第一篇:信息安全等级合规测评
信息安全等级合规测评
合规,简而言之就是要符合法律、法规、政策及相关规则、标准的约定。在信息安全领域内,等级保护、分级保护、塞班斯法案、计算机安全产品销售许可、密码管理等,是典型的合规性要求。
信息安全合规测评是国家强制要求的,信息系统运营、使用单位或者其主管部门,必须在系统建设、改造完成后,选择具备资质测评机构,依据信息安全合规性要求,对信息系统是否合规进行检测和评估的活动。信息安全合规测评具有强制性和周期性(定期检测),是国家信息安全部门督促合规性要求落地实施,保障信息安全的重要手段。
一、信息安全合规性要求
1、等级保护
等级保护将信息系统按照价值系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别划分五个等级进行保护。其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。等级保护依据公安部、国家保密局、国家密码管理局和国信办先后联合下发《关于信息安全等级保护工作的实施意见》、《信息安全等级保护信息安全等级保护管理办法》开展。
2、分级保护
分级保护针对的是涉密信息系统,根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平划分为秘密级、机密级和绝密级三个等级。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。
国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构,山东省软件评测中心是国家保密科技测评中心在山东省设立的分中心。
3、塞班斯法案 针对安然、世通等财务欺诈事件,美国国会出台了《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席塞班斯联合提出,又被称作《2002年塞班斯-奥克斯利法案》(简称塞班斯法案),法案对美国《1933年证券法》、《1934年证券交易法》做了不少修订,在会计职业监管、公司治理、证券市场监管等方面做出了许多新规定。
塞班斯法案成为在美上市企业躲不过去的坎。它规定,上市公司的财务报告必须包括一份内控报告,并明确规定公司管理层对建立和维护财务报告的内部控制体系及相应控制流程负有完全责任;此外,财务报告中必须附有其内控体系和相应流程有效性的年度评估。它的出台意味着在美国上市的公司不仅要保证其财务报表数据的准确,还要保证内控系统能通过相关审计。
4、计算机信息系统安全专用产品销售许可
计算机信息系统安全专用产品销售许可证是为了加强计算机信息系统安全专用产品的管理,保证安全专用产品的安全功能,由公安部公共信息网络安全监察局颁发的许可证书。
办理依据:
(1)《中华人民共和国计算机信息系统安全保护条例》、(1994年2月18日,国务院令147号发布)。
(2)、《计算机信息系统安全专用产品检测和销售许可证管理办法》(1997年12月1日,公安部令第32号)。
(3)、《计算机病毒防治管理办法》(2000年4月26日,公安部令第51号)。审批办理流程:
(1)、产品检测。申请单位须将样品送指定检测机构进行检测。
(2)、申请办证。检测合格后,申请单位按规定提交证书申请的相关材料。(3)、审批发证。公安部公共信息网络安全监察局。
5、信息系统密码安全管理
为推动商用密码发展,确保国家重要信息系统密码安全,具备检测资质的机构依据《信息安全等级保护商用密码管理办法》、《信息安全等级保护商用密码技术实施要求》 《信息系统安全等级保护基本要求》,对信息安全等级为三级以上(含三级)信息系统中的商用密码系统进行测评。的商用密码系统安全等级保护测评工作拟分以下三个阶段:测评申请阶段、现场检测阶段、报告与结论阶段。
在信息安全合规性要求中,等级保护和分级保护以其涉及范围广,实施具有高度专业化和复杂性的特点,成为信息安全合规测评工作的重点和难点,后面的文章将会对这两个概念进行重点解读。
二、区分信息安全等级保护与分级保护
通过上文我们知道,信息安全等级保护与分级保护是在信息安全合规测评中两个非常重要的概念,二者密切相关又有区别。山东省软件评测中心结合在等级保护测评和分级保护测评中的具体实践,对等级保护和分级保护进行详细介绍,理清两者间的关联。
1、信息系统等级保护
由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。
信息系统安全等级保护将安全保护的监管级别划分为五个级别:
第一级:用户自主保护级完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。
第二级:系统审计保护级本级的安全保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力。第三级:安全标记保护级除具有第二级系统审计保护级的所有功能外,还它要求对访问者和访问对象实施强制访问控制,并能够进行记录,以便事后的监督、审计。
第四级:结构化保护级将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。
第五级:访问验证保护级这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动,仲裁访问者能否访问某些对象从而对访问对象实行专控,保护信息不能被非授权获取。
在等级保护的实际操作中,强调从五个部分进行保护,即:
物理部分:包括周边环境,门禁检查,防火、防水、防潮、防鼠、虫害和防雷,防电磁泄漏和干扰,电源备份和管理,设备的标识、使用、存放和管理等;
支撑系统:包括计算机系统、操作系统、数据库系统和通信系统; 网络部分:包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警,网络攻击的监察和处理;
应用系统:包括系统登录、权限划分与识别、数据备份与容灾处理,运行管理和访问控制,密码保护机制和信息存储管理;
管理制度:包括管理的组织机构和各级的职责、权限划分和责任追究制度,人员的管理和培训、教育制度,设备的管理和引进、退出制度,环境管理和监控,安防和巡查制度,应急响应制度和程序,规章制度的建立、更改和废止的控制程序。
由这五部分的安全控制机制构成系统整体安全控制机制。
2、涉密信息系统分级保护
