网站登录界面html,深圳品牌策划公司,韩国出线形势,短期的技能培训有哪些网络安全等级保护测评机构管理办法(公信安〔2018〕765号)
第一章 总则
第一条 为加强网络安全等级保护测评机构#xff08;以下简称“测评机构”#xff09;管理#xff0c;规范测评行为#xff0c;提高等级测评能力和服务水平#xff0c;根据《中华人民共和国网络安全法…网络安全等级保护测评机构管理办法(公信安〔2018〕765号)
第一章 总则
第一条 为加强网络安全等级保护测评机构以下简称“测评机构”管理规范测评行为提高等级测评能力和服务水平根据《中华人民共和国网络安全法》和网络安全等级保护制度要求制定本办法。
第二条 等级测评工作是指测评机构依据国家网络安全等级保护制度规定按照有关管理规范和技术标准对已定级备案的非涉及国家秘密的网络含信息系统、数据资源等的安全保护状况进行检测评估的活动。
测评机构是指依据国家网络安全等级保护制度规定符合本办法规定的基本条件经省级以上网络安全等级保护工作领导协调小组办公室以下简称“等保办”审核推荐从事等级测评工作的机构。
第三条 测评机构实行推荐目录管理。测评机构由省级以上等保办根据本办法规定按照统筹规划、合理布局的原则择优推荐。
第四条 测评机构联合成立测评联盟。测评联盟按照章
程和有关测评规范加强行业自律提高测评技术能力和服务质量。测评联盟在国家等保办指导下开展工作。
第五条 测评机构应按照国家有关网络安全法律法规规定和标准规范要求为用户提供科学、安全、客观、公正的等级测评服务。
第二章 测评机构申请
第六条 申请成为测评机构的单位以下简称“申请单位”需向省级以上等保办提出申请。国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请对申请单位进行审核、推荐监督管理全国测评机构。省级等保办负责受理本省区、直辖市申请单位的申请对申请单位进行审核、推荐监督管理其推荐的测评机构。
第七条 申请单位应具备以下基本条件
一在中华人民共和国境内注册成立由中国公民、法人投资或者国家投资的企事业单位;
二产权关系明晰注册资金 500 万元以上独立经营核算无违法违规记录
三从事网络安全服务两年以上具备一定的网络安全检测评估能力
四法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民且无犯罪记录
五具有网络安全相关工作经历的技术和管理人员不少于 15 人专职渗透测试人员不少于 2 人岗位职责清晰且人员相对稳定
六具有固定的办公场所配备满足测评业务需要的检测评估工具、实验环境等
七具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度
八不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务自用除外
九应具备的其他条件。
第八条 申请时申请单位应向等保办提交以下材料
一网络安全等级保护测评机构推荐申请表
二近两年从事网络安全服务情况以及网络安全服务项目完整文档和相关用户证明
三检测评估工作所需实验环境及测评工具、设备设施情况
四有关管理制度情况
五申请单位及其测评人员基本情况
六应提交的其他材料。
第九条 等保办收到申请材料后应在 10 个工作日内组织初审。对符合本办法第七条规定的申请单位应委托测评联盟对其开展测评能力评估。测评联盟组织专家根据标准规范对申请单位开展能力评估出具测评能力评估报告并及时将能力评估情况反馈等保办。能力评估不达标的等保办应告知申请单位初审未通过。
第十条 初审通过的申请单位应组织本单位人员参加测评师培训。考试合格的取得测评师证书。测评师分为初级、中级和高级。申请单位应至少有 15人获得测评师证书其中高级测评师不少于 1 人中级测评师不少于 5 人。
第十一条 等保办组织专家对人员培训符合要求的申请单位进行复核。复核通过的颁发《网络安全等级保护测评机构推荐证书》。
第十二条 测评机构实行目录管理国家等保办编制《全国网络安全等级保护测评机构推荐目录》并在中国网络安全等级保护网网站发布并及时更新。省级等保办应及时将本地测评机构推荐情况报国家等保办。
第十三条 省级等保办每年年底根据测评工作需求制定下一年度测评机构推荐计划并报国家等保办审定。省级以上等保办受理测评机构申请的时间为每年三月份。
第十四条 测评联盟应组织专家对新推荐测评机构的首个测评项目实施情况进行跟踪评议并将结果及时报等保办。等保办组织进行综合审查。
第三章 测评机构和测评人员管理
第十五条 测评机构应与被测评单位签署测评服务协议依据有关标准规范开展测评业务防范测评风险客观准确地反映被测评对象的安全保护状况。测评机构应按照统一模板出具网络安全等级测评报告并针对被测评网络分别出具等级测评报告。
对第三级以上网络提供等级测评服务的测评师人数不得少于 4 名其中高级测评师、中级测评师应各不少于 1 名。
