1、XX省安全评价机构管理方法 XX省信息安全等级测评机构管理方法 (试行) 第一条 为标准信息安全等级测评机构管理,提高信息安全保障能力和水平,保障和促进信息化建设,根据XX省计算机信息系统安全保护条例和信息安全等级保护管理方法等规定,制定本方法。 第二条 本方法所称信息安全等级测评机构是指对信息系统的安全保护措施是否符合信息安全等级保护相关法律和标准进行评估的组织。 第三条 信息安全等级测评应当坚持实事求是、客观公正的原那么,保证测评活动的独立性和测评结论的准确性。 第四条 第二级以上的计算机信息系统的安全测评应中选择符合以下条件的计算机信息系统安全等级测评机构(简称测评机构)承担: (一)在
2、中华人民共和国境内注册成立(港澳台地区除外),具有相应经营范围的营业执照,注册资本100万元以上; (二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外); (三)近3年完成的测评项目总值150万元以上; (四)具有计算机安全或相关专业资格证书的专业技术人员不少于20人,其中大学本科以上学历的人员不少于15人; (五)管理人员应当具有3年以上从事计算机信息系统安全技术领域企业管理工作经历,技术负责人已获得计算机信息系统安全技术相关专业的高级职称,从事安全测评工作不少于3年,无犯罪记录; (六)工作人员仅限于中国公民,法人及主要业务、技术人员无犯罪记录; (七)具有与所承担
3、项目适应的技术装备; (八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度; (九)对国家安全、社会秩序、公共利益不构成威胁。 第五条 我省对测评机构实施备案制度。符合第四条规定的条件,承担第二级以上的计算机信息系统测评工作的机构应当到公安机关公共信息网络安全监察部门备案。 第六条 信息安全等级测评机构申请备案,应当向地级以上市公安机关公共信息网络安全监察部门提交以下资料: (一)备案申请书; (二)营业执照复印件; (三)管理人员和专业技术人员的身份证明、学历证明、计算机安全培训合格证书复印件和无犯罪证明; (四)技术装备情况及组织管理制度报告。第七条 地级以上市公
4、安机关公共信息网络安全监察部门应当自接到申请材料之日起15日内对申请材料进行初审。初审合格的,报送省公安厅公共信息网络安全监察部门审查;初审不合格的,退回申请并说明理由。 省公安厅公共信息网络安全监察部门应当自接到初审材料之日起15日内进行审查,符合条件的,发给备案证书。不符合条件的,作出不予备案的决定并说明理由。 承担省直和中央驻粤单位信息安全等级测评工作的机构,直接向省公安厅公共信息网络安全监察部门提出申请,省公安厅公共信息网络安全监察部门应当在30日内作出备案意见。 第八条 省公安厅公共信息网络安全监察部门对已备案的信息安全等级测评机构进行公布。 第九条 备案证书分为正本和副本,正本和副
5、本具有同等效力。 第十条 备案证书实行年检制度。年检时间为每年2月至3月,新领备案证书未满半年的不需年检。 第十二条 信息安全等级测评机构参加年检,应当持以下材料向地级以上市公安机关公共信息网络安全监察部门提出申请: (一)备案证书年检申请书; (二)备案证书副本; (三)其他材料。 第十三条 地级以上市公安机关公共信息网络安全监察部门应当自接到申请材料之日起15日内对申请材料进行初审。初审合格的,报送省公安厅公共信息网络安全监察部门审查;初审不合格的,退回申请并说明理由。 省公安厅公共信息网络安全监察部门应当自接到初审材料之日起15日内进行审查并作出年检结论。 持国家工商行政管理总局或省工商
6、行政管理局核发的营业执照的机构,直接向省公安厅公共信息网络安全监察部门提出申请,省公安厅公共信息网络安全监察部门应当在30日内作出年检结论。 第十四条 年检结论分为合格、取消两种。 具备以下情形的,年审结论为合格: (一)遵守国家有关法律法规和本省有关规定; (二)上年度完成的测评项目总值不低于50万元; (三)符合备案条件。 有以下情形之一的,年检结论为取消: (一)违反国家有关法律法规和本省有关规定,情节严重; (二)上年度完成的测评项目总值低于50万元; (三)情况发生变更,达不到备案条件。 年检合格的,在备案证书副本和年检申请书上注明,加盖省公安厅公共信息网络安全监察专用章。 年检结论
7、为取消的,备案证书作废,信息安全等级测评机构应当自接到年检结论之日起10日内交回备案证书。 未按时参加年检的,年审结论视为取消。 因特殊原因未年检的,应当书面说明理由,经批准,方可补办相关手续。 第十五条 备案证书登记事项发生变更的,应在30日内到地级以上市公安机关公共信息网络安全监察部门办理变更手续。 第十六条 信息安全等级测评机构应当履行以下义务: (一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估效劳,保证测评的质量和效果; (二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险; (三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的
8、安全保密义务和承担的法律责任,并负责检查落实。 第十七条 公安机关公共信息网络安全监察部门对信息安全等级测评机构进行监督、检查和指导。第十八条 信息安全等级测评机构有以下行为之一的,由所在地公安机关公共信息网络安全监察部门责令改正,并予以通报。对已办理备案的,收回备案证书。触犯有关法律、法规和规章的,依法追究法律责任。 (一)伪造、冒用信息安全等级测评机构备案证书的; (二)转让、转借信息安全等级测评机构备案证书的; (三)出具虚假、失实的信息安全等级测评结论的; (四)泄露测评活动中掌握的国家秘密、商业秘密和个人隐私的; (五)违反法律、法规、规章等规定的其他行为。 第十九条 本方法自印发之日起施行。 第7页 共7页