涉密信息系统实行分级保护,先要根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平来确定信息安全的保护等级;涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理和监督。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。从物理安全、信息安全、运行安全和安全保密管理等方面,对不同级别的涉密信息系统有明确的分级保护措施,从技术要求和管理标准两个层面解决涉密信息系统的分级保护问题。
涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级:
秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。
机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级(增强)的要求:
(1)信息系统的使用单位为副省级以上的党政首脑机关,以及国防、外交、国家安全、军工等要害部门;
(2)信息系统中的机密级信息含量较高或数量较多;(3)信息系统使用单位对信息系统的依赖程度较高。
绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。
涉密信息系统要按照分级保护的标准,结合涉密信息系统应用的实际情况进行方案设计。涉密信息系统定级遵循“谁建设、谁定级"的原则,可以根据信息密级、系统重要性和安全策略划分为不同的安全域,针对不同的安全域确定不同的等级,并进行相应的保护。建设完成之后应该进行审批;审批前由国家保密局授权的涉密信息系统测评机构进行系统测评(山东省软件评测中心是山东省内唯一的涉密信息系统检测机构),确定在技术层面是否达到了涉密信息系统分级保护的要求。
3、等级保护和分级保护之间的关系
国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信息系统,而不论它是否涉密。如:国家事务处理信息系统(党政机关办公系统);金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统;国防工业企业、科研等单位的信息系统等。
涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统,重点是党政机关、军队和军工单位,由各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全,确保国家秘密不被泄漏。
国家信息安全等级保护是国家从整体上、根本上解决国家信息安全问题的办法, 进一步确定了信息安全发展的主线和中心任务, 提出了总体要求。对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。而涉密信息系统分级保护则是是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。
三、等级合规测评的主要内容
1、单元测评。单元测评从信息安全管理制度、信息安全管理机构、人员安全管理、信息系统建设管理、信息系统运维管理、物理安全、网络安全、主机安全、应用安全、数据安全等层面,测评《信息系统安全等级保护基本要求》(GB/T 22239-2008)所要求的基本安全控制在信息系统中的实施配置情况。
2、整体测评。整体测评主要测评分析信息系统的整体安全性。在内容上主要包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等,是在单元测评基础上进行的进一步测评分析。
四、等级合规测评的重要作用
1、等级合规测评是落实信息安全等级保护制度的重要环节
在信息系统建设、整改时,信息系统运营、使用单位通过等级测评进行现状分析,确定系统的安全保护现状和存在的安全问题,并在此基础上确定系统的整改安全需求。信息系统定级是整个等级保护工作的开始,等级保护基本要求是对不同等级信息系统实行等级保护的基础。客户可以基于定级指南对信息系统定级,基于等级保护基本要求实施保护措施,从而将有效落实国家有关等级保护的制度要求和文件精神。
2、等级测评报告是信息系统开展整改加固的重要指导性文件,也是信息系统备案的重要附件材料
等级测评结论为信息系统未达到相应等级的基本安全保护能力的,运营、使用单位应当根据等级测评报告,制定方案进行整改,尽快达到相应等级的安全保护能力。
3、等级测评使整个组织规范一致的开展等级评定工作
合规测评基于客户的组织架构、运作模式等特点,制定信息系统安全保护等级定级指南,明确在组织内开展等级评定工作的原则、方法和流程,从而使得客户的等级评定工作能够在整个组织范围内一致地开展。
4、确保突出重点保护对象并进行适度保护
信息系统安全等级保护基本要求明确了不同等级信息系统的技术要求和管理要求,基于信息系统安全等级保护基本要求,合规测评可使客户在符合国家法律法规要求的前提下,针对不同等级信息系统采取相应等级的保护措施,从而确保重点突出、适度保护,节省IT投资。
5、等级测评提高内部人员的信息安全意识
合规测评过程中,第三方咨询专家将与被服务单位人员密切合作。通过与被服务单位人员有针对性的交流,以及精心设计的调查问卷等,被服务单位的管理、业务、技术等人员将逐步提高对信息安全合规的认识,强化信息安全意识,杜绝违规操作。
作为第三方测评机构,山东省软件评测中心认为,通过等级合规测评可指导用户在各个层面上综合采取多种保护措施,保护网络和安全域边界、网络及基础设施、终端计算环境的安全、以及进行安全运行中心等支撑性安全设施的建设。
五、等级合规测评的操作流程 要充分发挥等级测评对信息安全的保障作用,就要按照科学的流程和方法进行操作。山东省软件评测中心根据等级测评的相关要求将等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。具体过程如下:
1、测评准备活动
本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。
2、方案编制活动
本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。
3、现场测评活动
本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书测评指导书,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
4、分析与报告编制活动
本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和《信息安全等级保护基本要求》的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。
