<big id="x7pb5"></big>
<i id="x7pb5"><ins id="x7pb5"></ins></i>

<form id="x7pb5"></form><nobr id="x7pb5"><ruby id="x7pb5"><cite id="x7pb5"></cite></ruby></nobr>

    <mark id="x7pb5"><b id="x7pb5"></b></mark>

    <big id="x7pb5"></big>

    <b id="x7pb5"><ins id="x7pb5"></ins></b>

        站內搜索: 子類: 關鍵詞:
        規章制度
        規章條例
        政策法規
        網站導航
        信息化建設
        規章制度
        網絡信息安全
        官方文件
        常用下載
        聯系我們
         
         
        政策法規
          當前位置:首頁 > 規章制度 > 政策法規
        網絡安全等級保護測評機構管理辦法
        作者:信息中心 來源:本站 時間:2020-03-10 09:57:55 訪問次數:9020

        第一章 總則
          第一條 為加強網絡安全等級保護測評機構(以下簡稱“測評機構”)管理,規范測評行為,提高等級測評能力和服務水平,根據《中華人民共和國網絡安全法》和網絡安全等級保護制度要求,制定本辦法。
          第二條 等級測評工作,是指測評機構依據國家網絡安全等級保護制度規定,按照有關管理規范和技術標準,對已定級備案的非涉及國家秘密的網絡(含信息系統、數據資源等)的安全保護狀況進行檢測評估的活動。
          測評機構,是指依據國家網絡安全等級保護制度規定,符合本辦法規定的基本條件,經省級以上網絡安全等級保護工作領導(協調)小組辦公室(以下簡稱“等保辦”)審核推薦,從事等級測評工作的機構。
          第三條 測評機構實行推薦目錄管理。測評機構由省級以上等保辦根據本辦法規定,按照統籌規劃、合理布局的原則,擇優推薦。
          第四條 測評機構聯合成立測評聯盟。測評聯盟按照章程和有關測評規范,加強行業自律,提高測評技術能力和服務質量。測評聯盟在國家等保辦指導下開展工作。
          第五條 測評機構應按照國家有關網絡安全法律法規規定和標準規范要求,為用戶提供科學、安全、客觀、公正的等級測評服務。
          第二章 測評機構申請
          第六條 申請成為測評機構的單位(以下簡稱“申請單位”)需向省級以上等保辦提出申請。
          國家等保辦負責受理隸屬國家網絡安全職能部門和重點行業主管部門的申請,對申請單位進行審核、推薦;監督管理全國測評機構。
          省級等保辦負責受理本?。▍^、直轄市)申請單位的申請,對申請單位進行審核、推薦;監督管理其推薦的測評機構。
          第七條 申請單位應具備以下基本條件:
         ?。ㄒ唬┰谥腥A人民共和國境內注冊成立,由中國公民、法人投資或者國家投資的企事業單位;
         ?。ǘ┊a權關系明晰,注冊資金 500 萬元以上,獨立經營核算,無違法違規記錄;
         ?。ㄈ氖戮W絡安全服務兩年以上,具備一定的網絡安全檢測評估能力;
         ?。ㄋ模┓ㄈ?、主要負責人、測評人員僅限中華人民共和國境內的中國公民,且無犯罪記錄;
         ?。ㄎ澹┚哂芯W絡安全相關工作經歷的技術和管理人員不少于 15 人,專職滲透測試人員不少于 2 人,崗位職責清晰, 且人員相對穩定;
         ?。┚哂泄潭ǖ霓k公場所,配備滿足測評業務需要的檢測評估工具、實驗環境等;
         ?。ㄆ撸┚哂型陚涞陌踩C芄芾?、項目管理、質量管理、人員管理、檔案管理和培訓教育等規章制度;
