信息安全等级测评实施细则(稿) 信息安全等级保护等级测评实施细则 第一章总则 第一条【目的】 为加强信息安全等级测评机构建设和管理,规范等级测评活动,保障信息安全等级保护制度的贯彻落实,根据《信息安全等级保护管理办法》等有关规范制订本实施细则。 第二条【适用范围】 本细则适用于等级测评机构、测评人员和测评活动的规范管理。 第三条【等级测评定义】 等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。 第四条【测评机构定义】 测评机构是经有关部门能力认可,经有关部门推荐,在一定范围内从事信息系统安全等级测评等工作的专业技术机构。 第五条【基本原则】 测评机构应当按照有关规定和统一标准提供“客观、公正、安全”的测评服务,按照统一的测评报告模版出具测评报告。 第六条【保密要求】 测评机构和测评人员应当遵守《国家保密法》的规定,保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等。 第七条【管理体制】 测评机构应当接受各级信息安全等级保护协调(领导)小组和公安网安部门的监督管理,并接受有关部门的业务管理和技术指导。 第二章测评机构 第八条【总体要求】 测评机构分为地区性、行业性测评机构,按照属地管理和行业管理相结合的原则进行建设和管理。 第九条【职责分工】 国家信息安全等级保护协调小组办公室主管等级测评机构的建设和管理工作,指导行业等级测评机构的建设和管理工作,并委托专门的技术能力审验机构对测评机构的技术能力进行评估、审查并确认。 各省(区、市)等级保护协调(领导)小组办公室负责本地等级测评机构的建设管理工作。 第十条【基本条件】 申请成为等级测评机构的单位(以下简称申请单位)应当具备以下基本条件: (一)在中华人民共和国境内注册成立(港澳台地区除外); (二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外); (三)产权关系明晰,注册资金 100 万元以上; (四)从事信息系统检测评估相关工作两年以上; (五)单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录; (六)具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以上学历所占比例不低于 80%。其中测评技术人员不少于 10 人; (七)具备必要的办公环境、设备、设施及完备的安...