等级测评项目启动测评准备活动信息收集与分析工具和表单准备测评对象确定测评指标确定方案编制活动测评工具接入点确定测评内容确定测评指导书开发测评方案编制现场测评活动测评实施准备现场测评和记录结果结果确认和资料归还单项测评结果判定分析与报告编制活动单元测评结果判定整体测评风险分析等级测评结论形成测评报告编制沟通与洽谈
六、等级合规测评的关键点
确定了等级测评的具体流程,是为开展测评工作奠定了坚实基础,但是还要关注在具体环节上关键要素,它们对测评工作的成效高低具有重大影响。
1、等级测评的方法和强度
等级测评的基本方法一般包括访谈、检查和测试等三种。
访谈是测评人员通过与被测评单位的相关人员进行交谈和问询,了解被测信息系统安全技术和安全管理方面的相关信息,以对测评内容进行确认。
检查是测评人员通过简单比较或使用专业知识分析的方式获得测评证据的方法,包括:评审、核查、审查、观察、研究和分析等方法。
测试是指测评人员通过使用相关技术工具对信息系统进行验证测评的方法,包括功能测试、性能测试、渗透测试等。
等级测评机构应当根据被测信息系统的实际情况选取适合的测评强度。测评强度可以通过测评的深度和广度来描述。访谈的深度体现在访谈过程的严格和详细程度,广度体现在访谈人员的构成和数量上;检查的深度体现在检查过程的严格和详细程度,广度体现在检查对象的种类(文档、机制等)和数量上;测试的深度体现在执行的测试类型上(功能/性能测试和渗透测试),广度体现在测试使用的机制种类和数量上。
2、等级测评对象
测评对象是在被测信息系统中实现特定测评指标所对应的安全功能的具体系统组件。正确选择测评对象的种类和数量是整个等级测评工作能够获取足够证据、了解到被测系统的真实安全保护状况的重要保证。
测评对象一般采用抽查信息系统中具有代表性组件的方法确定。在测评对象确定中应兼顾工作投入与结果产出两者的平衡关系。
七、等级合规测评的指标
开展等级测评活动应从《信息系统安全等级保护基本要求》(GB/T 22239-2008)中选择相应等级的安全要求作为基本测评指标。
1、第二级信息系统等级测评指标,除按照《信息系统安全等级保护基本要求》所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的66项基本要求(177个控制点)作为基础测评指标以外,还应参照《信息系统通用技术要求》中的83个控制点、《信息系统安全管理要求》中的70个控制点、《信息系统安全工程管理要求》中的51个控制点以及行业测评标准所规定的其他控制点,结合不同的定级结果组合情况进行确定。
2、第三级信息系统等级测评指标确定,除按照《信息系统安全等级保护基本要求》所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的73项基本要求(290个控制点)作为测评指标以外,还应参照《信息系统通用技术要求》中的109个控制点、《信息系统安全管理要求》中的104个控制点、《信息系统安全工程管理要求》中的42个控制点以及行业测评标准所规定的其他控制点,结合不同的定级结果组合情况进行确定。
3、第四级信息系统等级测评指标确定,除按照《信息系统安全等级保护基本要求》所规定的物理安全、网络安全、主机安全、应用安全、数据安全、管理制度、管理机构、人员安全管理、系统建设安全管理、系统运维管理的77项基本要求(317个控制点)作为测评指标以外,还应参照《信息系统通用技术要求》中的120个控制点、《信息系统安全管理要求》中的104个控制点、《信息系统安全工程管理要求》中的35个控制点以及行业测评标准所规定的其他控制点,结合不同的定级结果组合情况进行确定。
4、对于由多个不同等级的信息系统组成的被测系统,应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系,而且测评指标不能分开,则不能分开的测评指标应采用就高原则。
八、高效等级测评工作的注意事项
为了保障等级测评取得真正的成效,在测评之前,需要认真筹备;测评过程中依照相关规定,强化管理。同时,在测评操作过程中还应该严格遵循等级测评的相关原则。以上经验,都已经在山东省软件测评中心的实践中得到验证,成效显著。
1、认真做好等级测评质量保障工作
等级测评机构开展测评前应与委托单位联合成立等级测评工作组,建立通畅的沟通联络机制,确保等级测评活动的顺利开展。
等级测评机构开展等级测评时,必须保证足够的现场测评等级测评师。开展第二级信息系统的等级测评活动时,测评机构至少应由一名中级等级测评师、一名管理类等级测评师、二名技术类等级测评师参与等级测评活动;开展第三级信息系统的等级测评活动时,测评机构至少应由一名高级等级测评师、两名中级等级测评师、二名管理类等级测评师、三名技术类等级测评师参与等级测评活动;开展第四级信息系统的等级测评活动时,测评机构至少应由二名高级等级测评师、两名中级等级测评师、两名管理类等级测评师、四名以上技术类等级测评师参与等级测评活动。
等级测评机构开展等级测评时,应当投入满足测评需要的拓扑发现设备、网络安全配置核查设备、网络协议分析设备、漏洞扫描设备、渗透攻击集成设备等功能测试、性能测试、渗透测试工具以及必要的交通、通信设备。
等级测评活动包括测评准备、方案编制、现场测评、分析及报告编制四个基本阶段。第二级信息系统单个业务系统等级测评全过程,一般不少于5个工作日。第三级信息系统单个业务系统等级测评全过程,一般不少于10个工作日。第四级信息系统单个业务系统等级测评全过程,一般不少于20个工作日。
等级测评活动中,测评机构需要提交给委托方的资料不少于以下纸质文档:项目计划书、公正性声明、保密协议、等级测评方案、现场测评记录、等级测评报告、安全建设整改意见
2、严格等级测评管理
信息系统的运营、使用单位或主管部门应当选择年审合格的测评机构,按照《信息系统安全等级保护测评要求》等技术标准,定期对信息系统的安全状况开展等级测评。
第三级信息系统应每年进行一次等级测评,第四级信息系统应每半年进行一次等级测评。重要的第二级信息系统可参照第三级信息系统的测评要求进行等级测评。符合测评条件的新建、扩建信息系统及信息系统发生重大改变时,应及时安排等级测评。等级测评活动结束后,测评机构应在15个工作日内向被测评信息系统的运营、使用单位提供等级测评报告,并应同时向省、市两级等保办提交第三级(含)以上信息系统的等级测评报告。被测评信息系统安全状况未达到信息安全等级保护制度要求的,由等级测评机构提出安全建设整改意见,运营、使用单位应当及时制定方案进行整改。
