第一篇：信息安全等級(jí)合規(guī)測(cè)評(píng)

信息安全等級(jí)合規(guī)測(cè)評(píng)

合規(guī)，簡(jiǎn)而言之就是要符合法律、法規(guī)、政策及相關(guān)規(guī)則、標(biāo)準(zhǔn)的約定。在信息安全領(lǐng)域內(nèi)，等級(jí)保護(hù)、分級(jí)保護(hù)、塞班斯法案、計(jì)算機(jī)安全產(chǎn)品銷售許可、密碼管理等，是典型的合規(guī)性要求。

信息安全合規(guī)測(cè)評(píng)是國(guó)家強(qiáng)制要求的，信息系統(tǒng)運(yùn)營(yíng)、使用單位或者其主管部門(mén)，必須在系統(tǒng)建設(shè)、改造完成后，選擇具備資質(zhì)測(cè)評(píng)機(jī)構(gòu)，依據(jù)信息安全合規(guī)性要求，對(duì)信息系統(tǒng)是否合規(guī)進(jìn)行檢測(cè)和評(píng)估的活動(dòng)。信息安全合規(guī)測(cè)評(píng)具有強(qiáng)制性和周期性（定期檢測(cè)），是國(guó)家信息安全部門(mén)督促合規(guī)性要求落地實(shí)施，保障信息安全的重要手段。

一、信息安全合規(guī)性要求

1、等級(jí)保護(hù)

等級(jí)保護(hù)將信息系統(tǒng)按照價(jià)值系統(tǒng)基礎(chǔ)資源和信息資源的價(jià)值大小、用戶訪問(wèn)權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)重要程度的區(qū)別劃分五個(gè)等級(jí)進(jìn)行保護(hù)。其分級(jí)、分區(qū)域、分類和分階段是做好國(guó)家信息安全保護(hù)的前提。等級(jí)保護(hù)依據(jù)公安部、國(guó)家保密局、國(guó)家密碼管理局和國(guó)信辦先后聯(lián)合下發(fā)《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》、《信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)管理辦法》開(kāi)展。

2、分級(jí)保護(hù)

分級(jí)保護(hù)針對(duì)的是涉密信息系統(tǒng)，根據(jù)涉密信息的涉密等級(jí)，涉密信息系統(tǒng)的重要性，遭到破壞后對(duì)國(guó)計(jì)民生造成的危害性，以及涉密信息系統(tǒng)必須達(dá)到的安全保護(hù)水平劃分為秘密級(jí)、機(jī)密級(jí)和絕密級(jí)三個(gè)等級(jí)。國(guó)家保密局專門(mén)對(duì)涉密信息系統(tǒng)如何進(jìn)行分級(jí)保護(hù)制定了一系列的管理辦法和技術(shù)標(biāo)準(zhǔn)，目前，正在執(zhí)行的兩個(gè)分級(jí)保護(hù)的國(guó)家保密標(biāo)準(zhǔn)是BMB17《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》和BMB20《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》。

國(guó)家保密科技測(cè)評(píng)中心是我國(guó)唯一的涉密信息系統(tǒng)安全保密測(cè)評(píng)機(jī)構(gòu)，山東省軟件評(píng)測(cè)中心是國(guó)家保密科技測(cè)評(píng)中心在山東省設(shè)立的分中心。

3、塞班斯法案 針對(duì)安然、世通等財(cái)務(wù)欺詐事件，美國(guó)國(guó)會(huì)出臺(tái)了《2002年公眾公司會(huì)計(jì)改革和投資者保護(hù)法案》。該法案由美國(guó)眾議院金融服務(wù)委員會(huì)主席奧克斯利和參議院銀行委員會(huì)主席塞班斯聯(lián)合提出，又被稱作《2002年塞班斯-奧克斯利法案》（簡(jiǎn)稱塞班斯法案），法案對(duì)美國(guó)《1933年證券法》、《1934年證券交易法》做了不少修訂，在會(huì)計(jì)職業(yè)監(jiān)管、公司治理、證券市場(chǎng)監(jiān)管等方面做出了許多新規(guī)定。

塞班斯法案成為在美上市企業(yè)躲不過(guò)去的坎。它規(guī)定，上市公司的財(cái)務(wù)報(bào)告必須包括一份內(nèi)控報(bào)告，并明確規(guī)定公司管理層對(duì)建立和維護(hù)財(cái)務(wù)報(bào)告的內(nèi)部控制體系及相應(yīng)控制流程負(fù)有完全責(zé)任；此外，財(cái)務(wù)報(bào)告中必須附有其內(nèi)控體系和相應(yīng)流程有效性的年度評(píng)估。它的出臺(tái)意味著在美國(guó)上市的公司不僅要保證其財(cái)務(wù)報(bào)表數(shù)據(jù)的準(zhǔn)確，還要保證內(nèi)控系統(tǒng)能通過(guò)相關(guān)審計(jì)。

4、計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可

計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證是為了加強(qiáng)計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品的管理，保證安全專用產(chǎn)品的安全功能，由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局頒發(fā)的許可證書(shū)。

辦理依據(jù)：

（1）《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、（1994年2月18日，國(guó)務(wù)院令147號(hào)發(fā)布）。

（2）、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法》（1997年12月1日，公安部令第32號(hào)）。

(3)、《計(jì)算機(jī)病毒防治管理辦法》（2000年4月26日，公安部令第51號(hào)）。審批辦理流程：

(1)、產(chǎn)品檢測(cè)。申請(qǐng)單位須將樣品送指定檢測(cè)機(jī)構(gòu)進(jìn)行檢測(cè)。

(2)、申請(qǐng)辦證。檢測(cè)合格后，申請(qǐng)單位按規(guī)定提交證書(shū)申請(qǐng)的相關(guān)材料。(3)、審批發(fā)證。公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局。

5、信息系統(tǒng)密碼安全管理

為推動(dòng)商用密碼發(fā)展，確保國(guó)家重要信息系統(tǒng)密碼安全，具備檢測(cè)資質(zhì)的機(jī)構(gòu)依據(jù)《信息安全等級(jí)保護(hù)商用密碼管理辦法》、《信息安全等級(jí)保護(hù)商用密碼技術(shù)實(shí)施要求》 《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，對(duì)信息安全等級(jí)為三級(jí)以上（含三級(jí)）信息系統(tǒng)中的商用密碼系統(tǒng)進(jìn)行測(cè)評(píng)。的商用密碼系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工作擬分以下三個(gè)階段：測(cè)評(píng)申請(qǐng)階段、現(xiàn)場(chǎng)檢測(cè)階段、報(bào)告與結(jié)論階段。

在信息安全合規(guī)性要求中，等級(jí)保護(hù)和分級(jí)保護(hù)以其涉及范圍廣，實(shí)施具有高度專業(yè)化和復(fù)雜性的特點(diǎn)，成為信息安全合規(guī)測(cè)評(píng)工作的重點(diǎn)和難點(diǎn)，后面的文章將會(huì)對(duì)這兩個(gè)概念進(jìn)行重點(diǎn)解讀。

二、區(qū)分信息安全等級(jí)保護(hù)與分級(jí)保護(hù)

通過(guò)上文我們知道，信息安全等級(jí)保護(hù)與分級(jí)保護(hù)是在信息安全合規(guī)測(cè)評(píng)中兩個(gè)非常重要的概念，二者密切相關(guān)又有區(qū)別。山東省軟件評(píng)測(cè)中心結(jié)合在等級(jí)保護(hù)測(cè)評(píng)和分級(jí)保護(hù)測(cè)評(píng)中的具體實(shí)踐，對(duì)等級(jí)保護(hù)和分級(jí)保護(hù)進(jìn)行詳細(xì)介紹，理清兩者間的關(guān)聯(lián)。

1、信息系統(tǒng)等級(jí)保護(hù)

由于信息系統(tǒng)結(jié)構(gòu)是應(yīng)社會(huì)發(fā)展、社會(huì)生活和工作的需要而設(shè)計(jì)、建立的，是社會(huì)構(gòu)成、行政組織體系的反映，因而這種系統(tǒng)結(jié)構(gòu)是分層次和級(jí)別的，而其中的各種信息系統(tǒng)具有重要的社會(huì)和經(jīng)濟(jì)價(jià)值，不同的系統(tǒng)具有不同的價(jià)值。系統(tǒng)基礎(chǔ)資源和信息資源的價(jià)值大小、用戶訪問(wèn)權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)重要程度的區(qū)別等就是級(jí)別的客觀體現(xiàn)。信息安全保護(hù)必須符合客觀存在和發(fā)展規(guī)律，其分級(jí)、分區(qū)域、分類和分階段是做好國(guó)家信息安全保護(hù)的前提。

信息系統(tǒng)安全等級(jí)保護(hù)將安全保護(hù)的監(jiān)管級(jí)別劃分為五個(gè)級(jí)別：

第一級(jí)：用戶自主保護(hù)級(jí)完全由用戶自己來(lái)決定如何對(duì)資源進(jìn)行保護(hù)，以及采用何種方式進(jìn)行保護(hù)。

第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)本級(jí)的安全保護(hù)機(jī)制受到信息系統(tǒng)等級(jí)保護(hù)的指導(dǎo)，支持用戶具有更強(qiáng)的自主保護(hù)能力，特別是具有訪問(wèn)審計(jì)能力。第三級(jí)：安全標(biāo)記保護(hù)級(jí)除具有第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能外，還它要求對(duì)訪問(wèn)者和訪問(wèn)對(duì)象實(shí)施強(qiáng)制訪問(wèn)控制，并能夠進(jìn)行記錄，以便事后的監(jiān)督、審計(jì)。

第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)將前三級(jí)的安全保護(hù)能力擴(kuò)展到所有訪問(wèn)者和訪問(wèn)對(duì)象，支持形式化的安全保護(hù)策略。

第五級(jí)：訪問(wèn)驗(yàn)證保護(hù)級(jí)這一個(gè)級(jí)別除了具備前四級(jí)的所有功能外還特別增設(shè)了訪問(wèn)驗(yàn)證功能，負(fù)責(zé)仲裁訪問(wèn)者對(duì)訪問(wèn)對(duì)象的所有訪問(wèn)活動(dòng)，仲裁訪問(wèn)者能否訪問(wèn)某些對(duì)象從而對(duì)訪問(wèn)對(duì)象實(shí)行專控，保護(hù)信息不能被非授權(quán)獲取。

在等級(jí)保護(hù)的實(shí)際操作中，強(qiáng)調(diào)從五個(gè)部分進(jìn)行保護(hù)，即：

物理部分：包括周邊環(huán)境，門(mén)禁檢查，防火、防水、防潮、防鼠、蟲(chóng)害和防雷，防電磁泄漏和干擾，電源備份和管理，設(shè)備的標(biāo)識(shí)、使用、存放和管理等；

支撐系統(tǒng)：包括計(jì)算機(jī)系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和通信系統(tǒng)； 網(wǎng)絡(luò)部分：包括網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)的布線和防護(hù)、網(wǎng)絡(luò)設(shè)備的管理和報(bào)警，網(wǎng)絡(luò)攻擊的監(jiān)察和處理；

應(yīng)用系統(tǒng)：包括系統(tǒng)登錄、權(quán)限劃分與識(shí)別、數(shù)據(jù)備份與容災(zāi)處理，運(yùn)行管理和訪問(wèn)控制，密碼保護(hù)機(jī)制和信息存儲(chǔ)管理；

管理制度：包括管理的組織機(jī)構(gòu)和各級(jí)的職責(zé)、權(quán)限劃分和責(zé)任追究制度，人員的管理和培訓(xùn)、教育制度，設(shè)備的管理和引進(jìn)、退出制度，環(huán)境管理和監(jiān)控，安防和巡查制度，應(yīng)急響應(yīng)制度和程序，規(guī)章制度的建立、更改和廢止的控制程序。

由這五部分的安全控制機(jī)制構(gòu)成系統(tǒng)整體安全控制機(jī)制。

2、涉密信息系統(tǒng)分級(jí)保護(hù)

涉密信息系統(tǒng)實(shí)行分級(jí)保護(hù)，先要根據(jù)涉密信息的涉密等級(jí)，涉密信息系統(tǒng)的重要性，遭到破壞后對(duì)國(guó)計(jì)民生造成的危害性，以及涉密信息系統(tǒng)必須達(dá)到的安全保護(hù)水平來(lái)確定信息安全的保護(hù)等級(jí)；涉密信息系統(tǒng)分級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)安全進(jìn)行合理分級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國(guó)家保密局專門(mén)對(duì)涉密信息系統(tǒng)如何進(jìn)行分級(jí)保護(hù)制定了一系列的管理辦法和技術(shù)標(biāo)準(zhǔn)，目前，正在執(zhí)行的兩個(gè)分級(jí)保護(hù)的國(guó)家保密標(biāo)準(zhǔn)是BMB17《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》和BMB20《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》。從物理安全、信息安全、運(yùn)行安全和安全保密管理等方面，對(duì)不同級(jí)別的涉密信息系統(tǒng)有明確的分級(jí)保護(hù)措施，從技術(shù)要求和管理標(biāo)準(zhǔn)兩個(gè)層面解決涉密信息系統(tǒng)的分級(jí)保護(hù)問(wèn)題。

