PAGEPAGE7附件一：信息安全等級保護測評工作管理規范（試行）第一條為加強信息安全等級保護測評機構建設和管理，規范等級測評活動，保障信息安全等級保護測評工作（以下簡稱“等級測評工作”）的順利開展，根據《信息安全等級保護管理辦法》等有關規定，制訂本規范。第二條本規范適用于等級測評機構和人員及其測評活動的管理。第三條等級測評工作，是指測評機構依據國家信息安全等級保護制度規定，按照有關管理規范和技術標準，對非涉及國家秘密信息系統安全等級保護狀況進行檢測評估的活動。等級測評機構，是指具備本規范的基本條件，經能力評估和審核，由省級以上信息安全等級保護工作協調（領導）小組辦公室（以下簡稱為“等保辦”）推薦，從事等級測評工作的機構。第四條省級以上等保辦負責等級測評機構的審核和推薦工作。公安部信息安全等級保護評估中心（以下簡稱“評估中心”）負責測評機構的能力評估和培訓工作。第五條等級測評機構應當具備以下基本條件：（一）在中華人民共和國境內注冊成立（港澳臺地區除外）；（二）由中國公民投資、中國法人投資或者國家投資的企事業單位（港澳臺地區除外）；（三）產權關系明晰，注冊資金100萬元以上；（四）從事信息系統檢測評估相關工作兩年以上，無違法記錄；（五）工作人員僅限于中華人民共和國境內的中國公民，且無犯罪記錄；（六）具有滿足等級測評工作的專業技術人員和管理人員，測評技術人員不少于10人；（七）具備必要的辦公環境、設備、設施，使用的技術裝備、設施應當符合《信息安全等級保護管理辦法》對信息安全產品的要求；（八）具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度；（九）對國家安全、社會秩序、公共利益不構成威脅;（十）應當具備的其他條件。第六條測評機構及其測評人員應當嚴格執行有關管理規范和技術標準，開展客觀、公正、安全的測評服務。測評機構可以從事等級測評活動以及信息系統安全等級保護定級、安全建設整改、信息安全等級保護宣傳教育等工作的技術支持。不得從事下列活動：（一）影響被測評信息系統正常運行，危害被測評信息系統安全；（二）泄露知悉的被測評單位及被測信息系統的國家秘密和工作秘密；（三）故意隱瞞測評過程中發現的安全問題，或者在測評過程中弄虛作假，未如實出具等級測評報告；（四）未按規定格式出具等級測評報告；（五）非授權占有、使用等級測評相關資料及數據文件；（六）分包或轉包等級測評項目；（七）信息安全產品開發、銷售和信息系統安全集成；（八）限定被測評單位購買、使用其指定的信息安全產品；（九）其他危害國家安全、社會秩序、公共利益以及被測單位利益的活動。第七條申請成為等級測評機構的單位（以下簡稱“申請單位”）應當向省級以上等保辦申請。國家信息安全等級保護工作協調小組辦公室負責受理隸屬國家信息安全職能部門和重點行業主管部門申請單位提出的申請。省級等保辦負責受理本省（區、直轄市）申請單位提出的申請。申請單位申請時，等保辦應當告知測評機構的條件、從事的業務范圍以及禁止行為等內容，使申請單位清楚了解測評機構的權利和義務。第八條知悉有關規定并愿意成為測評機構的申請單位，可以向省級以上等保辦提出書面申請，如實填寫《信息安全等級保護測評機構申請表》（見附件1）。申請單位的人員應當如實填寫人員基本情況表，并承諾對信息的真實性和有效性負責。省級以上等保辦對申請單位進行初審，初審通過的，應當告知申請單位到評估中心進行測評能力評估。第九條評估中心按照有關標準規范，在30個工作日內完成對申請單位的材料審查和現場核查工作。測評人員參加由評估中心舉辦的專門培訓、考試并取得評估中心頒發的《等級測評師證書》（等級測評師分為初級、中級和高級）。等級測評人員需持等級測評師證上崗。評估中心綜合評估申請單位的測評能力，對測評能力評估合格的，出具評估報告。第十條省級以上等保辦組織專家對通過測評能力評估的申請單位及其測評人員進行審核。第十一條通過審核的，由省級以上等保辦向申請單位頒發信息安全等級保護測評機構推薦證書（見附件2），并向社會公布測評機構推薦目錄。省級等保辦將測評機構推薦目錄報國家信息安全等級保護工作協調小組辦公室，國家信息安全等級保護工作協調小組辦公室匯總公布《全國信息安全等級保護測評機構推薦目錄》。第十二條測評機構應當按照公安部統一制訂的《信息系統安全等級測評報告模版》格式出具測評報告，根據信息系統規模和所投入的成本，合理收取測評服務費用。第十三條省級以上等保辦每年對所推薦的測評機構進行檢查，測評機構應提交《信息安全等級保護測評機構檢查表》（見附件3）。第十四條測評機構名稱、法人等事項發生變化的，或者其等級測評師變動的，測評機構應在三十日內向受理申請的省級以上等保辦辦理變更手續。第十五條測評機構應當嚴格遵循申訴、投訴及爭議處理制度，妥善處理爭議事件，及時采取糾正和改進措施。第十六條測評機構或者其測評人員違反本規范第六條規定之一或年審未通過的，由省級以上等保辦責令其限期改正；逾期不改正的，給予警告，直至取消測評機構的推薦證書或等級測評師證書，并向社會公告；造成嚴重損害的，由相關部門依照有關法律、法規予以處理。第十七條測評機構或者測評人員違反本規范的規定，給被測評單位造成損失的，應當依法承擔民事責任。第十八條本規范由國家信息安全等級保護工作協調小組辦公室負責解釋。第十九條本規范中省級以上含省級。第二十條本規范自發布之日起施行。附件：1、《信息安全等級保護測評機構申請表》2、信息安全等級保護測評機構推薦證書樣式3、《信息安全等級保護測評機構檢查表》附件1：編號：（）年月日信息安全等級保護測評機構申請表單位名稱：單位地址：申請日期：國家信息安全等級保護工作協調小組辦公室制填表說明：（封皮背面）1、申請表編號說明：（X）XXX年月日，X是各地行政區劃簡稱，XXX是申請書編號。2、申請表各項內容應如實填寫，文字表述明確。3、申請表簽字蓋章方為有效。應由申請單位法定代表人簽字；委托代表人簽字的，應出具有效的委托書。4、申請表中“單位類型”應按照單位營業執照填寫。5、如所填內容超出表格時，可添加附頁。6、申請單位人員基本情況表每人填寫一份。7、申請表一式二份。申請單位基本情況表單位名稱單位地址法定代表人手機辦公電話單位負責人手機辦公電話單位聯系人手機辦公電話電子郵箱注冊資本單位類型員工總數管理人員數技術人員數測評機構應當具備的基本條件（請在符合的條件序號前□內打“√”）□1、在中國境內注冊成立（港澳臺地區除外）；□2、□3、產權關系明晰，注冊資金100萬元以上；□4、從事信息系統檢測評估相關工作兩年以上；□5、工作人員僅限于中華人民共和國境內的中國公民，且無犯罪記錄；□6、具有滿足等級測評工作的專業技術人員和管理人員，測評技術人員不少于10人；□7、具備必要的辦公環境、設備、設施，使用的技術裝備、設施應當符合《信息安全等級保護管理辦法》對信息安全產品的要求；□8、具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度；□9、對國家安全、社會秩序、公共利益不構成威脅;業務范圍及主營業務（按營業執照填寫）從事信息系統檢測評估相關工作情況（近年來從事信息系統檢測評估相關工作的業績，需要列舉已完成項目的范例）設備設施配備情況（等級測評所需的測試實驗環境、測評工作平臺、專門工具、測試與評估設備及其它服務保障設施情況；設備類別清單）安全保密管理等制度情況（為加強內部規范管理，適應等級測評業務安全保密要求而采取的人員管理、安全保密管理、設備使用管理、測評質量控制管理等方面的措施和制度建設情況）測評技術力量情況（技術人才數量、層次、培訓、承擔重大課題、項目情況）申請表附件（請在提供的材料序號前□內打“√”）□1、營業執照復印件□2、法定代表人及股東身份證復印件□3、申請單位人員基本情況表（每人填寫一份）□4、股權（資本）結構說明□5、申請單位組織結構表□6、相關資質能力證書復印件申請單位聲明我單位知悉信息安全等級保護測評機構的責任義務，現申請成為信息安全等級保護測評機構，自愿服從并接受相關安全保密、測評規范管理，并保證所提交的有關材料均真實有效。如有虛假，本單位愿承擔一切后果及相關法律責任。其他特別聲明事項：法定代表人：（簽字）申請單位:（蓋章）年月日安全保證承諾書等級測評工作是等級保護工作的重要組成部分，直接關系信息系統安全，作為從事信息安全等級測評工作的機構，本單位及其人員知悉測評機構的責任義務和工作規范，愿意服從并接受各項安全保密管理，并承諾按照有關標準規范開展等級測評工作，保證測評工作的公平、公正、安全，如有虛假或有違反測評管理規范的行為，本單位將承擔由此造成的一切后果及相關的法律責任。法定代表人簽字：單位蓋章:年月日