省内信息系统的等级测评工作原则上由省内等级测评机构完成,特殊行业等级测评机构或省外其他等级测评机构在省内开展等级测评活动时,应在省等保办办理登记备案手续,按照本规范开展等级测评活动,并接受省等保办的监督管理。测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改建议、信息安全等级保护宣传教育等工作的技术支持,但不得从事下列活动:
(1)、影响被测评信息系统正常运行,危害被测评信息系统安全;(2)、泄露被测评单位及被测信息系统的敏感信息和工作秘密;
(3)、故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告;
(4)、未按规定格式出具等级测评报告;
(5)、非授权占有、使用等级测评活动中的获得的相关资料及数据文件;(6)、分包或转包等级测评项目;
(7)、从事信息安全产品开发、销售和信息系统安全集成;(8)、限定被测评单位购买、使用其指定的信息安全产品;
(9)、其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。
九、等级合规测评中应当严格遵循的五个原则
1、客观公正原则。测评人员应当在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。
2、充分性原则。为客观反映被测评信息系统的安全状况,测评活动要保证必需的广度和深度,以满足国家标准和行业标准的测评指标的要求。
3、经济性原则。测评活动应尽可能降低成本,减少投入。基于测评成本和工作复杂性,鼓励测评工作部分使用能反映信息系统当前安全状态的已有测评结果,包括商业安全产品测评结果和信息系统已有的安全测评结果。
4、结果一致性原则。针对同一信息系统的等级测评,不同测评机构依据同一的测评方案和测评方法得出的测评结果应当一致,同一测评机构重复执行相同测评过程得出的结果应当一致。
5、安全性原则。测评机构和测评人员在测评活动中,应当履行安全保密义务,承担相应的法律责任,确保被测评信息系统安全运行和用户的工作秘密及商业秘密不被泄露。
第二篇:信息安全等级测评实施细则(稿)
信息安全等级保护等级测评实施细则
第一章 总则
第一条【目的】为加强信息安全等级测评机构建设和管理,规范等级测评活动,保障信息安全等级保护制度的贯彻落实,根据《信息安全等级保护管理办法》等有关规范制订本实施细则。
第二条【适用范围】本细则适用于等级测评机构、测评人员和测评活动的规范管理。
第三条【等级测评定义】等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
第四条【测评机构定义】测评机构是经有关部门能力认可,经有关部门推荐,在一定范围内从事信息系统安全等级测评等工作的专业技术机构。
第五条【基本原则】测评机构应当按照有关规定和统一标准提供“客观、公正、安全”的测评服务,按照统一的测评报告模版出具测评报告。
第六条【保密要求】测评机构和测评人员应当遵守《国家保密法》的规定,保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等。
第七条【管理体制】测评机构应当接受各级信息安全等级保护协调(领导)小组和公安网安部门的监督管理,并接受有关部门的业务管理和技术指导。
第二章 测评机构
第八条【总体要求】测评机构分为地区性、行业性测评机构,按照属地管理和行业管理相结合的原则进行建设和管理。
第九条【职责分工】国家信息安全等级保护协调小组办公室主管等级测评机构的建设和管理工作,指导行业等级测评机构的建设和管理工作,并委托专门的技术能力审验机构对测评机构的技术能力进行评估、审查并确认。
各省(区、市)等级保护协调(领导)小组办公室负责本地等级测评机构的建设管理工作。
第十条【基本条件】申请成为等级测评机构的单位(以下简称申请单位)应当具备以下基本条件:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)产权关系明晰,注册资金100万元以上;
(四)从事信息系统检测评估相关工作两年以上;
(五)单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(六)具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以上学历所占比例不低于80%。其中测评技术人员不少于10人;
(七)具备必要的办公环境、设备、设施及完备的安全管理制度;
(八)对国家安全、社会秩序、公共利益不构成威胁;
(九)应当具备的其他条件。
第十一条【申请提交】地方申请单位应向属地省(区、市)等级保护协调(领导)小组办公室提交申请,行业申请单位向国家信息安全等级保护工作协调小组办公室提交申请,并填写申请书,申请成为等级测评机构。
第十二条【申请材料】申请单位在申请时应提供以下材料,并对申请材料的真实性负责。
(一)《信息安全等级保护测评机构申请书》;
(二)当地公安网安部门的推荐意见;
(三)营业执照及其他注册证明文件;
(四)《内设组织机构与岗位设置情况表》;
(五)《工作人员基本情况表》、证明材料和声明;
(六)《办公场地、设备与设施情况表》;
(七)《安全测评设备、工具配备情况表》;
(八)信息系统安全测评能力报告;
(九)保密管理、项目管理、质量管理、人员管理和培训教育等相关管理文件;
(十)需要提供的其他材料。
第十三条【初审】省级(含)以上等级保护协调(领导)小组办公室收到申请材料后,应在30日内完成初审。
第十四条【技术能力审验】初审通过的,由技术能力审验机构评估、审查并确认申请单位的技术能力。
技术能力审验周期最长为一个月。审验期满前,技术能力审验机构应向等级保护协调(领导)小组办公室出具审验意见,并加盖专门印章。
第十五条【核准】省级(含)以上等级保护协调(领导)
小组办公室对通过技术能力审验的申请单位进行复核,并出具核准意见。
第十六条【目录公布】测评机构实行目录管理。各省级信息安全等级保护协调(领导)小组办公室公布本地等级测评机构目录,并向国家信息安全等级保护工作协调小组办公室备案。国家信息安全等级保护工作协调小组办公室公布《全国信息安全等级测评机构目录》。
第十七条【业务范围】测评机构应当在规定的业务范围内开展测评业务。
(一)地方测评机构在本地开展测评业务,行业测评机构在行业内开展测评业务。行业测评机构在地方开展测评业务前,应与本地等级保护协调(领导)小组办公室协调;
(二)承担有关部门委托的安全测评专项任务;
(三)配合当地公安网安部门对信息系统进行监督、检查;
(四)开展风险评估、信息安全培训、咨询服务和信息安全工程监理;