涉密信息系統(tǒng)安全分級(jí)保護(hù)根據(jù)其涉密信息系統(tǒng)處理信息的最高密級(jí)，可以劃分為秘密級(jí)、機(jī)密級(jí)和機(jī)密級(jí)（增強(qiáng)）、絕密級(jí)三個(gè)等級(jí)：

秘密級(jí)：信息系統(tǒng)中包含有最高為秘密級(jí)的國(guó)家秘密，其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)三級(jí)的要求，并且還必須符合分級(jí)保護(hù)的保密技術(shù)要求。

機(jī)密級(jí)：信息系統(tǒng)中包含有最高為機(jī)密級(jí)的國(guó)家秘密，其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)四級(jí)的要求，還必須符合分級(jí)保護(hù)的保密技術(shù)要求。屬于下列情況之一的機(jī)密級(jí)信息系統(tǒng)應(yīng)選擇機(jī)密級(jí)（增強(qiáng)）的要求：

（1）信息系統(tǒng)的使用單位為副省級(jí)以上的黨政首腦機(jī)關(guān)，以及國(guó)防、外交、國(guó)家安全、軍工等要害部門(mén)；

（2）信息系統(tǒng)中的機(jī)密級(jí)信息含量較高或數(shù)量較多；（3）信息系統(tǒng)使用單位對(duì)信息系統(tǒng)的依賴程度較高。

絕密級(jí)：信息系統(tǒng)中包含有最高為絕密級(jí)的國(guó)家秘密，其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)五級(jí)的要求，還必須符合分級(jí)保護(hù)的保密技術(shù)要求，絕密級(jí)信息系統(tǒng)應(yīng)限定在封閉的安全可控的獨(dú)立建筑內(nèi)，不能與城域網(wǎng)或廣域網(wǎng)相聯(lián)。

涉密信息系統(tǒng)要按照分級(jí)保護(hù)的標(biāo)準(zhǔn)，結(jié)合涉密信息系統(tǒng)應(yīng)用的實(shí)際情況進(jìn)行方案設(shè)計(jì)。涉密信息系統(tǒng)定級(jí)遵循“誰(shuí)建設(shè)、誰(shuí)定級(jí)"的原則，可以根據(jù)信息密級(jí)、系統(tǒng)重要性和安全策略劃分為不同的安全域，針對(duì)不同的安全域確定不同的等級(jí)，并進(jìn)行相應(yīng)的保護(hù)。建設(shè)完成之后應(yīng)該進(jìn)行審批；審批前由國(guó)家保密局授權(quán)的涉密信息系統(tǒng)測(cè)評(píng)機(jī)構(gòu)進(jìn)行系統(tǒng)測(cè)評(píng)（山東省軟件評(píng)測(cè)中心是山東省內(nèi)唯一的涉密信息系統(tǒng)檢測(cè)機(jī)構(gòu)），確定在技術(shù)層面是否達(dá)到了涉密信息系統(tǒng)分級(jí)保護(hù)的要求。

3、等級(jí)保護(hù)和分級(jí)保護(hù)之間的關(guān)系

國(guó)家安全信息等級(jí)保護(hù)重點(diǎn)保護(hù)的對(duì)象是涉及國(guó)計(jì)民生的重要信息系統(tǒng)和通信基礎(chǔ)信息系統(tǒng)，而不論它是否涉密。如：國(guó)家事務(wù)處理信息系統(tǒng)（黨政機(jī)關(guān)辦公系統(tǒng)）；金融、稅務(wù)、工商、海關(guān)、能源、交通運(yùn)輸、社會(huì)保障、教育等基礎(chǔ)設(shè)施的信息系統(tǒng)；國(guó)防工業(yè)企業(yè)、科研等單位的信息系統(tǒng)等。

涉密信息系統(tǒng)分級(jí)保護(hù)保護(hù)的對(duì)象是所有涉及國(guó)家秘密的信息系統(tǒng)，重點(diǎn)是黨政機(jī)關(guān)、軍隊(duì)和軍工單位，由各級(jí)保密工作部門(mén)根據(jù)涉密信息系統(tǒng)的保護(hù)等級(jí)實(shí)施監(jiān)督管理，確保系統(tǒng)和信息安全，確保國(guó)家秘密不被泄漏。

國(guó)家信息安全等級(jí)保護(hù)是國(guó)家從整體上、根本上解決國(guó)家信息安全問(wèn)題的辦法, 進(jìn)一步確定了信息安全發(fā)展的主線和中心任務(wù), 提出了總體要求。對(duì)信息系統(tǒng)實(shí)行等級(jí)保護(hù)是國(guó)家法定制度和基本國(guó)策，是開(kāi)展信息安全保護(hù)工作的有效辦法，是信息安全保護(hù)工作的發(fā)展方向。而涉密信息系統(tǒng)分級(jí)保護(hù)則是是國(guó)家信息安全等級(jí)保護(hù)的重要組成部分，是等級(jí)保護(hù)在涉密領(lǐng)域的具體體現(xiàn)。

三、等級(jí)合規(guī)測(cè)評(píng)的主要內(nèi)容

1、單元測(cè)評(píng)。單元測(cè)評(píng)從信息安全管理制度、信息安全管理機(jī)構(gòu)、人員安全管理、信息系統(tǒng)建設(shè)管理、信息系統(tǒng)運(yùn)維管理、物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等層面，測(cè)評(píng)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）所要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況。

2、整體測(cè)評(píng)。整體測(cè)評(píng)主要測(cè)評(píng)分析信息系統(tǒng)的整體安全性。在內(nèi)容上主要包括安全控制間、層面間和區(qū)域間相互作用的安全測(cè)評(píng)以及系統(tǒng)結(jié)構(gòu)的安全測(cè)評(píng)等，是在單元測(cè)評(píng)基礎(chǔ)上進(jìn)行的進(jìn)一步測(cè)評(píng)分析。

四、等級(jí)合規(guī)測(cè)評(píng)的重要作用

1、等級(jí)合規(guī)測(cè)評(píng)是落實(shí)信息安全等級(jí)保護(hù)制度的重要環(huán)節(jié)

在信息系統(tǒng)建設(shè)、整改時(shí)，信息系統(tǒng)運(yùn)營(yíng)、使用單位通過(guò)等級(jí)測(cè)評(píng)進(jìn)行現(xiàn)狀分析，確定系統(tǒng)的安全保護(hù)現(xiàn)狀和存在的安全問(wèn)題，并在此基礎(chǔ)上確定系統(tǒng)的整改安全需求。信息系統(tǒng)定級(jí)是整個(gè)等級(jí)保護(hù)工作的開(kāi)始，等級(jí)保護(hù)基本要求是對(duì)不同等級(jí)信息系統(tǒng)實(shí)行等級(jí)保護(hù)的基礎(chǔ)。客戶可以基于定級(jí)指南對(duì)信息系統(tǒng)定級(jí)，基于等級(jí)保護(hù)基本要求實(shí)施保護(hù)措施，從而將有效落實(shí)國(guó)家有關(guān)等級(jí)保護(hù)的制度要求和文件精神。

2、等級(jí)測(cè)評(píng)報(bào)告是信息系統(tǒng)開(kāi)展整改加固的重要指導(dǎo)性文件，也是信息系統(tǒng)備案的重要附件材料

等級(jí)測(cè)評(píng)結(jié)論為信息系統(tǒng)未達(dá)到相應(yīng)等級(jí)的基本安全保護(hù)能力的，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)根據(jù)等級(jí)測(cè)評(píng)報(bào)告，制定方案進(jìn)行整改，盡快達(dá)到相應(yīng)等級(jí)的安全保護(hù)能力。

3、等級(jí)測(cè)評(píng)使整個(gè)組織規(guī)范一致的開(kāi)展等級(jí)評(píng)定工作

合規(guī)測(cè)評(píng)基于客戶的組織架構(gòu)、運(yùn)作模式等特點(diǎn)，制定信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南，明確在組織內(nèi)開(kāi)展等級(jí)評(píng)定工作的原則、方法和流程，從而使得客戶的等級(jí)評(píng)定工作能夠在整個(gè)組織范圍內(nèi)一致地開(kāi)展。

4、確保突出重點(diǎn)保護(hù)對(duì)象并進(jìn)行適度保護(hù)

信息系統(tǒng)安全等級(jí)保護(hù)基本要求明確了不同等級(jí)信息系統(tǒng)的技術(shù)要求和管理要求，基于信息系統(tǒng)安全等級(jí)保護(hù)基本要求，合規(guī)測(cè)評(píng)可使客戶在符合國(guó)家法律法規(guī)要求的前提下，針對(duì)不同等級(jí)信息系統(tǒng)采取相應(yīng)等級(jí)的保護(hù)措施，從而確保重點(diǎn)突出、適度保護(hù)，節(jié)省IT投資。

5、等級(jí)測(cè)評(píng)提高內(nèi)部人員的信息安全意識(shí)

合規(guī)測(cè)評(píng)過(guò)程中，第三方咨詢專家將與被服務(wù)單位人員密切合作。通過(guò)與被服務(wù)單位人員有針對(duì)性的交流，以及精心設(shè)計(jì)的調(diào)查問(wèn)卷等，被服務(wù)單位的管理、業(yè)務(wù)、技術(shù)等人員將逐步提高對(duì)信息安全合規(guī)的認(rèn)識(shí)，強(qiáng)化信息安全意識(shí)，杜絕違規(guī)操作。

作為第三方測(cè)評(píng)機(jī)構(gòu)，山東省軟件評(píng)測(cè)中心認(rèn)為，通過(guò)等級(jí)合規(guī)測(cè)評(píng)可指導(dǎo)用戶在各個(gè)層面上綜合采取多種保護(hù)措施，保護(hù)網(wǎng)絡(luò)和安全域邊界、網(wǎng)絡(luò)及基礎(chǔ)設(shè)施、終端計(jì)算環(huán)境的安全、以及進(jìn)行安全運(yùn)行中心等支撐性安全設(shè)施的建設(shè)。

五、等級(jí)合規(guī)測(cè)評(píng)的操作流程 要充分發(fā)揮等級(jí)測(cè)評(píng)對(duì)信息安全的保障作用，就要按照科學(xué)的流程和方法進(jìn)行操作。山東省軟件評(píng)測(cè)中心根據(jù)等級(jí)測(cè)評(píng)的相關(guān)要求將等級(jí)測(cè)評(píng)過(guò)程分為四個(gè)基本測(cè)評(píng)活動(dòng)：測(cè)評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)、分析及報(bào)告編制活動(dòng)。而測(cè)評(píng)雙方之間的溝通與洽談應(yīng)貫穿整個(gè)等級(jí)測(cè)評(píng)過(guò)程。具體過(guò)程如下：

1、測(cè)評(píng)準(zhǔn)備活動(dòng)

本活動(dòng)是開(kāi)展等級(jí)測(cè)評(píng)工作的前提和基礎(chǔ)，是整個(gè)等級(jí)測(cè)評(píng)過(guò)程有效性的保證。測(cè)評(píng)準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開(kāi)展。本活動(dòng)的主要任務(wù)是掌握被測(cè)系統(tǒng)的詳細(xì)情況，準(zhǔn)備測(cè)試工具，為編制測(cè)評(píng)方案做好準(zhǔn)備。

2、方案編制活動(dòng)

本活動(dòng)是開(kāi)展等級(jí)測(cè)評(píng)工作的關(guān)鍵活動(dòng)，為現(xiàn)場(chǎng)測(cè)評(píng)提供最基本的文檔和指導(dǎo)方案。本活動(dòng)的主要任務(wù)是確定與被測(cè)信息系統(tǒng)相適應(yīng)的測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)及測(cè)評(píng)內(nèi)容等，并根據(jù)需要重用或開(kāi)發(fā)測(cè)評(píng)指導(dǎo)書(shū)測(cè)評(píng)指導(dǎo)書(shū)，形成測(cè)評(píng)方案。

3、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)