         ?。ò耍┎簧婕熬W絡安全產品開發、銷售或信息系統安全集成等可能影響測評結果公正性的業務(自用除外);
         ?。ň牛邆涞钠渌麠l件。
          第八條 申請時,申請單位應向等保辦提交以下材料:
         ?。ㄒ唬┚W絡安全等級保護測評機構推薦申請表;
         ?。ǘ┙鼉赡陱氖戮W絡安全服務情況以及網絡安全服務項目完整文檔和相關用戶證明;
         ?。ㄈz測評估工作所需實驗環境及測評工具、設備設施情況;
         ?。ㄋ模┯嘘P管理制度情況;
         ?。ㄎ澹┥暾垎挝患捌錅y評人員基本情況;
         ?。峤坏钠渌牧?。
          第九條 等保辦收到申請材料后,應在10個工作日內組織初審。對符合本辦法第七條規定的申請單位,應委托測評聯盟對其開展測評能力評估。
          測評聯盟組織專家,根據標準規范對申請單位開展能力評估,出具測評能力評估報告,并及時將能力評估情況反饋等保辦。
          能力評估不達標的,等保辦應告知申請單位初審未通過。
          第十條 初審通過的申請單位,應組織本單位人員參加測評師培訓??荚嚭细竦?,取得測評師證書。
          測評師分為初級、中級和高級。申請單位應至少有15人獲得測評師證書,其中高級測評師不少于1人,中級測評師不少于5人。
          第十一條 等保辦組織專家對人員培訓符合要求的申請單位進行復核。復核通過的,頒發《網絡安全等級保護測評機構推薦證書》。
          第十二條 測評機構實行目錄管理,國家等保辦編制《全國網絡安全等級保護測評機構推薦目錄》,并在中國網絡安全等級保護網網站發布并及時更新。
          省級等保辦應及時將本地測評機構推薦情況報國家等保辦。
          第十三條 省級等保辦每年年底根據測評工作需求制定下一年度測評機構推薦計劃,并報國家等保辦審定。
          省級以上等保辦受理測評機構申請的時間為每年三月份。
          第十四條 測評聯盟應組織專家對新推薦測評機構的首個測評項目實施情況進行跟蹤評議,并將結果及時報等保辦。等保辦組織進行綜合審查。
          第三章 測評機構和測評人員管理
          第十五條 測評機構應與被測評單位簽署測評服務協議,依據有關標準規范開展測評業務,防范測評風險,客觀準確地反映被測評對象的安全保護狀況。
          測評機構應按照統一模板出具網絡安全等級測評報告,并針對被測評網絡分別出具等級測評報告。
          對第三級以上網絡提供等級測評服務的,測評師人數不得少于4名,其中高級測評師、中級測評師應各不少于1名。
          第十六條 測評機構應當指定專人管理測評專用章,制定管理規范,不得濫用。
          出具等級測評報告時,測評機構應加蓋等級測評專用章。未加蓋專用章的報告,視為無效。
          第十七條 測評師上崗前,測評機構應組織崗前培訓;培訓合格的,由測評機構配發上崗證,上崗證發放情況應于發放后5個工作日報等保辦。測評機構應當對測評師開展等級測評業務情況進行考核,并留存相關記錄。
          未取得測評師證書和上崗證的,不得參與等級測評項目。測評師一年內未參與測評活動的,測評聯盟應注銷其證書。
          測評師實行年度注冊管理。年審時,測評機構應將本機構測評師情況報等保辦注冊。測評機構不得采取掛靠或者聘用兼職測評師開展測評業務。
          第十八條 測評機構應采取管理和技術措施保護測評活動中相關數據和信息的安全,不得泄露在測評服務中知悉的商業秘密、重要敏感信息和個人信息;未經等保辦同意,不得擅自發布、披露在測評服務中收集掌握的網絡信息、系統漏洞、惡意代碼、網絡攻擊等信息。
          第十九條 測評機構提供測評服務不受地域、行業、領域的限制。測評項目采取登記管理。測評機構在實施測評項目之前,須將測評項目信息及時、準確地填報到網絡安全等級保護測評項目登記管理系統(以下簡稱“項目管理系統”)。