(五)为当地信息安全等级保护工作提供技术支持和服务;
(六)其他有关文件规定的职责任务。
第十八条【禁止行为】测评机构不得从事下列活动:
(一)承担信息系统安全建设整改工作;
(二)将等级测评任务分包、外包;
(三)信息安全产品开发、营销和信息系统集成活动;
(四)限定被测评单位购买、使用其指定的信息安全产品;
(五)未经许可占有、使用有关测评信息、资料及数据文件;
(六)其他可能影响测评客观、公正的活动。第十九条【风险告知】在开展测评过程中,对可能影响信息系统正常运行的,测评机构应当事先告知被测评单位,并协助其采取相应的预防措施。
第二十条【人员管理】测评机构应当建立完备的人员档案,严格履行人员录用、考核、离岗等程序,对进入重要信息系统进行测评的人员,应该进行背景审查,确保人员可靠。
第二十一条【制度管理】测评机构应当建立并落实保密管理、项目管理、质量管理、人员管理、培训教育等管理制度。
第二十二条【能力建设】测评机构要加强技术能力和管理能力建设,应在测评机构推荐目录公布后两年内至少通过一项实验室或检查机构资质认定。
第三章 人员管理
第二十三条【人员要求】测评人员应遵守国家有关法律法规、技术标准和测评人员行为准则,认真履行本细则规定 的责任和义务,为用户提供安全、客观、公正的测评服务,保证测评的质量和效果。
第二十四条【个人声明】测评人员应当提供本人社会背景、工作经历和奖惩情况的证明材料,声明相关材料的真实性并承担法律责任。
第二十五条【持证上岗】测评人员上岗前应接受培训,培训合格的由测评机构颁发上岗证。测评人员持证上岗。
第二十六条【分级管理】测评机构技术人员实行分级管理,由低到高分为初级等级测评师、中级等级测评师和高级等级测评师。
测评技术人员应当接受专门业务培训,考试合格的获得等级测评师证书。
第二十七条【培训与考试】国家信息安全等级保护协调小组办公室制定并公布培训计划,指定专门培训机构具体承担等级测评师的培训、考试工作。专门培训机构向考试合格的人员颁发等级测评师证书。
第二十八条【证书管理】专门培训机构依据等级测评师证书管理办法办理证书的审核、颁发、建档、公布、查询、年审、换发和撤销,并向省级以上等级保护工作协调小组办公室备案。
第二十九条【备案】行业测评机构每年应将本单位等级测评师培训、获证情况向国家信息安全等级保护工作协调小组办公室备案。
地方测评机构每年应将本单位等级测评师培训、获证情况向本省(区市)等级保护协调(领导)小组办公室备案。
各地等级保护协调(领导)小组办公室每年应将本地等级测评师培训、获证情况向国家等级保护协调小组办公室备案。
第三十条【年审管理】等级测评师实行年审制度。专门培训机构对等级测评师每年进行一次年审,并将年审结果报等级保护协调(领导)小组办公室。
对未通过年审的等级测评师,测评机构应暂停其开展测评工作。专门培训机构应对年审不通过的等级测评师开展培训。
第三十一条【变更告知】等级测评机构的主要管理人员和技术人员工作变动的,应及时到等级保护协调(领导)小组办公室变更备案。
第三十二条【人员法律责任】测评人员在测评工作中具有徇私舞弊、收受贿赂等违反有关法律法规行为的,应由专门培训机构撤销违规人员等级测评师证书,并按照有关规定进行处罚。
第四章 测评活动
第三十三条【用户要求】信息系统运营使用单位应当选择《等级测评机构推荐目录》中的等级测评机构,定期对信息系统开展等级测评,并加强对测评过程的监督管理。
第三十四条【整改前测评】信息系统安全建设整改前,信息系统运营使用单位可以选择测评机构进行等级测评,掌握信息系统安全状况,排查系统安全隐患和薄弱环节,明确安全建设整改需求。
第三十五条【整改后测评】信息系统安全建设整改后,信息系统运营使用单位应当再选择测评机构进行等级测评,检测系统安全保护状况与标准要求的符合性,进一步查找安全隐患和问题,并进行风险分析,为进一步整改提供依据。
第三十六条【定期测评】第三级以上(含)信息系统应当每年至少进行一次等级测评,测评完成后,信息系统运营使用单位应及时向受理备案的公安机关提交测评报告。
第三十七条【测评机构规范】测评机构应建立规范的质量管理体系,依据《信息系统安全等级保护测评要求》等标准规范对信息系统进行测评,按照公安部制订的信息系统安全等级测评报告格式编制测评报告。
第三十八条【测评费用】测评机构应当参照国家信息化工程建设项目人工计费标准合理收取测评服务费用。为防止恶意竞争,影响测评质量,测评机构开展测评业务收费应当不低于最低收费限额。
第三十九条【安全责任】测评机构应当针对等级测评工作制定保密管理规范,明确保密岗位与职责,定期对工作人员进行保密教育,与其签订《保密责任书》,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第五章 监督管理
第四十条【监管主体】各级等级保护协调(领导)小组办公室对等级测评机构、测评人员、测评活动等进行监督、检查,处理对测评机构的投诉。
第四十一条【年审】各级等级保护工作协调(领导)小组办公室对备案的测评机构及测评人员实施年审管理,每年对测评机构的能力和工作进行审核、审查,并公布审核、审查结果。
第四十二条【机构违规】测评机构违反规定,情节轻微的,由等级保护协调领导机构办公室责令其限期改正或予以通报、警告。
测评机构出现以下情况之一的,按照相应规定和程序,由等级保护协调(领导)机构决定撤销其测评机构资格并及时向社会公告。
(一)违反法律、法规并被起诉的;
(二)发生重大泄密事件的;
(三)运营管理不规范,严重影响测评质量,经整改仍无法达到要求的;
(四)与被测评单位共同隐瞒在安全评估过程中发现的安全漏洞,未按要求写入评估报告的;
(五)在评估过程中弄虚作假,编造安全评估报告的;
(六)不履行规定的责任和义务,经通报批评、警告仍不改正的;
(七)测评机构成立后一年内不开展测评业务的;
(八)由于自身原因主动提出退出的;
(九)连续两次年审未通过的;
(十)违反其他有关规定的。
第四十三条【争议处理】测评机构应当严格遵循申诉、投诉及争议处理制度,妥善处理争议事件,及时采取纠正和改进措施。
第四十四条【监督自身要求】各级等级保护协调(领导)小组办公室应严格依照本细则的有关规定,按照公平、公正的原则开展监督检查工作。
第四十五条【变更】测评机构性质、经营(业务)范围、隶属关系、法定代表人等重要事项发生变化的,应在30日内向等级保护协调(领导)机构办理变更手续。
第三篇:信息安全等级保护测评
TopSec可信等级体系 天融信等级保护方案
Hacker.cn 更新时间:08-03-27 09:37 来源:硅谷动力 作者:中安网
1.等级保护概述
1.1为什么要实行等级保护?