本活動(dòng)是開(kāi)展等級(jí)測(cè)評(píng)工作的核心活動(dòng)。本活動(dòng)的主要任務(wù)是按照測(cè)評(píng)方案的總體要求，嚴(yán)格執(zhí)行測(cè)評(píng)指導(dǎo)書(shū)測(cè)評(píng)指導(dǎo)書(shū)，分步實(shí)施所有測(cè)評(píng)項(xiàng)目，包括單元測(cè)評(píng)和整體測(cè)評(píng)兩個(gè)方面，以了解系統(tǒng)的真實(shí)保護(hù)情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問(wèn)題。

4、分析與報(bào)告編制活動(dòng)

本活動(dòng)是給出等級(jí)測(cè)評(píng)工作結(jié)果的活動(dòng)，是總結(jié)被測(cè)系統(tǒng)整體安全保護(hù)能力的綜合評(píng)價(jià)活動(dòng)。本活動(dòng)的主要任務(wù)是根據(jù)現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果和《信息安全等級(jí)保護(hù)基本要求》的有關(guān)要求，通過(guò)單項(xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)和風(fēng)險(xiǎn)分析等方法，找出整個(gè)系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級(jí)的保護(hù)要求之間的差距，并分析這些差距導(dǎo)致被測(cè)系統(tǒng)面臨的風(fēng)險(xiǎn)，從而給出等級(jí)測(cè)評(píng)結(jié)論，形成測(cè)評(píng)報(bào)告文本。

等級(jí)測(cè)評(píng)項(xiàng)目啟動(dòng)測(cè)評(píng)準(zhǔn)備活動(dòng)信息收集與分析工具和表單準(zhǔn)備測(cè)評(píng)對(duì)象確定測(cè)評(píng)指標(biāo)確定方案編制活動(dòng)測(cè)評(píng)工具接入點(diǎn)確定測(cè)評(píng)內(nèi)容確定測(cè)評(píng)指導(dǎo)書(shū)開(kāi)發(fā)測(cè)評(píng)方案編制現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)測(cè)評(píng)實(shí)施準(zhǔn)備現(xiàn)場(chǎng)測(cè)評(píng)和記錄結(jié)果結(jié)果確認(rèn)和資料歸還單項(xiàng)測(cè)評(píng)結(jié)果判定分析與報(bào)告編制活動(dòng)單元測(cè)評(píng)結(jié)果判定整體測(cè)評(píng)風(fēng)險(xiǎn)分析等級(jí)測(cè)評(píng)結(jié)論形成測(cè)評(píng)報(bào)告編制溝通與洽談

六、等級(jí)合規(guī)測(cè)評(píng)的關(guān)鍵點(diǎn)

確定了等級(jí)測(cè)評(píng)的具體流程，是為開(kāi)展測(cè)評(píng)工作奠定了堅(jiān)實(shí)基礎(chǔ)，但是還要關(guān)注在具體環(huán)節(jié)上關(guān)鍵要素，它們對(duì)測(cè)評(píng)工作的成效高低具有重大影響。

1、等級(jí)測(cè)評(píng)的方法和強(qiáng)度

等級(jí)測(cè)評(píng)的基本方法一般包括訪談、檢查和測(cè)試等三種。

訪談是測(cè)評(píng)人員通過(guò)與被測(cè)評(píng)單位的相關(guān)人員進(jìn)行交談和問(wèn)詢，了解被測(cè)信息系統(tǒng)安全技術(shù)和安全管理方面的相關(guān)信息，以對(duì)測(cè)評(píng)內(nèi)容進(jìn)行確認(rèn)。

檢查是測(cè)評(píng)人員通過(guò)簡(jiǎn)單比較或使用專業(yè)知識(shí)分析的方式獲得測(cè)評(píng)證據(jù)的方法，包括：評(píng)審、核查、審查、觀察、研究和分析等方法。

測(cè)試是指測(cè)評(píng)人員通過(guò)使用相關(guān)技術(shù)工具對(duì)信息系統(tǒng)進(jìn)行驗(yàn)證測(cè)評(píng)的方法，包括功能測(cè)試、性能測(cè)試、滲透測(cè)試等。

等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)被測(cè)信息系統(tǒng)的實(shí)際情況選取適合的測(cè)評(píng)強(qiáng)度。測(cè)評(píng)強(qiáng)度可以通過(guò)測(cè)評(píng)的深度和廣度來(lái)描述。訪談的深度體現(xiàn)在訪談過(guò)程的嚴(yán)格和詳細(xì)程度，廣度體現(xiàn)在訪談人員的構(gòu)成和數(shù)量上；檢查的深度體現(xiàn)在檢查過(guò)程的嚴(yán)格和詳細(xì)程度，廣度體現(xiàn)在檢查對(duì)象的種類（文檔、機(jī)制等）和數(shù)量上；測(cè)試的深度體現(xiàn)在執(zhí)行的測(cè)試類型上（功能/性能測(cè)試和滲透測(cè)試），廣度體現(xiàn)在測(cè)試使用的機(jī)制種類和數(shù)量上。

2、等級(jí)測(cè)評(píng)對(duì)象

測(cè)評(píng)對(duì)象是在被測(cè)信息系統(tǒng)中實(shí)現(xiàn)特定測(cè)評(píng)指標(biāo)所對(duì)應(yīng)的安全功能的具體系統(tǒng)組件。正確選擇測(cè)評(píng)對(duì)象的種類和數(shù)量是整個(gè)等級(jí)測(cè)評(píng)工作能夠獲取足夠證據(jù)、了解到被測(cè)系統(tǒng)的真實(shí)安全保護(hù)狀況的重要保證。

測(cè)評(píng)對(duì)象一般采用抽查信息系統(tǒng)中具有代表性組件的方法確定。在測(cè)評(píng)對(duì)象確定中應(yīng)兼顧工作投入與結(jié)果產(chǎn)出兩者的平衡關(guān)系。

七、等級(jí)合規(guī)測(cè)評(píng)的指標(biāo)

開(kāi)展等級(jí)測(cè)評(píng)活動(dòng)應(yīng)從《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）中選擇相應(yīng)等級(jí)的安全要求作為基本測(cè)評(píng)指標(biāo)。

1、第二級(jí)信息系統(tǒng)等級(jí)測(cè)評(píng)指標(biāo)，除按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》所規(guī)定的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、管理制度、管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)安全管理、系統(tǒng)運(yùn)維管理的66項(xiàng)基本要求（177個(gè)控制點(diǎn)）作為基礎(chǔ)測(cè)評(píng)指標(biāo)以外，還應(yīng)參照《信息系統(tǒng)通用技術(shù)要求》中的83個(gè)控制點(diǎn)、《信息系統(tǒng)安全管理要求》中的70個(gè)控制點(diǎn)、《信息系統(tǒng)安全工程管理要求》中的51個(gè)控制點(diǎn)以及行業(yè)測(cè)評(píng)標(biāo)準(zhǔn)所規(guī)定的其他控制點(diǎn)，結(jié)合不同的定級(jí)結(jié)果組合情況進(jìn)行確定。

2、第三級(jí)信息系統(tǒng)等級(jí)測(cè)評(píng)指標(biāo)確定，除按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》所規(guī)定的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、管理制度、管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)安全管理、系統(tǒng)運(yùn)維管理的73項(xiàng)基本要求（290個(gè)控制點(diǎn)）作為測(cè)評(píng)指標(biāo)以外，還應(yīng)參照《信息系統(tǒng)通用技術(shù)要求》中的109個(gè)控制點(diǎn)、《信息系統(tǒng)安全管理要求》中的104個(gè)控制點(diǎn)、《信息系統(tǒng)安全工程管理要求》中的42個(gè)控制點(diǎn)以及行業(yè)測(cè)評(píng)標(biāo)準(zhǔn)所規(guī)定的其他控制點(diǎn)，結(jié)合不同的定級(jí)結(jié)果組合情況進(jìn)行確定。

3、第四級(jí)信息系統(tǒng)等級(jí)測(cè)評(píng)指標(biāo)確定，除按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》所規(guī)定的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、管理制度、管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)安全管理、系統(tǒng)運(yùn)維管理的77項(xiàng)基本要求（317個(gè)控制點(diǎn)）作為測(cè)評(píng)指標(biāo)以外，還應(yīng)參照《信息系統(tǒng)通用技術(shù)要求》中的120個(gè)控制點(diǎn)、《信息系統(tǒng)安全管理要求》中的104個(gè)控制點(diǎn)、《信息系統(tǒng)安全工程管理要求》中的35個(gè)控制點(diǎn)以及行業(yè)測(cè)評(píng)標(biāo)準(zhǔn)所規(guī)定的其他控制點(diǎn)，結(jié)合不同的定級(jí)結(jié)果組合情況進(jìn)行確定。

4、對(duì)于由多個(gè)不同等級(jí)的信息系統(tǒng)組成的被測(cè)系統(tǒng)，應(yīng)分別確定各個(gè)定級(jí)對(duì)象的測(cè)評(píng)指標(biāo)。如果多個(gè)定級(jí)對(duì)象共用物理環(huán)境或管理體系，而且測(cè)評(píng)指標(biāo)不能分開(kāi)，則不能分開(kāi)的測(cè)評(píng)指標(biāo)應(yīng)采用就高原則。

八、高效等級(jí)測(cè)評(píng)工作的注意事項(xiàng)

為了保障等級(jí)測(cè)評(píng)取得真正的成效，在測(cè)評(píng)之前，需要認(rèn)真籌備；測(cè)評(píng)過(guò)程中依照相關(guān)規(guī)定，強(qiáng)化管理。同時(shí)，在測(cè)評(píng)操作過(guò)程中還應(yīng)該嚴(yán)格遵循等級(jí)測(cè)評(píng)的相關(guān)原則。以上經(jīng)驗(yàn)，都已經(jīng)在山東省軟件測(cè)評(píng)中心的實(shí)踐中得到驗(yàn)證，成效顯著。

1、認(rèn)真做好等級(jí)測(cè)評(píng)質(zhì)量保障工作

等級(jí)測(cè)評(píng)機(jī)構(gòu)開(kāi)展測(cè)評(píng)前應(yīng)與委托單位聯(lián)合成立等級(jí)測(cè)評(píng)工作組，建立通暢的溝通聯(lián)絡(luò)機(jī)制，確保等級(jí)測(cè)評(píng)活動(dòng)的順利開(kāi)展。

等級(jí)測(cè)評(píng)機(jī)構(gòu)開(kāi)展等級(jí)測(cè)評(píng)時(shí)，必須保證足夠的現(xiàn)場(chǎng)測(cè)評(píng)等級(jí)測(cè)評(píng)師。開(kāi)展第二級(jí)信息系統(tǒng)的等級(jí)測(cè)評(píng)活動(dòng)時(shí)，測(cè)評(píng)機(jī)構(gòu)至少應(yīng)由一名中級(jí)等級(jí)測(cè)評(píng)師、一名管理類等級(jí)測(cè)評(píng)師、二名技術(shù)類等級(jí)測(cè)評(píng)師參與等級(jí)測(cè)評(píng)活動(dòng)；開(kāi)展第三級(jí)信息系統(tǒng)的等級(jí)測(cè)評(píng)活動(dòng)時(shí)，測(cè)評(píng)機(jī)構(gòu)至少應(yīng)由一名高級(jí)等級(jí)測(cè)評(píng)師、兩名中級(jí)等級(jí)測(cè)評(píng)師、二名管理類等級(jí)測(cè)評(píng)師、三名技術(shù)類等級(jí)測(cè)評(píng)師參與等級(jí)測(cè)評(píng)活動(dòng)；開(kāi)展第四級(jí)信息系統(tǒng)的等級(jí)測(cè)評(píng)活動(dòng)時(shí)，測(cè)評(píng)機(jī)構(gòu)至少應(yīng)由二名高級(jí)等級(jí)測(cè)評(píng)師、兩名中級(jí)等級(jí)測(cè)評(píng)師、兩名管理類等級(jí)測(cè)評(píng)師、四名以上技術(shù)類等級(jí)測(cè)評(píng)師參與等級(jí)測(cè)評(píng)活動(dòng)。

等級(jí)測(cè)評(píng)機(jī)構(gòu)開(kāi)展等級(jí)測(cè)評(píng)時(shí)，應(yīng)當(dāng)投入滿足測(cè)評(píng)需要的拓?fù)浒l(fā)現(xiàn)設(shè)備、網(wǎng)絡(luò)安全配置核查設(shè)備、網(wǎng)絡(luò)協(xié)議分析設(shè)備、漏洞掃描設(shè)備、滲透攻擊集成設(shè)備等功能測(cè)試、性能測(cè)試、滲透測(cè)試工具以及必要的交通、通信設(shè)備。