第十六条 测评机构应当指定专人管理测评专用章制定管理规范不得滥用。出具等级测评报告时测评机构应加盖等级测评专用章。未加盖专用章的报告视为无效。
第十七条 测评师上岗前测评机构应组织岗前培训培训合格的由测评机构配发上岗证上岗证发放情况应于发放后 5 个工作日报等保办。测评机构应当对测评师开展等级测评业务情况进行考核并留存相关记录。未取得测评师证书和上岗证的不得参与等级测评项目。测评师一年内未参与测评活动的测评联盟应注销其证书。
测评师实行年度注册管理。年审时测评机构应将本机构测评师情况报等保办注册。测评机构不得采取挂靠或者聘用兼职测评师开展测评业务。
第十八条 测评机构应采取管理和技术措施保护测评活动中相关数据和信息的安全不得泄露在测评服务中知悉的商业秘密、重要敏感信息和个人信息未经等保办同意不得擅自发布、披露在测评服务中收集掌握的网络信息、系统漏洞、恶意代码、网络攻击等信息。
第十九条 测评机构提供测评服务不受地域、行业、领域的限制。测评项目采取登记管理。测评机构在实施测评项目之前须将测评项目信息及时、准确地填报到网络安全等级保护测评项目登记管理系统以下简称“项目管理系统”。测评机构应于测评项目合同签订后或测评活动实施前 5 个工作日内通过项目管理系统填报测评项目基本情况不得于测评项目完成后进行补录。由于项目实施变更导致已登记信息与实际情况不符的应及时修改并说明理由。
第二十条 省级以上等保办对测评机构填报的信息应在
5个工作日内进行审核确认。逾期未审核确认的项目管理系统默认审核通过。测评项目填报登记和审核确认的具体要求参见《项目管理系统填报指南》。
第二十一条 省级以上等保办在审核确认测评项目登记信息时发现测评机构具有下列情形之一的应不予审核通过。
一处于暂停测评业务期间
二因违规被通报后未反馈整改情况的
三其他不符合本办法规定情形的。
第二十二条 属于异地测评项目的测评机构应从项目管理系统中生成测评项目基本情况表并于测评项目实施前报送或传至被测评网络备案公安机关。
第二十三条 测评机构名称、地址、测评人员、主要负责人和联系人发生变更的测评机构应在变更后 5 个工作日内向等保办报告并提交变更材料。测评机构法人、股权结构发生变更或其他重大事项发生变更的等保办应组织重新进行推荐审查并出具审查意见。测评机构不得假借变更名义转让推荐证书。
第二十四条 测评机构应加强对测评人员的监督管理定期组织开展安全保密教育和测评业务培训签订安全保密责任书规定其应当履行的安全保密义务和承担的法律责任并负责检查落实。
第二十五条 测评机构应组织测评师参加多种形式的测评业务和技术培训测评师每年培训时长累计不少于 40 学时。培训时长不足的不予年度注册。测评联盟确定测评业务和技术培训科目发布年度测评培训纲要。
第二十六条 测评师离职前测评机构应与其签订离职保密承诺书收回上岗证并及时向等保办报备。
自离职之日起超过 6 个月再入职测评机构的测评师应通过测评师考试后从事测评活动自离职之日起一年内未入职测评机构从事测评活动的测评联盟应注销其测评师证书。
第二十七条 测评机构应监督测评师妥善保管测评师证书、上岗证不得涂改、出借、出租和转让。
第二十八条 测评机构应当建立网络安全应急处置机制和纠纷处理机制防范测评风险妥善处理纠纷。
第二十九条 测评项目完成后测评机构应请被测评单位对测评服务情况进行评价评价情况表由被测单位密封后反馈测评机构留存备查。
第三十条 测评机构应每季度向等保办报送测评业务开展情况和测评数据。根据测评实践测评机构每年底编制并向等保办报送网络安全状况分析报告。
测评机构在测评活动中发现重大网络安全事件、重大网络安全风险隐患、高危漏洞和重大网络安全威胁时应及时报告公安机关。
第三十一条 国家等保办每年第四季度组织开展测评机构能力验证活动并将能力验证结果通报各省级等保办。未参加能力验证的测评机构视为能力验证未通过。
第三十二条 等保办应于每年 12 月份对所推荐测评机构进行年审。年审通过的等保办在推荐证书副本上加盖等级保护专用章或等保办印章发放测评师注册标识。
年审时测评机构应当提交以下材料
一网络安全等级保护测评机构年审表
二网络安全等级保护测评机构推荐证书副本
三年度测评工作总结
四测评师年度注册表
五其他所需材料。
第三十三条 测评机构有下列情形之一的年审不予通过。
一未及时、准确地填报测评项目信息
二测评师培训时长不足
三未定期报送测评业务开展情况和测评数据
四能力验证未通过且整改方案落实不到位
五其他有关情形。
年审未通过的等保办责令测评机构限期整改。拒不整改或整改不符合要求的应暂停测评机构开展等级测评业务。
第三十四条 测评机构推荐证书有效期为三年。测评机构应在推荐证书期满前 30 日内向等保办申请期满复审。
等保办应于收到期满复审申请后 5 个工作日内组织开展复审工作。复审通过的测评机构由等保办换发新证。省级等保办应及时将测评机构期满复审情况报国家等保办汇总。