信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信息安全的必要条件。
1.2等级保护的政策文件
信息安全等级保护工作非常重要,为此从2003年开始国家发布了一系列政策文件,具体如下:
2003年9月,中办国办颁发《关于加强信息安全保障工作的意见》(中办发[2003]27号),这是我国第一个信息安全保障工作的纲领性文件,战略目标为经过五年努力,基本形成国家信息安全保障体系,实行等级保护制度。
2004年11月,四部委会签《关于信息安全等级保护工作的实施意见》(公通字[2004]66号):等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。2005年9月,国信办文件,《关于转发《电子政务信息安全等级保护实施指南》的通知》(国信办[2004]25号):基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。
2005年,公安部标准:《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。
2006年1月,四部委会签《关于印发《信息安全等级保护管理办法的通知》(公通字[2006]7号)。
1.3 等级保护的管理结构-北京为例
等级保护的实施和落实离不开各级管理机构的指导和监督,这在等级保护的相关文件中已经得到了规定,下面以北京市为例来说明管理机构的组成和职责,具体如下图所示:
1.4等级保护理论的技术演进
在等级保护理论被提出以后,经过相关部门的努力工作,逐渐提出了一系列原则、技术和框架,已经具备实施等级保护工作的基础条件了,其具体演进过程如下图所示:
1.5等级保护的基本需求
一个机构要实施等级保护,需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度,因此各级组织在这方面就存在如下需求:
(1)政策要求-符合等级保护的要求。系统符合《基本要求》中相应级别的指标,符合《测评准则》中的要求。
(2)实际需求-适应客户实际情况。适应业务特性与安全要求的差异性,可工程化实施。
1.6基本安全要求的结构
对系统进行定级后,需要通过努力达到相应等级的基本安全要求,在总体上分为技术要求和管理要求,技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全,在管理要求中又分为安全管理机构、安全管理制度等5项,具体如下图所示:
2.等级保护实施中的困难与出路
由于等级保护制度还处于探讨阶段,目前来看,尚存在如下困难:
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统,否则:
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键要求指标超出《基本要求》规定
针对上述问题,在下面几小节分别给出了坚决办法。
2.1安全体系设计方法
需求分析-1
问题1:标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
需求:从组织整体出发,综合考核所有系统
方法:引入体系设计方法
2.2保护对象框架设计方法
需求分析-2
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
需求:准确地进行大系统的分解和描述,反映实际特性和差异性安全要求
方法:引入保护对象框架设计方法
保护对象框架-政府行业
保护对象框架-电信行业
保护对象框架-银行业
2.3安全平台的设计与建设方法
需求分析-3
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
需求:统一规划,集中建设,避免重复和分散,降低成本,提高建设水平
方法:引入安全平台的设计与建设方法
平台定义:为系统提供互操作性及其服务的环境
2.4建立安全运行体系
需求分析-4
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
需求:建立长效机制,建立可持续运行、发展和完善的体系
方法:建立安全运行体系
2.5安全运维工作过程
需求分析-5
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
需求:需要高水平、自动化的安全管理工具
方法:TSM安全管理平台
2.6 TNA可信网络架构模型
需求分析-6
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键指标超出《基本要求》规定
需求:在《基本要求》基础上提出更强的措施,满足客户最关注的指标
方法:引入可信计算的理念,提供可信网络架构
3.总体解决方案-TopSec可信等级体系
按照上面解决等级保护目前困难的方法,总体解决方案就是建立TopSec可信等级体系:
遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化和可信保障相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。
实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业或组织安全工作所追求的最终目标
特质:
等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求
整体性:结构化,内容全面,可持续发展和完善,持续运行
针对性:针对实际情况,符合业务特性和发展战略
3.1可信等级体系设计方法
3.2信息安全保障体系总体框架
3.3体系设计的成果
安全组织体系
安全策略体系
安全技术体系
安全运行体系
3.4安全体系的实现
4.成功案例
某国有大型企业已经采用了我们的可信等级体系,取得了良好的效果。
第四篇:广东省信息安全等级测评机构管理办法
广东省信息安全等级测评机构管理办法
(试行)
第一条
为规范信息安全等级测评机构管理,提高信息安全保障能力和水平,保障和促进信息化建设,根据《广东省计算机信息系统安全保护条例》和《信息安全等级保护管理办法》等规定,制定本办法。
第二条
本办法所称信息安全等级测评机构是指对信息系统的安全保护措施是否符合信息安全等级保护相关法律和标准进行评估的组织。
第三条
信息安全等级测评应当坚持实事求是、客观公正的原则,保证测评活动的独立性和测评结论的准确性。
第四条