等級(jí)測(cè)評(píng)活動(dòng)包括測(cè)評(píng)準(zhǔn)備、方案編制、現(xiàn)場(chǎng)測(cè)評(píng)、分析及報(bào)告編制四個(gè)基本階段。第二級(jí)信息系統(tǒng)單個(gè)業(yè)務(wù)系統(tǒng)等級(jí)測(cè)評(píng)全過(guò)程，一般不少于5個(gè)工作日。第三級(jí)信息系統(tǒng)單個(gè)業(yè)務(wù)系統(tǒng)等級(jí)測(cè)評(píng)全過(guò)程，一般不少于10個(gè)工作日。第四級(jí)信息系統(tǒng)單個(gè)業(yè)務(wù)系統(tǒng)等級(jí)測(cè)評(píng)全過(guò)程，一般不少于20個(gè)工作日。

等級(jí)測(cè)評(píng)活動(dòng)中，測(cè)評(píng)機(jī)構(gòu)需要提交給委托方的資料不少于以下紙質(zhì)文檔：項(xiàng)目計(jì)劃書(shū)、公正性聲明、保密協(xié)議、等級(jí)測(cè)評(píng)方案、現(xiàn)場(chǎng)測(cè)評(píng)記錄、等級(jí)測(cè)評(píng)報(bào)告、安全建設(shè)整改意見(jiàn)

2、嚴(yán)格等級(jí)測(cè)評(píng)管理

信息系統(tǒng)的運(yùn)營(yíng)、使用單位或主管部門(mén)應(yīng)當(dāng)選擇年審合格的測(cè)評(píng)機(jī)構(gòu)，按照《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)的安全狀況開(kāi)展等級(jí)測(cè)評(píng)。

第三級(jí)信息系統(tǒng)應(yīng)每年進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)每半年進(jìn)行一次等級(jí)測(cè)評(píng)。重要的第二級(jí)信息系統(tǒng)可參照第三級(jí)信息系統(tǒng)的測(cè)評(píng)要求進(jìn)行等級(jí)測(cè)評(píng)。符合測(cè)評(píng)條件的新建、擴(kuò)建信息系統(tǒng)及信息系統(tǒng)發(fā)生重大改變時(shí)，應(yīng)及時(shí)安排等級(jí)測(cè)評(píng)。等級(jí)測(cè)評(píng)活動(dòng)結(jié)束后，測(cè)評(píng)機(jī)構(gòu)應(yīng)在15個(gè)工作日內(nèi)向被測(cè)評(píng)信息系統(tǒng)的運(yùn)營(yíng)、使用單位提供等級(jí)測(cè)評(píng)報(bào)告，并應(yīng)同時(shí)向省、市兩級(jí)等保辦提交第三級(jí)（含）以上信息系統(tǒng)的等級(jí)測(cè)評(píng)報(bào)告。被測(cè)評(píng)信息系統(tǒng)安全狀況未達(dá)到信息安全等級(jí)保護(hù)制度要求的，由等級(jí)測(cè)評(píng)機(jī)構(gòu)提出安全建設(shè)整改意見(jiàn)，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)及時(shí)制定方案進(jìn)行整改。

省內(nèi)信息系統(tǒng)的等級(jí)測(cè)評(píng)工作原則上由省內(nèi)等級(jí)測(cè)評(píng)機(jī)構(gòu)完成，特殊行業(yè)等級(jí)測(cè)評(píng)機(jī)構(gòu)或省外其他等級(jí)測(cè)評(píng)機(jī)構(gòu)在省內(nèi)開(kāi)展等級(jí)測(cè)評(píng)活動(dòng)時(shí)，應(yīng)在省等保辦辦理登記備案手續(xù)，按照本規(guī)范開(kāi)展等級(jí)測(cè)評(píng)活動(dòng)，并接受省等保辦的監(jiān)督管理。測(cè)評(píng)機(jī)構(gòu)及其測(cè)評(píng)人員應(yīng)當(dāng)嚴(yán)格執(zhí)行有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，開(kāi)展客觀、公正、安全的測(cè)評(píng)服務(wù)。測(cè)評(píng)機(jī)構(gòu)可以從事等級(jí)測(cè)評(píng)活動(dòng)以及信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)、安全建設(shè)整改建議、信息安全等級(jí)保護(hù)宣傳教育等工作的技術(shù)支持，但不得從事下列活動(dòng)：

(1)、影響被測(cè)評(píng)信息系統(tǒng)正常運(yùn)行，危害被測(cè)評(píng)信息系統(tǒng)安全；(2)、泄露被測(cè)評(píng)單位及被測(cè)信息系統(tǒng)的敏感信息和工作秘密；

(3)、故意隱瞞測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的安全問(wèn)題，或者在測(cè)評(píng)過(guò)程中弄虛作假，未如實(shí)出具等級(jí)測(cè)評(píng)報(bào)告；

(4)、未按規(guī)定格式出具等級(jí)測(cè)評(píng)報(bào)告；

(5)、非授權(quán)占有、使用等級(jí)測(cè)評(píng)活動(dòng)中的獲得的相關(guān)資料及數(shù)據(jù)文件；(6)、分包或轉(zhuǎn)包等級(jí)測(cè)評(píng)項(xiàng)目；

(7)、從事信息安全產(chǎn)品開(kāi)發(fā)、銷售和信息系統(tǒng)安全集成；(8)、限定被測(cè)評(píng)單位購(gòu)買、使用其指定的信息安全產(chǎn)品；

(9)、其他危害國(guó)家安全、社會(huì)秩序、公共利益以及被測(cè)單位利益的活動(dòng)。

九、等級(jí)合規(guī)測(cè)評(píng)中應(yīng)當(dāng)嚴(yán)格遵循的五個(gè)原則

1、客觀公正原則。測(cè)評(píng)人員應(yīng)當(dāng)在沒(méi)有偏見(jiàn)和最小主觀判斷情形下，按照測(cè)評(píng)雙方相互認(rèn)可的測(cè)評(píng)方案，基于明確定義的測(cè)評(píng)方法和過(guò)程，實(shí)施測(cè)評(píng)活動(dòng)。

2、充分性原則。為客觀反映被測(cè)評(píng)信息系統(tǒng)的安全狀況，測(cè)評(píng)活動(dòng)要保證必需的廣度和深度，以滿足國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的測(cè)評(píng)指標(biāo)的要求。

3、經(jīng)濟(jì)性原則。測(cè)評(píng)活動(dòng)應(yīng)盡可能降低成本，減少投入?；跍y(cè)評(píng)成本和工作復(fù)雜性，鼓勵(lì)測(cè)評(píng)工作部分使用能反映信息系統(tǒng)當(dāng)前安全狀態(tài)的已有測(cè)評(píng)結(jié)果，包括商業(yè)安全產(chǎn)品測(cè)評(píng)結(jié)果和信息系統(tǒng)已有的安全測(cè)評(píng)結(jié)果。

4、結(jié)果一致性原則。針對(duì)同一信息系統(tǒng)的等級(jí)測(cè)評(píng)，不同測(cè)評(píng)機(jī)構(gòu)依據(jù)同一的測(cè)評(píng)方案和測(cè)評(píng)方法得出的測(cè)評(píng)結(jié)果應(yīng)當(dāng)一致，同一測(cè)評(píng)機(jī)構(gòu)重復(fù)執(zhí)行相同測(cè)評(píng)過(guò)程得出的結(jié)果應(yīng)當(dāng)一致。

5、安全性原則。測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員在測(cè)評(píng)活動(dòng)中，應(yīng)當(dāng)履行安全保密義務(wù)，承擔(dān)相應(yīng)的法律責(zé)任，確保被測(cè)評(píng)信息系統(tǒng)安全運(yùn)行和用戶的工作秘密及商業(yè)秘密不被泄露。

第二篇：信息安全等級(jí)測(cè)評(píng)實(shí)施細(xì)則(稿)

信息安全等級(jí)保護(hù)等級(jí)測(cè)評(píng)實(shí)施細(xì)則

第一章 總則

第一條【目的】為加強(qiáng)信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)建設(shè)和管理，規(guī)范等級(jí)測(cè)評(píng)活動(dòng)，保障信息安全等級(jí)保護(hù)制度的貫徹落實(shí)，根據(jù)《信息安全等級(jí)保護(hù)管理辦法》等有關(guān)規(guī)范制訂本實(shí)施細(xì)則。

第二條【適用范圍】本細(xì)則適用于等級(jí)測(cè)評(píng)機(jī)構(gòu)、測(cè)評(píng)人員和測(cè)評(píng)活動(dòng)的規(guī)范管理。

第三條【等級(jí)測(cè)評(píng)定義】等級(jí)測(cè)評(píng)是測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，受有關(guān)單位委托，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。

第四條【測(cè)評(píng)機(jī)構(gòu)定義】測(cè)評(píng)機(jī)構(gòu)是經(jīng)有關(guān)部門(mén)能力認(rèn)可，經(jīng)有關(guān)部門(mén)推薦，在一定范圍內(nèi)從事信息系統(tǒng)安全等級(jí)測(cè)評(píng)等工作的專業(yè)技術(shù)機(jī)構(gòu)。

第五條【基本原則】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)按照有關(guān)規(guī)定和統(tǒng)一標(biāo)準(zhǔn)提供“客觀、公正、安全”的測(cè)評(píng)服務(wù)，按照統(tǒng)一的測(cè)評(píng)報(bào)告模版出具測(cè)評(píng)報(bào)告。

第六條【保密要求】測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員應(yīng)當(dāng)遵守《國(guó)家保密法》的規(guī)定，保守在測(cè)評(píng)活動(dòng)中知悉的國(guó)家秘密、商業(yè)秘密、敏感信息和個(gè)人隱私等。

第七條【管理體制】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)接受各級(jí)信息安全等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組和公安網(wǎng)安部門(mén)的監(jiān)督管理，并接受有關(guān)部門(mén)的業(yè)務(wù)管理和技術(shù)指導(dǎo)。

第二章 測(cè)評(píng)機(jī)構(gòu)

第八條【總體要求】測(cè)評(píng)機(jī)構(gòu)分為地區(qū)性、行業(yè)性測(cè)評(píng)機(jī)構(gòu)，按照屬地管理和行業(yè)管理相結(jié)合的原則進(jìn)行建設(shè)和管理。

第九條【職責(zé)分工】國(guó)家信息安全等級(jí)保護(hù)協(xié)調(diào)小組辦公室主管等級(jí)測(cè)評(píng)機(jī)構(gòu)的建設(shè)和管理工作，指導(dǎo)行業(yè)等級(jí)測(cè)評(píng)機(jī)構(gòu)的建設(shè)和管理工作，并委托專門(mén)的技術(shù)能力審驗(yàn)機(jī)構(gòu)對(duì)測(cè)評(píng)機(jī)構(gòu)的技術(shù)能力進(jìn)行評(píng)估、審查并確認(rèn)。

各?。▍^(qū)、市）等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室負(fù)責(zé)本地等級(jí)測(cè)評(píng)機(jī)構(gòu)的建設(shè)管理工作。

第十條【基本條件】申請(qǐng)成為等級(jí)測(cè)評(píng)機(jī)構(gòu)的單位（以下簡(jiǎn)稱申請(qǐng)單位）應(yīng)當(dāng)具備以下基本條件：

（一）在中華人民共和國(guó)境內(nèi)注冊(cè)成立（港澳臺(tái)地區(qū)除外）；

（二）由中國(guó)公民投資、中國(guó)法人投資或者國(guó)家投資的企事業(yè)單位（港澳臺(tái)地區(qū)除外）；

（三）產(chǎn)權(quán)關(guān)系明晰，注冊(cè)資金100萬(wàn)元以上；

（四）從事信息系統(tǒng)檢測(cè)評(píng)估相關(guān)工作兩年以上；

（五）單位法人及主要工作人員僅限于中華人民共和國(guó)境內(nèi)的中國(guó)公民，且無(wú)犯罪記錄；

（六）具有勝任等級(jí)測(cè)評(píng)工作的專業(yè)技術(shù)人員和管理人員，大學(xué)本科（含）以上學(xué)歷所占比例不低于80%。其中測(cè)評(píng)技術(shù)人員不少于10人；

（七）具備必要的辦公環(huán)境、設(shè)備、設(shè)施及完備的安全管理制度；

（八）對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成威脅;

（九）應(yīng)當(dāng)具備的其他條件。

第十一條【申請(qǐng)?zhí)峤弧康胤缴暾?qǐng)單位應(yīng)向?qū)俚厥。▍^(qū)、市）等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室提交申請(qǐng)，行業(yè)申請(qǐng)單位向國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室提交申請(qǐng)，并填寫(xiě)申請(qǐng)書(shū)，申請(qǐng)成為等級(jí)測(cè)評(píng)機(jī)構(gòu)。

