【正文】 等保辦應(yīng)及時(shí)將等級(jí)測(cè)評(píng)機(jī)構(gòu)變更情況報(bào)國(guó)家等保辦。第十二條 信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書有效期為三年。等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)在推薦證書期滿前30日內(nèi)，向等保辦申請(qǐng)復(fù)審。復(fù)審?fù)ㄟ^的等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)換發(fā)新證。復(fù)審未通過的，等保辦應(yīng)督促其限期整改。省級(jí)等保辦應(yīng)及時(shí)將等級(jí)測(cè)評(píng)機(jī)構(gòu)期滿復(fù)審情況報(bào)國(guó)家等保辦。第十三條 等級(jí)測(cè)評(píng)師上崗前，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)組織崗前培訓(xùn)。培訓(xùn)合格的，由等級(jí)測(cè)評(píng)機(jī)構(gòu)配發(fā)上崗證。未取得測(cè)評(píng)師證書和上崗證的，不得參與等級(jí)測(cè)評(píng)項(xiàng)目。等級(jí)測(cè)評(píng)師離職前，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)與其簽訂離職保密承諾書，并收回上崗證。第十四條 等級(jí)測(cè)評(píng)師應(yīng)妥善保管等級(jí)測(cè)評(píng)師證書、上崗證，不得涂改、出借、出租和轉(zhuǎn)讓。第十五條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)本機(jī)構(gòu)等級(jí)測(cè)評(píng)師的監(jiān)督管理，定期組織開展安全保密教育和業(yè)務(wù)培訓(xùn)。第十六條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)嚴(yán)格按照信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)規(guī)范公正、獨(dú)立地開展等級(jí)測(cè)評(píng)工作，依據(jù)模板出具信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告，確保測(cè)評(píng)質(zhì)量，全面、客觀地反映被測(cè)信息系統(tǒng)的安全保護(hù)狀況。第十七條 等級(jí)測(cè)評(píng)機(jī)構(gòu)開展測(cè)評(píng)項(xiàng)目不受地域、行業(yè)限制。等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)在測(cè)評(píng)項(xiàng)目合同簽訂以及項(xiàng)目完成后5個(gè)工作日內(nèi)，向受理信息系統(tǒng)備案的公安機(jī)關(guān)報(bào)告等級(jí)測(cè)評(píng)項(xiàng)目有關(guān)情況。第十八條 測(cè)評(píng)項(xiàng)目實(shí)施過程中，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)接受等保辦的監(jiān)督、檢查和指導(dǎo)。測(cè)評(píng)項(xiàng)目完成后，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)請(qǐng)被測(cè)評(píng)信息系統(tǒng)運(yùn)營(yíng)使用單位對(duì)測(cè)評(píng)服務(wù)情況進(jìn)行評(píng)價(jià)，評(píng)價(jià)情況由被測(cè)單位反饋等保辦。第十九條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)定期向等保辦報(bào)送測(cè)評(píng)工作開展情況。根據(jù)測(cè)評(píng)實(shí)踐，每年底編制并報(bào)送信息系統(tǒng)安全狀況分析報(bào)告。第二十條 等級(jí)測(cè)評(píng)機(jī)構(gòu)實(shí)行等級(jí)化管理。根據(jù)信息系統(tǒng)測(cè)評(píng)數(shù)量、機(jī)構(gòu)規(guī)模、測(cè)評(píng)技術(shù)能力和服務(wù)質(zhì)量等指標(biāo)，對(duì)等級(jí)測(cè)評(píng)機(jī)構(gòu)劃分為五個(gè)星級(jí)，最低為一星級(jí)，最高為五星級(jí)。等級(jí)測(cè)評(píng)機(jī)構(gòu)星級(jí)評(píng)定標(biāo)準(zhǔn)由國(guó)家等保辦另行制定。第二十一條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)于每年底向等保辦提交星級(jí)評(píng)定所需材料。等保辦負(fù)責(zé)組織所推薦等級(jí)測(cè)評(píng)機(jī)構(gòu)的星級(jí)評(píng)定審核工作，并出具星級(jí)評(píng)定意見。省級(jí)等保辦應(yīng)及時(shí)將評(píng)定意見報(bào)國(guó)家等保辦審定，國(guó)家等保辦定期發(fā)布星級(jí)評(píng)定結(jié)果。第二十二條 取得信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書未滿一年的，不參加星級(jí)評(píng)定。第二十三條 等保辦負(fù)責(zé)對(duì)所推薦等級(jí)測(cè)評(píng)機(jī)構(gòu)的日常監(jiān)督檢查、測(cè)評(píng)項(xiàng)目抽查和年審工作，及時(shí)掌握等級(jí)測(cè)評(píng)機(jī)構(gòu)工作情況。第二十四條 等保辦應(yīng)于每年底對(duì)所推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行年審。等級(jí)測(cè)評(píng)機(jī)構(gòu)自推薦之日起未滿6個(gè)月的，當(dāng)年可免予年審。年審時(shí)，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)提交以下材料：（一）《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)年審表》；（二）信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書副本；（三）測(cè)評(píng)工作總結(jié)；（四）其他所需材料。