以下內容由省級以上等保辦填寫能力評估情況（能力評估報告摘錄，評估情況及結論。）等級測評師培訓獲證情況專家審核意見專家組長：（簽字）、年月日：推薦意見承辦人：（簽字）年月日負責人：（簽字/蓋章）年月日附件2：測評機構推薦證書樣式證書編號：（省簡稱）－0001信息安全等級保護測評機構推薦證書XXX測評機構：經審查，你單位符合信息安全等級保護測評機構有關規范要求，具備從事信息系統等級測評工作能力，現予以推薦。特發此證。發證日期：2010－03－06

有效期至：2013－03－06信息安全等級保護專用章附件2：測評機構推薦證書（副本）樣式證書編號：（省簡稱）－0001信息安全等級保護測評機構推薦證書（副本）機構名稱:地址:法定代表人:發證日期:有效期至：年審情況：第一次檢查時間（年月日）第二次檢查時間（年月日）第三次檢查時間（年月日）檢查情況：負責人：（簽字/蓋章）年月日檢查情況：負責人：（簽字/蓋章）年月日檢查情況：負責人：（簽字/蓋章）年月日

附件3：編號：（X）XXX年月日信息安全等級保護測評機構檢查表測評機構名稱：（蓋章）測評機構地址：檢查日期：國家信息安全等級保護工作協調小組辦公室制填表說明：（封皮背面）1、編號（X）XXX年月日說明：X是各地行政區劃簡稱，XXX是檢查表編號。2、檢查表各項內容應如實填寫，文字表述明確，不得弄虛作假。3、檢查表蓋章方為有效。4、檢查表中“單位類型”應按照單位營業執照填寫。5、如所填內容超出表格時可另添加