第十二條【申請(qǐng)材料】申請(qǐng)單位在申請(qǐng)時(shí)應(yīng)提供以下材料，并對(duì)申請(qǐng)材料的真實(shí)性負(fù)責(zé)。

（一）《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)申請(qǐng)書(shū)》；

（二）當(dāng)?shù)毓簿W(wǎng)安部門(mén)的推薦意見(jiàn)；

（三）營(yíng)業(yè)執(zhí)照及其他注冊(cè)證明文件；

（四）《內(nèi)設(shè)組織機(jī)構(gòu)與崗位設(shè)置情況表》；

（五）《工作人員基本情況表》、證明材料和聲明；

（六）《辦公場(chǎng)地、設(shè)備與設(shè)施情況表》；

（七）《安全測(cè)評(píng)設(shè)備、工具配備情況表》；

（八）信息系統(tǒng)安全測(cè)評(píng)能力報(bào)告；

（九）保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等相關(guān)管理文件；

（十）需要提供的其他材料。

第十三條【初審】省級(jí)（含）以上等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室收到申請(qǐng)材料后，應(yīng)在30日內(nèi)完成初審。

第十四條【技術(shù)能力審驗(yàn)】初審?fù)ㄟ^(guò)的，由技術(shù)能力審驗(yàn)機(jī)構(gòu)評(píng)估、審查并確認(rèn)申請(qǐng)單位的技術(shù)能力。

技術(shù)能力審驗(yàn)周期最長(zhǎng)為一個(gè)月。審驗(yàn)期滿前，技術(shù)能力審驗(yàn)機(jī)構(gòu)應(yīng)向等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室出具審驗(yàn)意見(jiàn)，并加蓋專門(mén)印章。

第十五條【核準(zhǔn)】省級(jí)（含）以上等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）

小組辦公室對(duì)通過(guò)技術(shù)能力審驗(yàn)的申請(qǐng)單位進(jìn)行復(fù)核，并出具核準(zhǔn)意見(jiàn)。

第十六條【目錄公布】測(cè)評(píng)機(jī)構(gòu)實(shí)行目錄管理。各省級(jí)信息安全等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室公布本地等級(jí)測(cè)評(píng)機(jī)構(gòu)目錄，并向國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室備案。國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室公布《全國(guó)信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)目錄》。

第十七條【業(yè)務(wù)范圍】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)在規(guī)定的業(yè)務(wù)范圍內(nèi)開(kāi)展測(cè)評(píng)業(yè)務(wù)。

（一）地方測(cè)評(píng)機(jī)構(gòu)在本地開(kāi)展測(cè)評(píng)業(yè)務(wù)，行業(yè)測(cè)評(píng)機(jī)構(gòu)在行業(yè)內(nèi)開(kāi)展測(cè)評(píng)業(yè)務(wù)。行業(yè)測(cè)評(píng)機(jī)構(gòu)在地方開(kāi)展測(cè)評(píng)業(yè)務(wù)前，應(yīng)與本地等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室協(xié)調(diào)；

（二）承擔(dān)有關(guān)部門(mén)委托的安全測(cè)評(píng)專項(xiàng)任務(wù)；

（三）配合當(dāng)?shù)毓簿W(wǎng)安部門(mén)對(duì)信息系統(tǒng)進(jìn)行監(jiān)督、檢查；

（四）開(kāi)展風(fēng)險(xiǎn)評(píng)估、信息安全培訓(xùn)、咨詢服務(wù)和信息安全工程監(jiān)理；

（五）為當(dāng)?shù)匦畔踩燃?jí)保護(hù)工作提供技術(shù)支持和服務(wù)；

（六）其他有關(guān)文件規(guī)定的職責(zé)任務(wù)。

第十八條【禁止行為】測(cè)評(píng)機(jī)構(gòu)不得從事下列活動(dòng)：

（一）承擔(dān)信息系統(tǒng)安全建設(shè)整改工作；

（二）將等級(jí)測(cè)評(píng)任務(wù)分包、外包；

（三）信息安全產(chǎn)品開(kāi)發(fā)、營(yíng)銷和信息系統(tǒng)集成活動(dòng)；

（四）限定被測(cè)評(píng)單位購(gòu)買、使用其指定的信息安全產(chǎn)品；

（五）未經(jīng)許可占有、使用有關(guān)測(cè)評(píng)信息、資料及數(shù)據(jù)文件；

（六）其他可能影響測(cè)評(píng)客觀、公正的活動(dòng)。第十九條【風(fēng)險(xiǎn)告知】在開(kāi)展測(cè)評(píng)過(guò)程中，對(duì)可能影響信息系統(tǒng)正常運(yùn)行的，測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)事先告知被測(cè)評(píng)單位，并協(xié)助其采取相應(yīng)的預(yù)防措施。

第二十條【人員管理】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)建立完備的人員檔案，嚴(yán)格履行人員錄用、考核、離崗等程序，對(duì)進(jìn)入重要信息系統(tǒng)進(jìn)行測(cè)評(píng)的人員，應(yīng)該進(jìn)行背景審查，確保人員可靠。

第二十一條【制度管理】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)建立并落實(shí)保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理、培訓(xùn)教育等管理制度。

第二十二條【能力建設(shè)】測(cè)評(píng)機(jī)構(gòu)要加強(qiáng)技術(shù)能力和管理能力建設(shè)，應(yīng)在測(cè)評(píng)機(jī)構(gòu)推薦目錄公布后兩年內(nèi)至少通過(guò)一項(xiàng)實(shí)驗(yàn)室或檢查機(jī)構(gòu)資質(zhì)認(rèn)定。

第三章 人員管理

第二十三條【人員要求】測(cè)評(píng)人員應(yīng)遵守國(guó)家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和測(cè)評(píng)人員行為準(zhǔn)則，認(rèn)真履行本細(xì)則規(guī)定 的責(zé)任和義務(wù)，為用戶提供安全、客觀、公正的測(cè)評(píng)服務(wù)，保證測(cè)評(píng)的質(zhì)量和效果。

第二十四條【個(gè)人聲明】測(cè)評(píng)人員應(yīng)當(dāng)提供本人社會(huì)背景、工作經(jīng)歷和獎(jiǎng)懲情況的證明材料，聲明相關(guān)材料的真實(shí)性并承擔(dān)法律責(zé)任。

第二十五條【持證上崗】測(cè)評(píng)人員上崗前應(yīng)接受培訓(xùn)，培訓(xùn)合格的由測(cè)評(píng)機(jī)構(gòu)頒發(fā)上崗證。測(cè)評(píng)人員持證上崗。

第二十六條【分級(jí)管理】測(cè)評(píng)機(jī)構(gòu)技術(shù)人員實(shí)行分級(jí)管理，由低到高分為初級(jí)等級(jí)測(cè)評(píng)師、中級(jí)等級(jí)測(cè)評(píng)師和高級(jí)等級(jí)測(cè)評(píng)師。

測(cè)評(píng)技術(shù)人員應(yīng)當(dāng)接受專門(mén)業(yè)務(wù)培訓(xùn)，考試合格的獲得等級(jí)測(cè)評(píng)師證書(shū)。

第二十七條【培訓(xùn)與考試】國(guó)家信息安全等級(jí)保護(hù)協(xié)調(diào)小組辦公室制定并公布培訓(xùn)計(jì)劃，指定專門(mén)培訓(xùn)機(jī)構(gòu)具體承擔(dān)等級(jí)測(cè)評(píng)師的培訓(xùn)、考試工作。專門(mén)培訓(xùn)機(jī)構(gòu)向考試合格的人員頒發(fā)等級(jí)測(cè)評(píng)師證書(shū)。

第二十八條【證書(shū)管理】專門(mén)培訓(xùn)機(jī)構(gòu)依據(jù)等級(jí)測(cè)評(píng)師證書(shū)管理辦法辦理證書(shū)的審核、頒發(fā)、建檔、公布、查詢、年審、換發(fā)和撤銷，并向省級(jí)以上等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室備案。

第二十九條【備案】行業(yè)測(cè)評(píng)機(jī)構(gòu)每年應(yīng)將本單位等級(jí)測(cè)評(píng)師培訓(xùn)、獲證情況向國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室備案。

地方測(cè)評(píng)機(jī)構(gòu)每年應(yīng)將本單位等級(jí)測(cè)評(píng)師培訓(xùn)、獲證情況向本?。▍^(qū)市）等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室備案。

各地等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室每年應(yīng)將本地等級(jí)測(cè)評(píng)師培訓(xùn)、獲證情況向國(guó)家等級(jí)保護(hù)協(xié)調(diào)小組辦公室備案。

第三十條【年審管理】等級(jí)測(cè)評(píng)師實(shí)行年審制度。專門(mén)培訓(xùn)機(jī)構(gòu)對(duì)等級(jí)測(cè)評(píng)師每年進(jìn)行一次年審，并將年審結(jié)果報(bào)等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室。

對(duì)未通過(guò)年審的等級(jí)測(cè)評(píng)師，測(cè)評(píng)機(jī)構(gòu)應(yīng)暫停其開(kāi)展測(cè)評(píng)工作。專門(mén)培訓(xùn)機(jī)構(gòu)應(yīng)對(duì)年審不通過(guò)的等級(jí)測(cè)評(píng)師開(kāi)展培訓(xùn)。

第三十一條【變更告知】等級(jí)測(cè)評(píng)機(jī)構(gòu)的主要管理人員和技術(shù)人員工作變動(dòng)的，應(yīng)及時(shí)到等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室變更備案。

第三十二條【人員法律責(zé)任】測(cè)評(píng)人員在測(cè)評(píng)工作中具有徇私舞弊、收受賄賂等違反有關(guān)法律法規(guī)行為的，應(yīng)由專門(mén)培訓(xùn)機(jī)構(gòu)撤銷違規(guī)人員等級(jí)測(cè)評(píng)師證書(shū)，并按照有關(guān)規(guī)定進(jìn)行處罰。

第四章 測(cè)評(píng)活動(dòng)

第三十三條【用戶要求】信息系統(tǒng)運(yùn)營(yíng)使用單位應(yīng)當(dāng)選擇《等級(jí)測(cè)評(píng)機(jī)構(gòu)推薦目錄》中的等級(jí)測(cè)評(píng)機(jī)構(gòu)，定期對(duì)信息系統(tǒng)開(kāi)展等級(jí)測(cè)評(píng)，并加強(qiáng)對(duì)測(cè)評(píng)過(guò)程的監(jiān)督管理。

第三十四條【整改前測(cè)評(píng)】信息系統(tǒng)安全建設(shè)整改前，信息系統(tǒng)運(yùn)營(yíng)使用單位可以選擇測(cè)評(píng)機(jī)構(gòu)進(jìn)行等級(jí)測(cè)評(píng)，掌握信息系統(tǒng)安全狀況，排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)，明確安全建設(shè)整改需求。

第三十五條【整改后測(cè)評(píng)】信息系統(tǒng)安全建設(shè)整改后，信息系統(tǒng)運(yùn)營(yíng)使用單位應(yīng)當(dāng)再選擇測(cè)評(píng)機(jī)構(gòu)進(jìn)行等級(jí)測(cè)評(píng)，檢測(cè)系統(tǒng)安全保護(hù)狀況與標(biāo)準(zhǔn)要求的符合性，進(jìn)一步查找安全隱患和問(wèn)題，并進(jìn)行風(fēng)險(xiǎn)分析，為進(jìn)一步整改提供依據(jù)。

第三十六條【定期測(cè)評(píng)】第三級(jí)以上（含）信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，測(cè)評(píng)完成后，信息系統(tǒng)運(yùn)營(yíng)使用單位應(yīng)及時(shí)向受理備案的公安機(jī)關(guān)提交測(cè)評(píng)報(bào)告。

第三十七條【測(cè)評(píng)機(jī)構(gòu)規(guī)范】測(cè)評(píng)機(jī)構(gòu)應(yīng)建立規(guī)范的質(zhì)量管理體系，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等標(biāo)準(zhǔn)規(guī)范對(duì)信息系統(tǒng)進(jìn)行測(cè)評(píng)，按照公安部制訂的信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告格式編制測(cè)評(píng)報(bào)告。

第三十八條【測(cè)評(píng)費(fèi)用】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)參照國(guó)家信息化工程建設(shè)項(xiàng)目人工計(jì)費(fèi)標(biāo)準(zhǔn)合理收取測(cè)評(píng)服務(wù)費(fèi)用。為防止惡意競(jìng)爭(zhēng)，影響測(cè)評(píng)質(zhì)量，測(cè)評(píng)機(jī)構(gòu)開(kāi)展測(cè)評(píng)業(yè)務(wù)收費(fèi)應(yīng)當(dāng)不低于最低收費(fèi)限額。

