复印件;

(三)《组织机构代码证》正副本复印件;

(四)《信息安全等级保护测评机构推荐证书》;

(五)等级测评师资格证书复印件;

(六)其他备案时需要提供的相关资料。

第十五条 经审核,对符合申请要求的,等保办应当自收到申请材料之日起的5个工作日内,将加盖等保办印章(或等级保护专用章)的《备案申请表》一份反馈被测评单位,一份存档。对不予批准申请的,应说明理由。

第十六条 参照本办法第五条规定,测评机构应按照接受申请的等保办的要求,提供安全保护管理相关的资料及数据文件,接受监督管理。

第十七条工商注册地址不在我省的测评机构来我省开展测评活动前,需在我省成立常设机构,并到省等保办提交业务开展申请,经批准后,参照本办法第十三条、第十四条规定方可开展测评业务。

 

第五章 测评活动管理

第十八条 测评机构应按合法程序承接信息系统测评项目,禁止恶意竞争,扰乱市场秩序。测评机构在测评项目合同签定的同时,须与被测评单位签订测评服务合同和保密协议。测评机构在测评项目合同签定后5个工作日内,向受理备案的等保办报告等级测评项目有关情况,提交《测评服务合同》、《保密协议》及《信息安全等级测评项目登记表》,接受监督管理。

第十九条 测评机构应根据《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》等标准规范,编制《项目实施计划书》、《现场测评实施指导书》和《测评方案》等,确保测评活动客观、公正、安全。

第二十条 测评项目实施人员必须持证上岗。等级测评项目启动后,测评机构应将《等级测评活动监督表》交给被测评单位。项目完成后,被测评单位应将填写好的《等级测评活动监督表》加盖公章后提交受理备案的等保办。

第二十一条 等级测评项目中如发生质量、安全事故或其他影响信息系统正常运行的事件时,测评机构要与被测评单位合力开展应急处置工作并立即将情况报告等保办。

第二十二条 项目完成后,测评机构应按照《信息系统安全等级测评报告模板(试行)》规定的格式编制报告,政府电子政务系统应按照《国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告》编制风险评估报告。测评报告一式两份,分别提交被测评单位及等保办。

第二十三条 测评机构应定期总结等级测评工作情况,分析当前信息系统安全状况以及存在安全问题,提出对策意见,于每年6月、12月上报省等保办。

 

第六章 监督检查

第二十四条 省、市等保办每年组织人员对测评机构开展的测评项目进行抽样检查。

第二十五条 抽样检查以第三级以上(含)信息系统测评项目为主,第二级信息系统测评项目兼顾,每年度每家测评机构至少检查一个已完成的测评项目。

第二十六条 抽样检查按照正常等级测评工作流程开展。若抽检符合度不低于原测评符合度,则抽检合格;若抽检符合度低于原测评符合度,则抽检不合格。                                                                          

第二十七条 测评机构有下列情形之一,省、市等保办向其下发《等级保护测评机构限期整改通知书》,责令其限期改正;情形严重的,予以通报。整改期内,不得从事测评活动。

(一)未按照有关标准规范开展测评或未按规定出具信息系统安全等级测评报告的;

(二)影响被测评信息系统正常运行,危害被测评信息系统安全的;

(三)非授权占有、使用或者未妥善保管等级测评相关资料及数据文件的;

(四)分包或转包等级测评项目;

(五)违反行业自律,恶意扰乱测评市场秩序的;

(六)限定被测评单位购买、使用指定信息安全产品的;

(七)测评人员未取得等级测评师证书和上岗证,从事等级测评活动的;

(八)未按本办法规定向等保办提交材料、报告情况或弄虚作假的;

(九)未取得备案批准,擅自开展测评活动的;

(十)对未取得备案证明的信息系统开展测评活动的;

(十一)其他违反等级测评有关规定的行为。

第二十八条 测评机构有以下情况之一的,取消测评机构的推荐证书,并向社会公告。

(一)因单位股权、人员等情况发生变动,不符合等级测评机构基本条件的;

(二)有信息安全产品开发、销售或信息系统安全集成行为的;

(三)故意泄露被测评单位工作秘密、重要信息系统数据信息的;

(四)一年内未开展信息系统测评工作或自愿退出《全国信息安全等级保护测评机构推荐目录》的;

(五)连续两年年审不合格或限期整改后仍未通过复审的;

(六)违反本办法第二十七条规定,情节特别严重的;

(七)其他严重违反等级测评有关规定,不适合再从事等级测评业务的。

第二十九条 等级测评师有下列行为之一的,等保办应责令等级测评机构督促其限期改正;情节严重的,责令等级测评机构暂停其参与测评工作;情形特别严重的,应通报公安部评估中心取消其等级测评师证书,并对其所在等级测评机构进行通报。

(一)未经允许擅自使用或泄露、出售等级测评工作中收集的数据信息、资料或信息系统安全等级测评报告的;

(二)未妥善保管等级测评师证书、上岗证,有涂改、出借、出租和转让等行为的;

(三)测评行为失误或不当,影响信息系统安全或造成运营使用单位利益损失的;

(四)其他违反等级测评有关规定的行为。

第三十条 测评机构或者等级测评师违反本办法的相关规定,给被测评单位造成损失的,应当依法承担法律责任。

第三十一条 测评机构及其等级测评师违反本办法的相关规定,给被测评信息系统运营使用单位造成严重危害和损失的,由相关部门依照有关法律、法规予以处理。

第三十二条 任何单位和个人如发现测评机构、等级测评师有违法、违规行为的,可向市、省、国家等保办逐级举报、投诉。

第七章 附则

第三十三条 本办法由省等保办负责解释。

第三十四条 本办法自发布之日起实施。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

上一篇:
下一篇:《信息安全等级保护测评机构管理办法》
友情链接

苏ICP备05075382号

版权所有:江苏省公安厅