          測評機構應于測評項目合同簽訂后或測評活動實施前 5 個工作日內,通過項目管理系統填報測評項目基本情況,不得于測評項目完成后進行補錄。由于項目實施變更導致已登記信息與實際情況不符的,應及時修改并說明理由。
          第二十條 省級以上等保辦對測評機構填報的信息應在5個工作日內進行審核確認。逾期未審核確認的,項目管理系統默認審核通過。測評項目填報登記和審核確認的具體要求,參見《項目管理系統填報指南》。
          第二十一條 省級以上等保辦在審核確認測評項目登記信息時,發現測評機構具有下列情形之一的,應不予審核通過。
         ?。ㄒ唬┨幱跁和y評業務期間;
         ?。ǘ┮蜻`規被通報后,未反饋整改情況的;
         ?。ㄈ┢渌环媳巨k法規定情形的。
          第二十二條 屬于異地測評項目的,測評機構應從項目管理系統中生成測評項目基本情況表,并于測評項目實施前報送或傳至被測評網絡備案公安機關。
          第二十三條 測評機構名稱、地址、測評人員、主要負責人和聯系人發生變更的,測評機構應在變更后5個工作日內向等保辦報告,并提交變更材料。
          測評機構法人、股權結構發生變更或其他重大事項發生變更的,等保辦應組織重新進行推薦審查并出具審查意見。測評機構不得假借變更名義轉讓推薦證書。
          第二十四條 測評機構應加強對測評人員的監督管理,定期組織開展安全保密教育和測評業務培訓,簽訂安全保密責任書,規定其應當履行的安全保密義務和承擔的法律責任,并負責檢查落實。
          第二十五條 測評機構應組織測評師參加多種形式的測評業務和技術培訓,測評師每年培訓時長累計不少于40學時。培訓時長不足的,不予年度注冊。
          測評聯盟確定測評業務和技術培訓科目,發布年度測評培訓綱要。
          第二十六條 測評師離職前,測評機構應與其簽訂離職保密承諾書,收回上崗證并及時向等保辦報備。
          自離職之日起超過6個月再入職測評機構的測評師,應通過測評師考試后從事測評活動;自離職之日起一年內未入職測評機構從事測評活動的,測評聯盟應注銷其測評師證書。
          第二十七條 測評機構應監督測評師妥善保管測評師證書、上崗證,不得涂改、出借、出租和轉讓。
          第二十八條 測評機構應當建立網絡安全應急處置機制和糾紛處理機制,防范測評風險,妥善處理糾紛。
          第二十九條 測評項目完成后,測評機構應請被測評單位對測評服務情況進行評價,評價情況表由被測單位密封后反饋測評機構,留存備查。
          第三十條 測評機構應每季度向等保辦報送測評業務開展情況和測評數據。根據測評實踐,測評機構每年底編制并向等保辦報送網絡安全狀況分析報告。
          測評機構在測評活動中,發現重大網絡安全事件、重大網絡安全風險隱患、高危漏洞和重大網絡安全威脅時,應及時報告公安機關。
          第三十一條 國家等保辦每年第四季度組織開展測評機構能力驗證活動,并將能力驗證結果通報各省級等保辦。
          未參加能力驗證的測評機構,視為能力驗證未通過。
          第三十二條 等保辦應于每年12月份對所推薦測評機構進行年審。
          年審通過的,等保辦在推薦證書副本上加蓋等級保護專用章或等保辦印章,發放測評師注冊標識。
          年審時,測評機構應當提交以下材料:
         ?。ㄒ唬┚W絡安全等級保護測評機構年審表;
         ?。ǘ┚W絡安全等級保護測評機構推薦證書副本;
         ?。ㄈ┠甓葴y評工作總結;
         ?。ㄋ模y評師年度注冊表;
         ?。ㄎ澹┢渌璨牧?。
          第三十三條 測評機構有下列情形之一的,年審不予通過。
         ?。ㄒ唬┪醇皶r、準確地填報測評項目信息;
         ?。ǘy評師培訓時長不足;
         ?。ㄈ┪炊ㄆ趫笏蜏y評業務開展情況和測評數據;
         ?。ㄋ模┠芰︱炞C未通過且整改方案落實不到位;