第三十九條【安全責(zé)任】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)針對(duì)等級(jí)測(cè)評(píng)工作制定保密管理規(guī)范，明確保密崗位與職責(zé)，定期對(duì)工作人員進(jìn)行保密教育，與其簽訂《保密責(zé)任書(shū)》，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負(fù)責(zé)檢查落實(shí)。

第五章 監(jiān)督管理

第四十條【監(jiān)管主體】各級(jí)等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室對(duì)等級(jí)測(cè)評(píng)機(jī)構(gòu)、測(cè)評(píng)人員、測(cè)評(píng)活動(dòng)等進(jìn)行監(jiān)督、檢查，處理對(duì)測(cè)評(píng)機(jī)構(gòu)的投訴。

第四十一條【年審】各級(jí)等級(jí)保護(hù)工作協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室對(duì)備案的測(cè)評(píng)機(jī)構(gòu)及測(cè)評(píng)人員實(shí)施年審管理，每年對(duì)測(cè)評(píng)機(jī)構(gòu)的能力和工作進(jìn)行審核、審查，并公布審核、審查結(jié)果。

第四十二條【機(jī)構(gòu)違規(guī)】測(cè)評(píng)機(jī)構(gòu)違反規(guī)定，情節(jié)輕微的，由等級(jí)保護(hù)協(xié)調(diào)領(lǐng)導(dǎo)機(jī)構(gòu)辦公室責(zé)令其限期改正或予以通報(bào)、警告。

測(cè)評(píng)機(jī)構(gòu)出現(xiàn)以下情況之一的，按照相應(yīng)規(guī)定和程序，由等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）機(jī)構(gòu)決定撤銷其測(cè)評(píng)機(jī)構(gòu)資格并及時(shí)向社會(huì)公告。

（一）違反法律、法規(guī)并被起訴的；

（二）發(fā)生重大泄密事件的；

（三）運(yùn)營(yíng)管理不規(guī)范，嚴(yán)重影響測(cè)評(píng)質(zhì)量，經(jīng)整改仍無(wú)法達(dá)到要求的；

（四）與被測(cè)評(píng)單位共同隱瞞在安全評(píng)估過(guò)程中發(fā)現(xiàn)的安全漏洞，未按要求寫(xiě)入評(píng)估報(bào)告的；

（五）在評(píng)估過(guò)程中弄虛作假，編造安全評(píng)估報(bào)告的；

（六）不履行規(guī)定的責(zé)任和義務(wù)，經(jīng)通報(bào)批評(píng)、警告仍不改正的；

（七）測(cè)評(píng)機(jī)構(gòu)成立后一年內(nèi)不開(kāi)展測(cè)評(píng)業(yè)務(wù)的；

（八）由于自身原因主動(dòng)提出退出的；

（九）連續(xù)兩次年審未通過(guò)的；

（十）違反其他有關(guān)規(guī)定的。

第四十三條【爭(zhēng)議處理】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格遵循申訴、投訴及爭(zhēng)議處理制度，妥善處理爭(zhēng)議事件，及時(shí)采取糾正和改進(jìn)措施。

第四十四條【監(jiān)督自身要求】各級(jí)等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室應(yīng)嚴(yán)格依照本細(xì)則的有關(guān)規(guī)定，按照公平、公正的原則開(kāi)展監(jiān)督檢查工作。

第四十五條【變更】測(cè)評(píng)機(jī)構(gòu)性質(zhì)、經(jīng)營(yíng)（業(yè)務(wù)）范圍、隸屬關(guān)系、法定代表人等重要事項(xiàng)發(fā)生變化的，應(yīng)在30日內(nèi)向等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）機(jī)構(gòu)辦理變更手續(xù)。

第三篇：信息安全等級(jí)保護(hù)測(cè)評(píng)

TopSec可信等級(jí)體系 天融信等級(jí)保護(hù)方案

Hacker.cn 更新時(shí)間:08-03-27 09:37 來(lái)源:硅谷動(dòng)力 作者:中安網(wǎng)

1.等級(jí)保護(hù)概述

1.1為什么要實(shí)行等級(jí)保護(hù)？

信息系統(tǒng)與社會(huì)組織體系是具有對(duì)應(yīng)關(guān)系的，而這些組織體系是分層次和級(jí)別的，因此各種信息系統(tǒng)是具有不同等級(jí)的重要性和社會(huì)、經(jīng)濟(jì)價(jià)值的。對(duì)信息系統(tǒng)的基礎(chǔ)資源和信息資源的價(jià)值大小、用戶訪問(wèn)權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)的重要程度進(jìn)行區(qū)別對(duì)待就是級(jí)別的客觀要求。信息安全必須符合這些客觀要求，這就需要對(duì)信息系統(tǒng)進(jìn)行分級(jí)、分區(qū)域、分階段進(jìn)行保護(hù)，這是做好國(guó)家信息安全的必要條件。

1.2等級(jí)保護(hù)的政策文件

信息安全等級(jí)保護(hù)工作非常重要，為此從2003年開(kāi)始國(guó)家發(fā)布了一系列政策文件，具體如下：

2003年9月，中辦國(guó)辦頒發(fā)《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)），這是我國(guó)第一個(gè)信息安全保障工作的綱領(lǐng)性文件，戰(zhàn)略目標(biāo)為經(jīng)過(guò)五年努力，基本形成國(guó)家信息安全保障體系，實(shí)行等級(jí)保護(hù)制度。

2004年11月，四部委會(huì)簽《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2004]66號(hào)）：等級(jí)保護(hù)是今后國(guó)家信息安全的基本制度也是根本方法、等級(jí)保護(hù)制度的重要意義、原則、基本內(nèi)容、工作職責(zé)分工、工作要求和實(shí)施計(jì)劃。2005年9月，國(guó)信辦文件，《關(guān)于轉(zhuǎn)發(fā)《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》的通知》（國(guó)信辦[2004]25號(hào)）：基本原理、定級(jí)方法、安全規(guī)劃與設(shè)計(jì)、實(shí)施與運(yùn)營(yíng)、大型復(fù)雜電子政務(wù)系統(tǒng)等級(jí)保護(hù)過(guò)程。

2005年，公安部標(biāo)準(zhǔn)：《等級(jí)保護(hù)安全要求》、《等級(jí)保護(hù)定級(jí)指南》、《等級(jí)保護(hù)實(shí)施指南》、《等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》。

2006年1月，四部委會(huì)簽《關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法的通知》（公通字[2006]7號(hào)）。

1.3 等級(jí)保護(hù)的管理結(jié)構(gòu)－北京為例

等級(jí)保護(hù)的實(shí)施和落實(shí)離不開(kāi)各級(jí)管理機(jī)構(gòu)的指導(dǎo)和監(jiān)督，這在等級(jí)保護(hù)的相關(guān)文件中已經(jīng)得到了規(guī)定，下面以北京市為例來(lái)說(shuō)明管理機(jī)構(gòu)的組成和職責(zé)，具體如下圖所示：

1.4等級(jí)保護(hù)理論的技術(shù)演進(jìn)

在等級(jí)保護(hù)理論被提出以后，經(jīng)過(guò)相關(guān)部門(mén)的努力工作，逐漸提出了一系列原則、技術(shù)和框架，已經(jīng)具備實(shí)施等級(jí)保護(hù)工作的基礎(chǔ)條件了，其具體演進(jìn)過(guò)程如下圖所示：

1.5等級(jí)保護(hù)的基本需求

一個(gè)機(jī)構(gòu)要實(shí)施等級(jí)保護(hù)，需要基本需求。由于等級(jí)保護(hù)是國(guó)家推動(dòng)的旨在規(guī)范安全工作的基本工作制度，因此各級(jí)組織在這方面就存在如下需求：

（1）政策要求－符合等級(jí)保護(hù)的要求。系統(tǒng)符合《基本要求》中相應(yīng)級(jí)別的指標(biāo)，符合《測(cè)評(píng)準(zhǔn)則》中的要求。

（2）實(shí)際需求－適應(yīng)客戶實(shí)際情況。適應(yīng)業(yè)務(wù)特性與安全要求的差異性，可工程化實(shí)施。

1.6基本安全要求的結(jié)構(gòu)

對(duì)系統(tǒng)進(jìn)行定級(jí)后，需要通過(guò)努力達(dá)到相應(yīng)等級(jí)的基本安全要求，在總體上分為技術(shù)要求和管理要求，技術(shù)上又分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全，在管理要求中又分為安全管理機(jī)構(gòu)、安全管理制度等5項(xiàng)，具體如下圖所示：

2.等級(jí)保護(hù)實(shí)施中的困難與出路

由于等級(jí)保護(hù)制度還處于探討階段，目前來(lái)看，尚存在如下困難：

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)，否則：

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平

2.在建立長(zhǎng)效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善

3.管理難度太大，管理成本高

4.大型客戶最關(guān)注的關(guān)鍵要求指標(biāo)超出《基本要求》規(guī)定

針對(duì)上述問(wèn)題，在下面幾小節(jié)分別給出了堅(jiān)決辦法。

2.1安全體系設(shè)計(jì)方法

需求分析－1

問(wèn)題1：標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

需求：從組織整體出發(fā)，綜合考核所有系統(tǒng)

方法：引入體系設(shè)計(jì)方法

2.2保護(hù)對(duì)象框架設(shè)計(jì)方法

需求分析－2

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

需求：準(zhǔn)確地進(jìn)行大系統(tǒng)的分解和描述，反映實(shí)際特性和差異性安全要求

方法：引入保護(hù)對(duì)象框架設(shè)計(jì)方法

保護(hù)對(duì)象框架－政府行業(yè)

保護(hù)對(duì)象框架－電信行業(yè)

保護(hù)對(duì)象框架－銀行業(yè)

2.3安全平臺(tái)的設(shè)計(jì)與建設(shè)方法

需求分析－3

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平

需求：統(tǒng)一規(guī)劃，集中建設(shè)，避免重復(fù)和分散，降低成本，提高建設(shè)水平

方法：引入安全平臺(tái)的設(shè)計(jì)與建設(shè)方法

平臺(tái)定義：為系統(tǒng)提供互操作性及其服務(wù)的環(huán)境

2.4建立安全運(yùn)行體系

需求分析－4

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平

2.在建立長(zhǎng)效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善

需求：建立長(zhǎng)效機(jī)制，建立可持續(xù)運(yùn)行、發(fā)展和完善的體系

方法：建立安全運(yùn)行體系

2.5安全運(yùn)維工作過(guò)程

需求分析－5

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平

2.在建立長(zhǎng)效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善

3.管理難度太大，管理成本高

需求：需要高水平、自動(dòng)化的安全管理工具

方法：TSM安全管理平臺(tái)

2.6 TNA可信網(wǎng)絡(luò)架構(gòu)模型

需求分析－6

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平

2.在建立長(zhǎng)效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善

3.管理難度太大，管理成本高

4.大型客戶最關(guān)注的關(guān)鍵指標(biāo)超出《基本要求》規(guī)定

需求：在《基本要求》基礎(chǔ)上提出更強(qiáng)的措施，滿足客戶最關(guān)注的指標(biāo)

方法：引入可信計(jì)算的理念，提供可信網(wǎng)絡(luò)架構(gòu)

3.總體解決方案－TopSec可信等級(jí)體系

按照上面解決等級(jí)保護(hù)目前困難的方法，總體解決方案就是建立TopSec可信等級(jí)體系：

遵照國(guó)家等級(jí)保護(hù)制度、滿足客戶實(shí)際需求，采用等級(jí)化、體系化和可信保障相結(jié)合的方法，為客戶建設(shè)一套覆蓋全面、重點(diǎn)突出、節(jié)約成本、持續(xù)運(yùn)行的安全保障體系。

實(shí)施后狀態(tài)：一套持續(xù)運(yùn)行、涵蓋所有安全內(nèi)容的安全保障體系，是企業(yè)或組織安全工作所追求的最終目標(biāo)

特質(zhì)：

等級(jí)化：突出重點(diǎn)，節(jié)省成本，滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求

整體性：結(jié)構(gòu)化，內(nèi)容全面，可持續(xù)發(fā)展和完善，持續(xù)運(yùn)行

針對(duì)性：針對(duì)實(shí)際情況，符合業(yè)務(wù)特性和發(fā)展戰(zhàn)略

3.1可信等級(jí)體系設(shè)計(jì)方法

3.2信息安全保障體系總體框架

3.3體系設(shè)計(jì)的成果

安全組織體系

安全策略體系

安全技術(shù)體系

安全運(yùn)行體系

3.4安全體系的實(shí)現(xiàn)