第二级以上的计算机信息系统的安全测评应当选择符合下列条件的计算机信息系统安全等级测评机构(简称测评机构)承担:
(一)在中华人民共和国境内注册成立(港澳台地区除外),具有相应经营范围的营业执照,注册资本100万元以上;
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)近3年完成的测评项目总值150万元以上;
(四)具有计算机安全或相关专业资格证书的专业技术人员不少于20人,其中大学本科以上学历的人员不少于15人;
(五)管理人员应当具有3年以上从事计算机信息系统安全技术领域企业管理工作经历,技术负责人已获得计算机信息系统安全技术相关专业的高级职称,从事安全测评工作不少于3年,无犯罪记录;
(六)工作人员仅限于中国公民,法人及主要业务、技术人员无犯罪记录;
(七)具有与所承担项目适应的技术装备;
(八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(九)对国家安全、社会秩序、公共利益不构成威胁。
第五条
我省对测评机构实施备案制度。符合第四条规定的条件,承担第二级以上的计算机信息系统测评工作的机构应当到公安机关公共信息网络安全监察部门备案。
第六条
信息安全等级测评机构申请备案,应当向地级以上市公安机关公共信息网络安全监察部门提交下列资料:
(一)备案申请书;
(二)营业执照复印件;
(三)管理人员和专业技术人员的身份证明、学历证明、计算机安全培训合格证书复印件和无犯罪证明;
(四)技术装备情况及组织管理制度报告。第七条
地级以上市公安机关公共信息网络安全监察部门应当自接到申请材料之日起15日内对申请材料进行初审。初审合格的,报送省公安厅公共信息网络安全监察部门审查;初审不合格的,退回申请并说明理由。
省公安厅公共信息网络安全监察部门应当自接到初审材料之日起15日内进行审查,符合条件的,发给备案证书。不符合条件的,作出不予备案的决定并说明理由。
承担省直和中央驻粤单位信息安全等级测评工作的机构,直接向省公安厅公共信息网络安全监察部门提出申请,省公安厅公共信息网络安全监察部门应当在30日内作出备案意见。
第八条
省公安厅公共信息网络安全监察部门对已备案的信息安全等级测评机构进行公布。
第九条
备案证书分为正本和副本,正本和副本具有同等效力。
第十条
备案证书实行年检制度。年检时间为每年2月至3月,新领备案证书未满半年的不需年检。
第十二条
信息安全等级测评机构参加年检,应当持下列材料向地级以上市公安机关公共信息网络安全监察部门提出申请:
(一)备案证书年检申请书;
(二)备案证书副本;
(三)其他材料。
第十三条
地级以上市公安机关公共信息网络安全监察部门应当自接到申请材料之日起15日内对申请材料进行初审。初审合格的,报送省公安厅公共信息网络安全监察部门审查;初审不合格的,退回申请并说明理由。
省公安厅公共信息网络安全监察部门应当自接到初审材料之日起15日内进行审查并作出年检结论。
持国家工商行政管理总局或省工商行政管理局核发的营业执照的机构,直接向省公安厅公共信息网络安全监察部门提出申请,省公安厅公共信息网络安全监察部门应当在30日内作出年检结论。
第十四条
年检结论分为合格、取消两种。
具备下列情形的,年审结论为合格:
(一)遵守国家有关法律法规和本省有关规定;
(二)上完成的测评项目总值不低于50万元;
(三)符合备案条件。
有下列情形之一的,年检结论为取消:
(一)违反国家有关法律法规和本省有关规定,情节严重;
(二)上完成的测评项目总值低于50万元;
(三)情况发生变更,达不到备案条件。
年检合格的,在备案证书副本和年检申请书上注明,加盖省公安厅公共信息网络安全监察专用章。
年检结论为取消的,备案证书作废,信息安全等级测评机构应当自接到年检结论之日起10日内交回备案证书。
未按时参加年检的,年审结论视为取消。
因特殊原因未年检的,应当书面说明理由,经批准,方可补办相关手续。
第十五条
备案证书登记事项发生变更的,应在30日内到地级以上市公安机关公共信息网络安全监察部门办理变更手续。
第十六条
信息安全等级测评机构应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第十七条
公安机关公共信息网络安全监察部门对信息安全等级测评机构进行监督、检查和指导。第十八条
信息安全等级测评机构有下列行为之一的,由所在地公安机关公共信息网络安全监察部门责令改正,并予以通报。对已办理备案的,收回备案证书。触犯有关法律、法规和规章的,依法追究法律责任。
(一)伪造、冒用信息安全等级测评机构备案证书的;
(二)转让、转借信息安全等级测评机构备案证书的;
(三)出具虚假、失实的信息安全等级测评结论的;
(四)泄露测评活动中掌握的国家秘密、商业秘密和个人隐私的;
(五)违反法律、法规、规章等规定的其他行为。
第十九条
本办法自印发之日起施行。
第五篇:《信息安全等级保护测评机构管理办法》最新
信息安全等级保护测评机构管理办法
第一条 为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。
第二条 等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。
第三条 等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条 等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。
第五条 国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
第六条 申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:
(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
(二)产权关系明晰,注册资金100万元以上;
(三)从事信息系统安全相关工作两年以上,无违法记录;
(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(五)具有信息系统安全相关工作经验的技术人员,不少于10人;
(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;
(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;
(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;