         ?。ㄎ澹┢渌嘘P情形。
          年審未通過的,等保辦責令測評機構限期整改。拒不整改或整改不符合要求的,應暫停測評機構開展等級測評業務。
          第三十四條 測評機構推薦證書有效期為三年。測評機構應在推薦證書期滿前30日內,向等保辦申請期滿復審。
          等保辦應于收到期滿復審申請后5個工作日內,組織開展復審工作。復審通過的測評機構,由等保辦換發新證。省級等保辦應及時將測評機構期滿復審情況報國家等保辦匯總。
          期滿復審時,測評機構應提交以下材料:
         ?。ㄒ唬y評機構期滿復審申請表;
         ?。ǘ┠陮徢闆r;
         ?。ㄈ┢渌枰峁┑挠嘘P材料。
          第三十五條測評機構有下列情形之一的,期滿復審不予通過。
         ?。ㄒ唬├塾媰赡昴陮徫赐ㄟ^或三年能力驗證未通過的;
         ?。ǘ┗緱l件不符合的;
         ?。ㄈ┻`反本辦法有關規定且情形特別嚴重的;
         ?。ㄋ模┯馄?0日未提交期滿復審申請的。
          期滿復審未通過的,等保辦應公告宣布取消其推薦證書。
          第四章 監督管理
          第三十六條 省級以上等保辦對測評機構和測評業務開展情況進行監督、檢查、指導。
          國家等保辦每年組織對測評機構及測評活動開展監督抽查。
          測評項目實施過程中,測評機構應接受被測網絡備案公安機關的監督、檢查和指導。
          第三十七條 等保辦開展監督檢查時,重點檢查以下內容:
         ?。ㄒ唬y評機構基本條件符合情況;
         ?。ǘy評機構管理制度執行情況;
         ?。ㄈy評機構相關事項變更報告、審查情況;
         ?。ㄋ模y評師管理、行為規范情況;
         ?。ㄎ澹y評項目實施情況;
         ?。y評服務評價情況;
         ?。ㄆ撸y評報告及相關數據文檔管理情況;
         ?。ò耍┢渌璞O督檢查的事項。
          第三十八條 等保辦、被測網絡備案公安機關在監督檢查時,發現異地測評機構有違反本辦法規定情形的,應書面通報該機構推薦等保辦。
          等保辦在收到通報后,應及時組織進行核查處置并反饋,同時將有關情況報國家等保辦。
          第三十九條 等保辦應及時將測評數據、測評機構及其測評師情況、年審和期滿復審情況、監督檢查情況等相關數據錄入數據庫。
          第四十條 國家等保辦每年對全國測評機構開展年度評定活動,評定結果及時發布。
          第四十一條 任何組織和個人有權向省級以上等保辦、測評聯盟投訴舉報測評機構和測評人員違法違規行為。
          第四十二條 測評機構違反本辦法第十五、十六、十七、十八、十九、二十二、二十三、二十四、二十五、二十六、二十七、二十八、二十九、三十條規定,等保辦應責令其限期整改;拒不整改或情形嚴重的,約談測評機構法人和主要負責人;屢次違反上述規定或情形特別嚴重的,責令其暫停測評業務,并予通報。
          第四十三條 測評機構有下列情形之一的,等保辦責令其限期整改;情形嚴重的,責令整改期間暫停測評業務,并予通報。
         ?。ㄒ唬┪窗凑沼嘘P標準規范開展測評,或未按規定出具測評報告的;
         ?。ǘ┓职?、轉包、代理測評項目,或惡意競爭,擾亂測評工作正常開展的;
         ?。ㄈ┥米院喕瘻y評工作環節,或未按測評流程要求開展測評工作的;
         ?。ㄋ模┍O督檢查或抽查中發現問題突出的;
         ?。ㄎ澹┯绊懕粶y評網絡正常運行,或因測評不到位,未發現網絡中存在相關漏洞隱患,導致被測評網絡發生重大網絡安全事件的;
         ?。┓鞘跈嗾加?、使用,以及未妥善保管等級測評相關資料及數據文件的;
         ?。ㄆ撸┫薅ū粶y評單位購買、使用指定網絡安全產品,或與產品和服務商存在利益勾結行為的;