4.成功案例

某國(guó)有大型企業(yè)已經(jīng)采用了我們的可信等級(jí)體系，取得了良好的效果。

第四篇：廣東省信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)管理辦法

廣東省信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)管理辦法

（試行）

第一條

為規(guī)范信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)管理，提高信息安全保障能力和水平，保障和促進(jìn)信息化建設(shè)，根據(jù)《廣東省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》和《信息安全等級(jí)保護(hù)管理辦法》等規(guī)定，制定本辦法。

第二條

本辦法所稱信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)是指對(duì)信息系統(tǒng)的安全保護(hù)措施是否符合信息安全等級(jí)保護(hù)相關(guān)法律和標(biāo)準(zhǔn)進(jìn)行評(píng)估的組織。

第三條

信息安全等級(jí)測(cè)評(píng)應(yīng)當(dāng)堅(jiān)持實(shí)事求是、客觀公正的原則，保證測(cè)評(píng)活動(dòng)的獨(dú)立性和測(cè)評(píng)結(jié)論的準(zhǔn)確性。

第四條

第二級(jí)以上的計(jì)算機(jī)信息系統(tǒng)的安全測(cè)評(píng)應(yīng)當(dāng)選擇符合下列條件的計(jì)算機(jī)信息系統(tǒng)安全等級(jí)測(cè)評(píng)機(jī)構(gòu)（簡(jiǎn)稱測(cè)評(píng)機(jī)構(gòu)）承擔(dān)：

（一）在中華人民共和國(guó)境內(nèi)注冊(cè)成立（港澳臺(tái)地區(qū)除外），具有相應(yīng)經(jīng)營(yíng)范圍的營(yíng)業(yè)執(zhí)照，注冊(cè)資本100萬(wàn)元以上；

（二）由中國(guó)公民投資、中國(guó)法人投資或者國(guó)家投資的企事業(yè)單位（港澳臺(tái)地區(qū)除外）；

（三）近3年完成的測(cè)評(píng)項(xiàng)目總值150萬(wàn)元以上；

（四）具有計(jì)算機(jī)安全或相關(guān)專業(yè)資格證書(shū)的專業(yè)技術(shù)人員不少于20人，其中大學(xué)本科以上學(xué)歷的人員不少于15人；

（五）管理人員應(yīng)當(dāng)具有3年以上從事計(jì)算機(jī)信息系統(tǒng)安全技術(shù)領(lǐng)域企業(yè)管理工作經(jīng)歷，技術(shù)負(fù)責(zé)人已獲得計(jì)算機(jī)信息系統(tǒng)安全技術(shù)相關(guān)專業(yè)的高級(jí)職稱，從事安全測(cè)評(píng)工作不少于3年，無(wú)犯罪記錄；

（六）工作人員僅限于中國(guó)公民，法人及主要業(yè)務(wù)、技術(shù)人員無(wú)犯罪記錄；

（七）具有與所承擔(dān)項(xiàng)目適應(yīng)的技術(shù)裝備；

（八）具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度；

（九）對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成威脅。

第五條

我省對(duì)測(cè)評(píng)機(jī)構(gòu)實(shí)施備案制度。符合第四條規(guī)定的條件，承擔(dān)第二級(jí)以上的計(jì)算機(jī)信息系統(tǒng)測(cè)評(píng)工作的機(jī)構(gòu)應(yīng)當(dāng)?shù)焦矙C(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)備案。

第六條

信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)申請(qǐng)備案，應(yīng)當(dāng)向地級(jí)以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)提交下列資料：

（一）備案申請(qǐng)書(shū)；

（二）營(yíng)業(yè)執(zhí)照復(fù)印件；

（三）管理人員和專業(yè)技術(shù)人員的身份證明、學(xué)歷證明、計(jì)算機(jī)安全培訓(xùn)合格證書(shū)復(fù)印件和無(wú)犯罪證明；

（四）技術(shù)裝備情況及組織管理制度報(bào)告。第七條

地級(jí)以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)應(yīng)當(dāng)自接到申請(qǐng)材料之日起15日內(nèi)對(duì)申請(qǐng)材料進(jìn)行初審。初審合格的，報(bào)送省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)審查；初審不合格的，退回申請(qǐng)并說(shuō)明理由。

省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)應(yīng)當(dāng)自接到初審材料之日起15日內(nèi)進(jìn)行審查，符合條件的，發(fā)給備案證書(shū)。不符合條件的，作出不予備案的決定并說(shuō)明理由。

承擔(dān)省直和中央駐粵單位信息安全等級(jí)測(cè)評(píng)工作的機(jī)構(gòu)，直接向省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)提出申請(qǐng)，省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)應(yīng)當(dāng)在30日內(nèi)作出備案意見(jiàn)。

第八條

省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)對(duì)已備案的信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行公布。

第九條

備案證書(shū)分為正本和副本，正本和副本具有同等效力。

第十條

備案證書(shū)實(shí)行年檢制度。年檢時(shí)間為每年2月至3月，新領(lǐng)備案證書(shū)未滿半年的不需年檢。

第十二條

信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)參加年檢，應(yīng)當(dāng)持下列材料向地級(jí)以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)提出申請(qǐng)：

（一）備案證書(shū)年檢申請(qǐng)書(shū)；

（二）備案證書(shū)副本；

（三）其他材料。

第十三條

地級(jí)以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)應(yīng)當(dāng)自接到申請(qǐng)材料之日起15日內(nèi)對(duì)申請(qǐng)材料進(jìn)行初審。初審合格的，報(bào)送省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)審查；初審不合格的，退回申請(qǐng)并說(shuō)明理由。

省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)應(yīng)當(dāng)自接到初審材料之日起15日內(nèi)進(jìn)行審查并作出年檢結(jié)論。

持國(guó)家工商行政管理總局或省工商行政管理局核發(fā)的營(yíng)業(yè)執(zhí)照的機(jī)構(gòu)，直接向省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)提出申請(qǐng)，省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)應(yīng)當(dāng)在30日內(nèi)作出年檢結(jié)論。

第十四條

年檢結(jié)論分為合格、取消兩種。

具備下列情形的，年審結(jié)論為合格：

（一）遵守國(guó)家有關(guān)法律法規(guī)和本省有關(guān)規(guī)定；

（二）上完成的測(cè)評(píng)項(xiàng)目總值不低于50萬(wàn)元；

（三）符合備案條件。

有下列情形之一的，年檢結(jié)論為取消：

（一）違反國(guó)家有關(guān)法律法規(guī)和本省有關(guān)規(guī)定，情節(jié)嚴(yán)重；

（二）上完成的測(cè)評(píng)項(xiàng)目總值低于50萬(wàn)元；

（三）情況發(fā)生變更，達(dá)不到備案條件。

年檢合格的，在備案證書(shū)副本和年檢申請(qǐng)書(shū)上注明，加蓋省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察專用章。

年檢結(jié)論為取消的，備案證書(shū)作廢，信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)自接到年檢結(jié)論之日起10日內(nèi)交回備案證書(shū)。

未按時(shí)參加年檢的，年審結(jié)論視為取消。

因特殊原因未年檢的，應(yīng)當(dāng)書(shū)面說(shuō)明理由，經(jīng)批準(zhǔn)，方可補(bǔ)辦相關(guān)手續(xù)。

第十五條

備案證書(shū)登記事項(xiàng)發(fā)生變更的，應(yīng)在30日內(nèi)到地級(jí)以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)辦理變更手續(xù)。

第十六條

信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)履行下列義務(wù)：

（一）遵守國(guó)家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供安全、客觀、公正的檢測(cè)評(píng)估服務(wù)，保證測(cè)評(píng)的質(zhì)量和效果；

（二）保守在測(cè)評(píng)活動(dòng)中知悉的國(guó)家秘密、商業(yè)秘密和個(gè)人隱私，防范測(cè)評(píng)風(fēng)險(xiǎn)；

（三）對(duì)測(cè)評(píng)人員進(jìn)行安全保密教育，與其簽訂安全保密責(zé)任書(shū)，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負(fù)責(zé)檢查落實(shí)。

第十七條

公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)對(duì)信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行監(jiān)督、檢查和指導(dǎo)。第十八條

信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)有下列行為之一的，由所在地公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)責(zé)令改正，并予以通報(bào)。對(duì)已辦理備案的，收回備案證書(shū)。觸犯有關(guān)法律、法規(guī)和規(guī)章的，依法追究法律責(zé)任。

（一）偽造、冒用信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)備案證書(shū)的；

（二）轉(zhuǎn)讓、轉(zhuǎn)借信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)備案證書(shū)的；

（三）出具虛假、失實(shí)的信息安全等級(jí)測(cè)評(píng)結(jié)論的；

（四）泄露測(cè)評(píng)活動(dòng)中掌握的國(guó)家秘密、商業(yè)秘密和個(gè)人隱私的；

（五）違反法律、法規(guī)、規(guī)章等規(guī)定的其他行為。

第十九條

本辦法自印發(fā)之日起施行。

第五篇：《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理辦法》最新

信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理辦法

第一條 為加強(qiáng)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理，規(guī)范等級(jí)測(cè)評(píng)行為，提高測(cè)評(píng)技術(shù)能力和服務(wù)水平，根據(jù)《信息安全等級(jí)保護(hù)管理辦法》等有關(guān)規(guī)定，制定本辦法。

第二條 等級(jí)測(cè)評(píng)工作，是指等級(jí)測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)非涉及國(guó)家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。

等級(jí)測(cè)評(píng)機(jī)構(gòu)，是指依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，具備本辦法規(guī)定的基本條件，經(jīng)審核推薦，從事等級(jí)測(cè)評(píng)等信息安全服務(wù)的機(jī)構(gòu)。

第三條 等級(jí)測(cè)評(píng)機(jī)構(gòu)推薦管理工作遵循統(tǒng)籌規(guī)劃、合理布局、安全規(guī)范的方針，按照“誰(shuí)推薦、誰(shuí)負(fù)責(zé)，誰(shuí)審核、誰(shuí)負(fù)責(zé)”的原則有序開(kāi)展。

第四條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)以提供等級(jí)測(cè)評(píng)服務(wù)為主，可根據(jù)信息系統(tǒng)運(yùn)營(yíng)使用單位安全保障需求，提供信息安全咨詢、應(yīng)急保障、安全運(yùn)維、安全監(jiān)理等服務(wù)。

第五條 國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室（以下簡(jiǎn)稱“國(guó)家等保辦”）負(fù)責(zé)受理隸屬國(guó)家信息安全職能部門(mén)和重點(diǎn)行業(yè)主管部門(mén)申請(qǐng)單位提出的申請(qǐng)，并對(duì)其推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行監(jiān)督管理。

省級(jí)信息安全等級(jí)保護(hù)工作協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室（以下簡(jiǎn)稱“省級(jí)等保辦”）負(fù)責(zé)受理本?。▍^(qū)、直轄市）申請(qǐng)單位提出的申請(qǐng)，并對(duì)其推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行監(jiān)督管理。

第六條 申請(qǐng)成為等級(jí)測(cè)評(píng)機(jī)構(gòu)的單位（以下簡(jiǎn)稱“申請(qǐng)單位”）應(yīng)具備以下基本條件：

（一）在中華人民共和國(guó)境內(nèi)注冊(cè)成立，由中國(guó)公民、法人投資或者國(guó)家投資的企事業(yè)單位；

（二）產(chǎn)權(quán)關(guān)系明晰，注冊(cè)資金100萬(wàn)元以上；

（三）從事信息系統(tǒng)安全相關(guān)工作兩年以上，無(wú)違法記錄；

（四）測(cè)評(píng)人員僅限于中華人民共和國(guó)境內(nèi)的中國(guó)公民，且無(wú)犯罪記錄；

（五）具有信息系統(tǒng)安全相關(guān)工作經(jīng)驗(yàn)的技術(shù)人員，不少于10人；

（六）具備必要的辦公環(huán)境、設(shè)備、設(shè)施，使用的技術(shù)裝備、設(shè)施應(yīng)滿足測(cè)評(píng)工作需求；

（七）具有完備的安全保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等規(guī)章制度；

（八）自覺(jué)接受等保辦的監(jiān)督、檢查和指導(dǎo)，對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成威脅；