(九)不涉及信息安全产品开发、销售或信息系统安全集成等业务;
(十)应具备的其他条件。
第七条 申请时,申请单位应向等保办提交以下材料:
(一)《信息安全等级保护测评机构申请表》;
(二)从事信息系统安全相关工作情况;
(三)检测评估工作所需软硬件及其他服务保障设施配备情况;
(四)有关管理制度建设情况;
(五)申请单位及其测评人员基本情况;
(六)应提交的其他材料。
等保办收到申请材料后,应在10个工作日内组织初审,并出具初审结果告知书。
第八条 通过初审的申请单位,应及时参加指定评估机构组织的测评人员培训。考试合格的人员,取得等级测评师证书。
等级测评师分为初级、中级和高级。申请单位应至少有10人获得等级测评师证书,其中高级和中级测评师均不得少于1人。
第九条 指定评估机构应根据标准规范对申请单位开展能力评估,出具信息安全等级保护测评机构能力评估报告,并及时将申请单位能力评估有关情况报送等保办。
第十条 等保办组织专家对通过能力评估的申请单位进行审核。审核通过的,颁发《信息安全等级保护测评机构推荐证书》。
省级等保办应及时将本地等级测评机构推荐情况报国家等保办,国家等保办定期发布公告,在《中国信息安全等级保护网》发布《全国信息安全等级保护测评机构推荐目录》。
第十一条 下列事项发生变更时,等级测评机构应在变更后5个工作日内向等保办报告。
(一)等级测评机构名称、地址、测评人员和主要负责人发生变更的;
(二)等级测评机构法人、股权结构发生变更的;
(三)其他重大事项发生变更的。
省级等保办应及时将等级测评机构变更情况报国家等保办。
第十二条 信息安全等级保护测评机构推荐证书有效期为三年。等级测评机构应在推荐证书期满前30日内,向等保办申请复审。复审通过的等级测评机构应换发新证。复审未通过的,等保办应督促其限期整改。
省级等保办应及时将等级测评机构期满复审情况报国家等保办。
第十三条 等级测评师上岗前,等级测评机构应组织岗前培训。培训合格的,由等级测评机构配发上岗证。未取得测评师证书和上岗证的,不得参与等级测评项目。
等级测评师离职前,等级测评机构应与其签订离职保密承诺书,并收回上岗证。
第十四条 等级测评师应妥善保管等级测评师证书、上岗证,不得涂改、出借、出租和转让。
第十五条 等级测评机构应加强对本机构等级测评师的监督管理,定期组织开展安全保密教育和业务培训。
第十六条 等级测评机构应严格按照信息安全等级保护标准规范公正、独立地开展等级测评工作,依据模板出具信息系统安全等级测评报告,确保测评质量,全面、客观地反映被测信息系统的安全保护状况。
第十七条 等级测评机构开展测评项目不受地域、行业限制。等级测评机构应在测评项目合同签订以及项目完成后5个工作日内,向受理信息系统备案的公安机关报告等级测评项目有关情况。
第十八条 测评项目实施过程中,等级测评机构应接受等保办的监督、检查和指导。测评项目完成后,等级测评机构应请被测评信息系统运营使用单位对测评服务情况进行评价,评价情况由被测单位反馈等保办。
第十九条 等级测评机构应定期向等保办报送测评工作开展情况。根据测评实践,每年底编制并报送信息系统安全状况分析报告。第二十条 等级测评机构实行等级化管理。根据信息系统测评数量、机构规模、测评技术能力和服务质量等指标,对等级测评机构划分为五个星级,最低为一星级,最高为五星级。等级测评机构星级评定标准由国家等保办另行制定。
第二十一条 等级测评机构应于每年底向等保办提交星级评定所需材料。
等保办负责组织所推荐等级测评机构的星级评定审核工作,并出具星级评定意见。省级等保办应及时将评定意见报国家等保办审定,国家等保办定期发布星级评定结果。
第二十二条 取得信息安全等级保护测评机构推荐证书未满一年的,不参加星级评定。
第二十三条 等保办负责对所推荐等级测评机构的日常监督检查、测评项目抽查和年审工作,及时掌握等级测评机构工作情况。
第二十四条 等保办应于每年底对所推荐的等级测评机构进行年审。等级测评机构自推荐之日起未满6个月的,当年可免予年审。年审时,等级测评机构应提交以下材料:
(一)《信息安全等级保护测评机构年审表》;
(二)信息安全等级保护测评机构推荐证书副本;
(三)测评工作总结;
(四)其他所需材料。
第二十五条
国家等保办负责组织开展等级测评机构能力验证和抽查工作。
第二十六条 等级测评机构有下列情形之一的,等保办应责令其限期整改;情形严重的,予以通报。
(一)未按照有关标准规范开展测评或未按规定出具信息系统安全等级测评报告的;
(二)影响被测评信息系统正常运行,危害被测评信息系统安全的;
(三)非授权占有、使用,未妥善保管等级测评相关资料及数据文件的;
(四)分包或转包等级测评项目,以及扰乱测评市场秩序的;
(五)限定被测评单位购买、使用指定信息安全产品的;
(六)测评人员未取得等级测评师证书和上岗证从事等级测评活动的;
(七)未按本办法规定向等保办提交材料、报告情况或弄虚作假的;
(八)其他违反等级测评有关规定的行为。
第二十七条 等级测评机构有下列情形之一的,等保办应取消其信息安全等级保护测评机构推荐证书,并向社会公告。
(一)因单位股权、人员等情况发生变动,不符合等级测评机构基本条件的;
(二)有信息安全产品开发、销售或信息系统安全集成行为的;
(三)故意泄露被测评单位工作秘密、重要信息系统数据信息的;
(四)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假未如实出具等级测评报告的;
(五)一年内未开展信息系统测评工作或自愿退出《全国信息安全等级保护测评机构推荐目录》的;
(六)连续两年年审不合格或限期整改后仍未通过复审的;
(七)违反本办法第二十六条规定,情节特别严重的。第二十八条 等级测评师有下列行为之一的,等保办应责令等级测评机构督促其限期改正;情节严重的,责令等级测评机构暂停其参与测评工作;情形特别严重的,应注销其等级测评师证书,并对其所在等级测评机构进行通报。
(一)未经允许擅自使用或泄露、出售等级测评工作中收集的数据信息、资料或信息系统安全等级测评报告的;
(二)违反本办法第十四条规定,未妥善保管等级测评师证书、上岗证,有涂改、出借、出租和转让等行为的;
(三)测评行为失误或不当,影响信息系统安全或造成运营使用单位利益损失的;
(四)其他违反等级测评有关规定的行为。第二十九条 等级测评机构及其等级测评师违反本办法的相关规定,给被测评信息系统运营使用单位造成严重危害和损失的,由相关部门依照有关法律、法规予以处理。
第三十条 任何单位和个人如发现等级测评机构、等级测评师有违法、违规行为的,可向国家等保办举报、投诉。
第三十一条 本办法由国家等保办负责解释。第三十二条 本办法自发布之日起实施。
点击咨询 