期满复审时测评机构应提交以下材料
一测评机构期满复审申请表
二年审情况
三其他需要提供的有关材料。
第三十五条 测评机构有下列情形之一的期满复审不予通过。
一累计两年年审未通过或三年能力验证未通过的
二基本条件不符合的
三违反本办法有关规定且情形特别严重的
四逾期 30 日未提交期满复审申请的。期满复审未通过的等保办应公告宣布取消其推荐证书。
第四章 测评机构的监督管理
第三十六条 省级以上等保办对测评机构和测评业务开展情况进行监督、检查、指导。国家等保办每年组织对测评机构及测评活动开展监督抽查。测评项目实施过程中测评机构应接受被测网络备案公安机关的监督、检查和指导。
第三十七条 等保办开展监督检查时重点检查以下内容
一测评机构基本条件符合情况
二测评机构管理制度执行情况
三测评机构相关事项变更报告、审查情况
四测评师管理、行为规范情况
五测评项目实施情况
六测评服务评价情况
七测评报告及相关数据文档管理情况
八其他需监督检查的事项。
第三十八条 等保办、被测网络备案公安机关在监督检查时发现异地测评机构有违反本办法规定情形的应书面通报该机构推荐等保办。
等保办在收到通报后应及时组织进行核查处置并反馈同时将有关情况报国家等保办。
第三十九条 等保办应及时将测评数据、测评机构及其测评师情况、年审和期满复审情况、监督检查情况等相关数据录入数据库。
第四十条 国家等保办每年对全国测评机构开展年度评定活动评定结果及时发布。
第四十一条 任何组织和个人有权向省级以上等保办、测评联盟投诉举报测评机构和测评人员违法违规行为。
第四十二条 测评机构违反本办法第十五、十六、十七、十八、十九、二十二、二十三、二十四、二十五、二十六、二十七、二十八、二十九、三十条规定等保办应责令其限期整改拒不整改或情形严重的约谈测评机构法人和主要负责人屡次违反上述规定或情形特别严重的责令其暂停测评业务并予通报。
第四十三条 测评机构有下列情形之一的等保办责令其限期整改情形严重的责令整改期间暂停测评业务并予通报。
一未按照有关标准规范开展测评或未按规定出具测评报告的
二分包、转包、代理测评项目或恶意竞争扰乱测评工作正常开展的
三擅自简化测评工作环节或未按测评流程要求开展测评工作的
四监督检查或抽查中发现问题突出的
五影响被测评网络正常运行或因测评不到位未发现网络中存在相关漏洞隐患导致被测评网络发生重大网络安全事件的
六非授权占有、使用以及未妥善保管等级测评相关资料及数据文件的
七限定被测评单位购买、使用指定网络安全产品或与产品和服务商存在利益勾结行为的
八非本机构测评师或测评人员未取得等级测评师证书和上岗证从事等级测评活动的
九未通过测评项目管理系统及时填报项目登记信息或未通过审核开展等级测评项目的
十未按本办法规定向等保办提交材料或弄虚作假的
十一其他违反本办法有关规定行为的。
第四十四条 测评机构有下列情形之一的等保办应取消其推荐证书并向社会公告三年内不得再次申请。
一运营管理不规范屡次被责令整改严重影响测评服务质量的
二因单位股权、人员等情况发生变动不符合测评机构基本条件的
三有网络安全产品开发、销售或系统安全集成等影响测评结果公正性行为与产品提供商、服务商或被测评方存在利益勾结扰乱测评业务正常开展的 四泄露被测评单位工作秘密、重要数据信息的
五隐瞒测评过程中发现的重大安全问题或者在测评过程中弄虚作假未如实出具等级测评报告的
六一年内未开展测评业务被暂停开展测评业务的情况除外或自愿放弃测评机构推荐资格的
七连续两年年审未通过或未通过期满复审的
八测评实施期间导致被测评网络发生宕机等严重网络安全事件的
九有第四十二条、第四十三条情形造成特别严重后果或影响特别恶劣的
十其他违反法律法规或严重违反本办法规定情形的。
第四十五条 测评师有下列行为之一的等保办责令测评机构督促其限期改正情节严重的责令测评机构暂停其参与测评业务情形特别严重的应注销其测评师证书责令其所在测评机构进行限期整改。
一未经允许擅自使用、泄露或出售等级测评活动中收集的数据信息、资料或测评报告的
二违反本办法规定有涂改、出借、出租和转让测评师证书、上岗证等行为的
三测评行为失误或不当严重影响网络安全或造成被测评单位利益重大损失的
四其他违反本办法有关规定行为的。
第四十六条 测评机构及其测评师违反本办法的相关规定给网络运营者造成严重危害和损失构成违法犯罪的由相关部门依照有关法律、法规予以处理。
第四十七条 公安机关有关工作人员在工作中不得利用职权索取、收受贿赂不得滥用职权、干预测评机构及测评业务正常开展以及法律法规禁止的其他行为。
第四十八条 本办法自发布之日起实施。本办法由国家等保办负责解释。
第四十九条 自本办法实施之日起《信息安全等级保护测评机构管理办法》、《信息安全等级保护测评机构异地备案实施细则》、各地自行制定的与本办法规定不符的规范性文件一律作废。
第五十条 本办法所称“以上”含本数。