（九）不涉及信息安全產(chǎn)品開(kāi)發(fā)、銷售或信息系統(tǒng)安全集成等業(yè)務(wù)；

（十）應(yīng)具備的其他條件。

第七條 申請(qǐng)時(shí)，申請(qǐng)單位應(yīng)向等保辦提交以下材料：

（一）《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)申請(qǐng)表》；

（二）從事信息系統(tǒng)安全相關(guān)工作情況；

（三）檢測(cè)評(píng)估工作所需軟硬件及其他服務(wù)保障設(shè)施配備情況；

（四）有關(guān)管理制度建設(shè)情況；

（五）申請(qǐng)單位及其測(cè)評(píng)人員基本情況；

（六）應(yīng)提交的其他材料。

等保辦收到申請(qǐng)材料后，應(yīng)在10個(gè)工作日內(nèi)組織初審，并出具初審結(jié)果告知書(shū)。

第八條 通過(guò)初審的申請(qǐng)單位，應(yīng)及時(shí)參加指定評(píng)估機(jī)構(gòu)組織的測(cè)評(píng)人員培訓(xùn)。考試合格的人員，取得等級(jí)測(cè)評(píng)師證書(shū)。

等級(jí)測(cè)評(píng)師分為初級(jí)、中級(jí)和高級(jí)。申請(qǐng)單位應(yīng)至少有10人獲得等級(jí)測(cè)評(píng)師證書(shū)，其中高級(jí)和中級(jí)測(cè)評(píng)師均不得少于1人。

第九條 指定評(píng)估機(jī)構(gòu)應(yīng)根據(jù)標(biāo)準(zhǔn)規(guī)范對(duì)申請(qǐng)單位開(kāi)展能力評(píng)估，出具信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力評(píng)估報(bào)告，并及時(shí)將申請(qǐng)單位能力評(píng)估有關(guān)情況報(bào)送等保辦。

第十條 等保辦組織專家對(duì)通過(guò)能力評(píng)估的申請(qǐng)單位進(jìn)行審核。審核通過(guò)的，頒發(fā)《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)》。

省級(jí)等保辦應(yīng)及時(shí)將本地等級(jí)測(cè)評(píng)機(jī)構(gòu)推薦情況報(bào)國(guó)家等保辦，國(guó)家等保辦定期發(fā)布公告，在《中國(guó)信息安全等級(jí)保護(hù)網(wǎng)》發(fā)布《全國(guó)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄》。

第十一條 下列事項(xiàng)發(fā)生變更時(shí)，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)在變更后5個(gè)工作日內(nèi)向等保辦報(bào)告。

（一）等級(jí)測(cè)評(píng)機(jī)構(gòu)名稱、地址、測(cè)評(píng)人員和主要負(fù)責(zé)人發(fā)生變更的；

（二）等級(jí)測(cè)評(píng)機(jī)構(gòu)法人、股權(quán)結(jié)構(gòu)發(fā)生變更的；

（三）其他重大事項(xiàng)發(fā)生變更的。

省級(jí)等保辦應(yīng)及時(shí)將等級(jí)測(cè)評(píng)機(jī)構(gòu)變更情況報(bào)國(guó)家等保辦。

第十二條 信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)有效期為三年。等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)在推薦證書(shū)期滿前30日內(nèi)，向等保辦申請(qǐng)復(fù)審。復(fù)審?fù)ㄟ^(guò)的等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)換發(fā)新證。復(fù)審未通過(guò)的，等保辦應(yīng)督促其限期整改。

省級(jí)等保辦應(yīng)及時(shí)將等級(jí)測(cè)評(píng)機(jī)構(gòu)期滿復(fù)審情況報(bào)國(guó)家等保辦。

第十三條 等級(jí)測(cè)評(píng)師上崗前，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)組織崗前培訓(xùn)。培訓(xùn)合格的，由等級(jí)測(cè)評(píng)機(jī)構(gòu)配發(fā)上崗證。未取得測(cè)評(píng)師證書(shū)和上崗證的，不得參與等級(jí)測(cè)評(píng)項(xiàng)目。

等級(jí)測(cè)評(píng)師離職前，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)與其簽訂離職保密承諾書(shū)，并收回上崗證。

第十四條 等級(jí)測(cè)評(píng)師應(yīng)妥善保管等級(jí)測(cè)評(píng)師證書(shū)、上崗證，不得涂改、出借、出租和轉(zhuǎn)讓。

第十五條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)本機(jī)構(gòu)等級(jí)測(cè)評(píng)師的監(jiān)督管理，定期組織開(kāi)展安全保密教育和業(yè)務(wù)培訓(xùn)。

第十六條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)嚴(yán)格按照信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)規(guī)范公正、獨(dú)立地開(kāi)展等級(jí)測(cè)評(píng)工作，依據(jù)模板出具信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告，確保測(cè)評(píng)質(zhì)量，全面、客觀地反映被測(cè)信息系統(tǒng)的安全保護(hù)狀況。

第十七條 等級(jí)測(cè)評(píng)機(jī)構(gòu)開(kāi)展測(cè)評(píng)項(xiàng)目不受地域、行業(yè)限制。等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)在測(cè)評(píng)項(xiàng)目合同簽訂以及項(xiàng)目完成后5個(gè)工作日內(nèi)，向受理信息系統(tǒng)備案的公安機(jī)關(guān)報(bào)告等級(jí)測(cè)評(píng)項(xiàng)目有關(guān)情況。

第十八條 測(cè)評(píng)項(xiàng)目實(shí)施過(guò)程中，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)接受等保辦的監(jiān)督、檢查和指導(dǎo)。測(cè)評(píng)項(xiàng)目完成后，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)請(qǐng)被測(cè)評(píng)信息系統(tǒng)運(yùn)營(yíng)使用單位對(duì)測(cè)評(píng)服務(wù)情況進(jìn)行評(píng)價(jià)，評(píng)價(jià)情況由被測(cè)單位反饋等保辦。

第十九條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)定期向等保辦報(bào)送測(cè)評(píng)工作開(kāi)展情況。根據(jù)測(cè)評(píng)實(shí)踐，每年底編制并報(bào)送信息系統(tǒng)安全狀況分析報(bào)告。第二十條 等級(jí)測(cè)評(píng)機(jī)構(gòu)實(shí)行等級(jí)化管理。根據(jù)信息系統(tǒng)測(cè)評(píng)數(shù)量、機(jī)構(gòu)規(guī)模、測(cè)評(píng)技術(shù)能力和服務(wù)質(zhì)量等指標(biāo)，對(duì)等級(jí)測(cè)評(píng)機(jī)構(gòu)劃分為五個(gè)星級(jí)，最低為一星級(jí)，最高為五星級(jí)。等級(jí)測(cè)評(píng)機(jī)構(gòu)星級(jí)評(píng)定標(biāo)準(zhǔn)由國(guó)家等保辦另行制定。

第二十一條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)于每年底向等保辦提交星級(jí)評(píng)定所需材料。

等保辦負(fù)責(zé)組織所推薦等級(jí)測(cè)評(píng)機(jī)構(gòu)的星級(jí)評(píng)定審核工作，并出具星級(jí)評(píng)定意見(jiàn)。省級(jí)等保辦應(yīng)及時(shí)將評(píng)定意見(jiàn)報(bào)國(guó)家等保辦審定，國(guó)家等保辦定期發(fā)布星級(jí)評(píng)定結(jié)果。

第二十二條 取得信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)未滿一年的，不參加星級(jí)評(píng)定。

第二十三條 等保辦負(fù)責(zé)對(duì)所推薦等級(jí)測(cè)評(píng)機(jī)構(gòu)的日常監(jiān)督檢查、測(cè)評(píng)項(xiàng)目抽查和年審工作，及時(shí)掌握等級(jí)測(cè)評(píng)機(jī)構(gòu)工作情況。

第二十四條 等保辦應(yīng)于每年底對(duì)所推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行年審。等級(jí)測(cè)評(píng)機(jī)構(gòu)自推薦之日起未滿6個(gè)月的，當(dāng)年可免予年審。年審時(shí)，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)提交以下材料：

（一）《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)年審表》；

（二）信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)副本；

（三）測(cè)評(píng)工作總結(jié)；

（四）其他所需材料。

第二十五條

國(guó)家等保辦負(fù)責(zé)組織開(kāi)展等級(jí)測(cè)評(píng)機(jī)構(gòu)能力驗(yàn)證和抽查工作。

第二十六條 等級(jí)測(cè)評(píng)機(jī)構(gòu)有下列情形之一的，等保辦應(yīng)責(zé)令其限期整改；情形嚴(yán)重的，予以通報(bào)。

（一）未按照有關(guān)標(biāo)準(zhǔn)規(guī)范開(kāi)展測(cè)評(píng)或未按規(guī)定出具信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告的；

（二）影響被測(cè)評(píng)信息系統(tǒng)正常運(yùn)行，危害被測(cè)評(píng)信息系統(tǒng)安全的；

（三）非授權(quán)占有、使用，未妥善保管等級(jí)測(cè)評(píng)相關(guān)資料及數(shù)據(jù)文件的；

（四）分包或轉(zhuǎn)包等級(jí)測(cè)評(píng)項(xiàng)目，以及擾亂測(cè)評(píng)市場(chǎng)秩序的；

（五）限定被測(cè)評(píng)單位購(gòu)買、使用指定信息安全產(chǎn)品的；

（六）測(cè)評(píng)人員未取得等級(jí)測(cè)評(píng)師證書(shū)和上崗證從事等級(jí)測(cè)評(píng)活動(dòng)的；

（七）未按本辦法規(guī)定向等保辦提交材料、報(bào)告情況或弄虛作假的；

（八）其他違反等級(jí)測(cè)評(píng)有關(guān)規(guī)定的行為。

第二十七條 等級(jí)測(cè)評(píng)機(jī)構(gòu)有下列情形之一的，等保辦應(yīng)取消其信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)，并向社會(huì)公告。

（一）因單位股權(quán)、人員等情況發(fā)生變動(dòng)，不符合等級(jí)測(cè)評(píng)機(jī)構(gòu)基本條件的；

（二）有信息安全產(chǎn)品開(kāi)發(fā)、銷售或信息系統(tǒng)安全集成行為的；

（三）故意泄露被測(cè)評(píng)單位工作秘密、重要信息系統(tǒng)數(shù)據(jù)信息的；

（四）故意隱瞞測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的安全問(wèn)題，或者在測(cè)評(píng)過(guò)程中弄虛作假未如實(shí)出具等級(jí)測(cè)評(píng)報(bào)告的；

（五）一年內(nèi)未開(kāi)展信息系統(tǒng)測(cè)評(píng)工作或自愿退出《全國(guó)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄》的；

（六）連續(xù)兩年年審不合格或限期整改后仍未通過(guò)復(fù)審的；

（七）違反本辦法第二十六條規(guī)定，情節(jié)特別嚴(yán)重的。第二十八條 等級(jí)測(cè)評(píng)師有下列行為之一的，等保辦應(yīng)責(zé)令等級(jí)測(cè)評(píng)機(jī)構(gòu)督促其限期改正；情節(jié)嚴(yán)重的，責(zé)令等級(jí)測(cè)評(píng)機(jī)構(gòu)暫停其參與測(cè)評(píng)工作；情形特別嚴(yán)重的，應(yīng)注銷其等級(jí)測(cè)評(píng)師證書(shū)，并對(duì)其所在等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行通報(bào)。

（一）未經(jīng)允許擅自使用或泄露、出售等級(jí)測(cè)評(píng)工作中收集的數(shù)據(jù)信息、資料或信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告的；

（二）違反本辦法第十四條規(guī)定，未妥善保管等級(jí)測(cè)評(píng)師證書(shū)、上崗證，有涂改、出借、出租和轉(zhuǎn)讓等行為的；

（三）測(cè)評(píng)行為失誤或不當(dāng)，影響信息系統(tǒng)安全或造成運(yùn)營(yíng)使用單位利益損失的；

（四）其他違反等級(jí)測(cè)評(píng)有關(guān)規(guī)定的行為。第二十九條 等級(jí)測(cè)評(píng)機(jī)構(gòu)及其等級(jí)測(cè)評(píng)師違反本辦法的相關(guān)規(guī)定，給被測(cè)評(píng)信息系統(tǒng)運(yùn)營(yíng)使用單位造成嚴(yán)重危害和損失的，由相關(guān)部門(mén)依照有關(guān)法律、法規(guī)予以處理。

第三十條 任何單位和個(gè)人如發(fā)現(xiàn)等級(jí)測(cè)評(píng)機(jī)構(gòu)、等級(jí)測(cè)評(píng)師有違法、違規(guī)行為的，可向國(guó)家等保辦舉報(bào)、投訴。

第三十一條 本辦法由國(guó)家等保辦負(fù)責(zé)解釋。第三十二條 本辦法自發(fā)布之日起實(shí)施。