         ?。ò耍┓潜緳C構測評師或測評人員未取得等級測評師證書和上崗證從事等級測評活動的;
         ?。ň牛┪赐ㄟ^測評項目管理系統及時填報項目登記信息或未通過審核開展等級測評項目的;
         ?。ㄊ┪窗幢巨k法規定向等保辦提交材料或弄虛作假的;
         ?。ㄊ唬┢渌`反本辦法有關規定行為的。
          第四十四條 測評機構有下列情形之一的,等保辦應取消其推薦證書,并向社會公告,三年內不得再次申請。
         ?。ㄒ唬┻\營管理不規范,屢次被責令整改,嚴重影響測評服務質量的;
         ?。ǘ┮騿挝还蓹?、人員等情況發生變動,不符合測評機構基本條件的;
         ?。ㄈ┯芯W絡安全產品開發、銷售或系統安全集成等影響測評結果公正性行為;與產品提供商、服務商或被測評方存在利益勾結,擾亂測評業務正常開展的;
         ?。ㄋ模┬孤侗粶y評單位工作秘密、重要數據信息的;
         ?。ㄎ澹╇[瞞測評過程中發現的重大安全問題,或者在測評過程中弄虛作假未如實出具等級測評報告的;
         ?。┮荒陜任撮_展測評業務(被暫停開展測評業務的情況除外)或自愿放棄測評機構推薦資格的;
         ?。ㄆ撸┻B續兩年年審未通過或未通過期滿復審的;
         ?。ò耍y評實施期間,導致被測評網絡發生宕機等嚴重網絡安全事件的;
         ?。ň牛┯械谒氖l、第四十三條情形,造成特別嚴重后果或影響特別惡劣的;
         ?。ㄊ┢渌`反法律法規或嚴重違反本辦法規定情形的。
          第四十五條 測評師有下列行為之一的,等保辦責令測評機構督促其限期改正;情節嚴重的,責令測評機構暫停其參與測評業務;情形特別嚴重的,應注銷其測評師證書,責令其所在測評機構進行限期整改。
         ?。ㄒ唬┪唇浽试S擅自使用、泄露或出售等級測評活動中收集的數據信息、資料或測評報告的;
         ?。ǘ┻`反本辦法規定,有涂改、出借、出租和轉讓測評師證書、上崗證等行為的;
         ?。ㄈy評行為失誤或不當,嚴重影響網絡安全或造成被測評單位利益重大損失的;
         ?。ㄋ模┢渌`反本辦法有關規定行為的。
          第四十六條 測評機構及其測評師違反本辦法的相關規定,給網絡運營者造成嚴重危害和損失,構成違法犯罪的,由相關部門依照有關法律、法規予以處理。
          第四十七條 公安機關有關工作人員在工作中不得利用職權索取、收受賄賂;不得濫用職權、干預測評機構及測評業務正常開展,以及法律法規禁止的其他行為。
          第四十八條 本辦法自發布之日起實施。本辦法由國家等保辦負責解釋。
          第四十九條 自本辦法實施之日起,《信息安全等級保護測評機構管理辦法》、《信息安全等級保護測評機構異地備案實施細則》、各地自行制定的與本辦法規定不符的規范性文件一律作廢。
          第五十條 本辦法所稱“以上”含本數。

        上一篇: 網絡音視頻信息服務管理規定 下一篇: 互聯網用戶公眾賬號信息服務管理規定
        遼寧農業職業技術學院信息中心 版權所有 地址:遼寧省營口鲅魚圈區 郵編:115009
        熟睡时被公侵犯韩国电影
        <big id="x7pb5"></big>
        <i id="x7pb5"><ins id="x7pb5"></ins></i>

        <form id="x7pb5"></form><nobr id="x7pb5"><ruby id="x7pb5"><cite id="x7pb5"></cite></ruby></nobr>

          <mark id="x7pb5"><b id="x7pb5"></b></mark>

          <big id="x7pb5"></big>

          <b id="x7pb5"><ins id="x7pb5"></ins></b>