第二十五條國(guó)家等保辦負(fù)責(zé)組織開展等級(jí)測(cè)評(píng)機(jī)構(gòu)能力驗(yàn)證和抽查工作。第二十六條 等級(jí)測(cè)評(píng)機(jī)構(gòu)有下列情形之一的，等保辦應(yīng)責(zé)令其限期整改；情形嚴(yán)重的，予以通報(bào)。（一）未按照有關(guān)標(biāo)準(zhǔn)規(guī)范開展測(cè)評(píng)或未按規(guī)定出具信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告的；（二）影響被測(cè)評(píng)信息系統(tǒng)正常運(yùn)行，危害被測(cè)評(píng)信息系統(tǒng)安全的；（三）非授權(quán)占有、使用，未妥善保管等級(jí)測(cè)評(píng)相關(guān)資料及數(shù)據(jù)文件的；（四）分包或轉(zhuǎn)包等級(jí)測(cè)評(píng)項(xiàng)目，以及擾亂測(cè)評(píng)市場(chǎng)秩序的；（五）限定被測(cè)評(píng)單位購(gòu)買、使用指定信息安全產(chǎn)品的；（六）測(cè)評(píng)人員未取得等級(jí)測(cè)評(píng)師證書和上崗證從事等級(jí)測(cè)評(píng)活動(dòng)的；（七）未按本辦法規(guī)定向等保辦提交材料、報(bào)告情況或弄虛作假的；（八）其他違反等級(jí)測(cè)評(píng)有關(guān)規(guī)定的行為。第二十七條 等級(jí)測(cè)評(píng)機(jī)構(gòu)有下列情形之一的，等保辦應(yīng)取消其信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書，并向社會(huì)公告。（一）因單位股權(quán)、人員等情況發(fā)生變動(dòng)，不符合等級(jí)測(cè)評(píng)機(jī)構(gòu)基本條件的；（二）有信息安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成行為的；（三）故意泄露被測(cè)評(píng)單位工作秘密、重要信息系統(tǒng)數(shù)據(jù)信息的；（四）故意隱瞞測(cè)評(píng)過程中發(fā)現(xiàn)的安全問題，或者在測(cè)評(píng)過程中弄虛作假未如實(shí)出具等級(jí)測(cè)評(píng)報(bào)告的；（五）一年內(nèi)未開展信息系統(tǒng)測(cè)評(píng)工作或自愿退出《全國(guó)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄》的；（六）連續(xù)兩年年審不合格或限期整改后仍未通過復(fù)審的；（七）違反本辦法第二十六條規(guī)定，情節(jié)特別嚴(yán)重的。第二十八條 等級(jí)測(cè)評(píng)師有下列行為之一的，等保辦應(yīng)責(zé)令等級(jí)測(cè)評(píng)機(jī)構(gòu)督促其限期改正；情節(jié)嚴(yán)重的，責(zé)令等級(jí)測(cè)評(píng)機(jī)構(gòu)暫停其參與測(cè)評(píng)工作；情形特別嚴(yán)重的，應(yīng)注銷其等級(jí)測(cè)評(píng)師證書，并對(duì)其所在等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行通報(bào)。（一）未經(jīng)允許擅自使用或泄露、出售等級(jí)測(cè)評(píng)工作中收集的數(shù)據(jù)信息、資料或信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告的；（二）違反本辦法第十四條規(guī)定，未妥善保管等級(jí)測(cè)評(píng)師證書、上崗證，有涂改、出借、出租和轉(zhuǎn)讓等行為的；（三）測(cè)評(píng)行為失誤或不當(dāng)，影響信息系統(tǒng)安全或造成運(yùn)營(yíng)使用單位利益損失的；（四）其他違反等級(jí)測(cè)評(píng)有關(guān)規(guī)定的行為。第二十九條 等級(jí)測(cè)評(píng)機(jī)構(gòu)及其等級(jí)測(cè)評(píng)師違反本辦法的相關(guān)規(guī)定，給被測(cè)評(píng)信息系統(tǒng)運(yùn)營(yíng)使用單位造成嚴(yán)重危害和損失的，由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。第三十條 任何單位和個(gè)人如發(fā)現(xiàn)等級(jí)測(cè)評(píng)機(jī)構(gòu)、等級(jí)測(cè)評(píng)師有違法、違規(guī)行為的，可向國(guó)家等保辦舉報(bào)、投訴。第三十一條 本辦法由國(guó)家等保辦負(fù)責(zé)解釋。第三十二條 本辦法自發(fā)布之日起實(shí)施。第三篇：信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)(二級(jí))信息安全等級(jí)保護(hù)(二級(jí))備注：其中黑色字體為信息安全等級(jí)保護(hù)第二級(jí)系統(tǒng)要求，藍(lán)色字體為第三級(jí)系統(tǒng)等保要求。一、物理安全應(yīng)具有機(jī)房和辦公場(chǎng)地的設(shè)計(jì)/驗(yàn)收文檔（機(jī)房場(chǎng)地的選址說明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級(jí)說明、接地防靜電措施）應(yīng)具有有來訪人員進(jìn)入機(jī)房的申請(qǐng)、審批記錄；來訪人員進(jìn)入機(jī)房的登記記錄應(yīng)配置電子門禁系統(tǒng)(三級(jí)明確要求)；電子門禁系統(tǒng)有驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資質(zhì)，電子門禁系統(tǒng)運(yùn)行和維護(hù)記錄主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記介質(zhì)有分類標(biāo)識(shí)；介質(zhì)分類存放在介質(zhì)庫(kù)或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放應(yīng)具有攝像、傳感等監(jiān)控報(bào)警系統(tǒng)；機(jī)房防盜報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告；機(jī)房防盜報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄；應(yīng)具有機(jī)房監(jiān)控報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告；機(jī)房監(jiān)控報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄應(yīng)具有機(jī)房建筑的避雷裝置；通過驗(yàn)收或國(guó)家有關(guān)部門的技術(shù)檢測(cè)；應(yīng)在電源和信號(hào)線上增加有資質(zhì)的防雷保安器；具有防雷檢測(cè)資質(zhì)的檢測(cè)部門對(duì)防雷裝置的檢測(cè)報(bào)告應(yīng)具有自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)；自動(dòng)消防系統(tǒng)的運(yùn)行記錄、檢查和定期維護(hù)記錄；消防產(chǎn)品有效期合格；自動(dòng)消防系統(tǒng)是經(jīng)消防檢測(cè)部門檢測(cè)合格的產(chǎn)品1應(yīng)具有除濕裝置；空調(diào)機(jī)和加濕器；溫濕度定期檢查和維護(hù)記錄1應(yīng)具有水敏感的檢測(cè)儀表或元件；對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警；防水檢測(cè)裝置的運(yùn)行記錄、定期檢查和維護(hù)記錄1應(yīng)具有溫濕度自動(dòng)調(diào)節(jié)設(shè)施；溫濕度自動(dòng)調(diào)節(jié)設(shè)施的運(yùn)行記錄、定期檢查和維護(hù)記錄1應(yīng)具有短期備用電力供應(yīng)設(shè)備（如UPS）；短期備用電力供應(yīng)設(shè)備的運(yùn)行記錄、定期檢查和維護(hù)記錄1應(yīng)具有冗余或并行的電力電纜線路（如雙路供電方式）1應(yīng)具有備用供電系統(tǒng)（如備用發(fā)電機(jī)）；備用供電系統(tǒng)運(yùn)行記錄、定期檢查和維護(hù)記錄二、安全管理制度應(yīng)具有對(duì)重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程應(yīng)具有安全管理制度的制定程序：應(yīng)具有專門的部門或人員負(fù)責(zé)安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進(jìn)行版本控制）應(yīng)對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和審定方式如何（如召開評(píng)審會(huì)、函審、內(nèi)部審核等），應(yīng)具有管理制度評(píng)審記錄應(yīng)具有安全管理制度的收發(fā)登記記錄，收發(fā)應(yīng)通過正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等）安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。信息安全領(lǐng)導(dǎo)小組定期對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定，審定周期多長(zhǎng)。（安全管理制度體系的評(píng)審記錄）系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)應(yīng)對(duì)安全管理制度進(jìn)行檢查，對(duì)需要改進(jìn)的制度進(jìn)行修訂。（應(yīng)具有安全管理制度修訂記錄）三、安全管理機(jī)構(gòu)應(yīng)設(shè)立信息安全管理工作的職能部門應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人應(yīng)設(shè)立機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對(duì)應(yīng)關(guān)系表）安全管理員應(yīng)是專職人員關(guān)鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組（最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任）應(yīng)對(duì)重要信息系統(tǒng)活動(dòng)進(jìn)行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購(gòu)、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進(jìn)行溝通（信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)應(yīng)定期召開會(huì)議）應(yīng)組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會(huì)議文件或會(huì)議記錄，定期：信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄（如會(huì)議記錄/紀(jì)要，信息安全工作決策文檔等）1應(yīng)與公安機(jī)關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）1應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機(jī)制。1聘請(qǐng)信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請(qǐng)安全顧問的證明文件、具有安全顧問參與評(píng)審的文檔或記錄）1應(yīng)組織人員定期對(duì)信息系統(tǒng)進(jìn)行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）1應(yīng)定期進(jìn)行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報(bào)告，檢查結(jié)果通告記錄）四、人員安全管理何部門/何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作（錄用過程）應(yīng)對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，技能考核文檔或記錄應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容）應(yīng)設(shè)定關(guān)鍵崗位，對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其