【正文】 經(jīng)濟(jì)性原則。第二級(jí)信息系統(tǒng)單個(gè)業(yè)務(wù)系統(tǒng)等級(jí)測(cè)評(píng)全過(guò)程，一般不少于5個(gè)工作日。測(cè)評(píng)對(duì)象一般采用抽查信息系統(tǒng)中具有代表性組件的方法確定。方案編制活動(dòng)本活動(dòng)是開展等級(jí)測(cè)評(píng)工作的關(guān)鍵活動(dòng)，為現(xiàn)場(chǎng)測(cè)評(píng)提供最基本的文檔和指導(dǎo)方案。在內(nèi)容上主要包括安全控制間、層面間和區(qū)域間相互作用的安全測(cè)評(píng)以及系統(tǒng)結(jié)構(gòu)的安全測(cè)評(píng)等，是在單元測(cè)評(píng)基礎(chǔ)上進(jìn)行的進(jìn)一步測(cè)評(píng)分析。機(jī)密級(jí)：信息系統(tǒng)中包含有最高為機(jī)密級(jí)的國(guó)家秘密，其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)四級(jí)的要求，還必須符合分級(jí)保護(hù)的保密技術(shù)要求。二、區(qū)分信息安全等級(jí)保護(hù)與分級(jí)保護(hù)通過(guò)上文我們知道，信息安全等級(jí)保護(hù)與分級(jí)保護(hù)是在信息安全合規(guī)測(cè)評(píng)中兩個(gè)非常重要的概念，二者密切相關(guān)又有區(qū)別。塞班斯法案成為在美上市企業(yè)躲不過(guò)去的坎。適應(yīng)業(yè)務(wù)特性與安全要求的差異性，可工程化實(shí)施。設(shè)定中、遠(yuǎn)期目標(biāo)（如獲得相應(yīng)管理體系資質(zhì)認(rèn)可），通過(guò)目標(biāo)的實(shí)現(xiàn)，逐步提升質(zhì)量管理能力。 可信與保密性保證能力，且無(wú)犯罪記錄。c)現(xiàn)場(chǎng)測(cè)評(píng)階段，嚴(yán)格執(zhí)行測(cè)評(píng)方案和測(cè)評(píng)指導(dǎo)書中的內(nèi)容和要求，并依據(jù)操作規(guī)程熟練地使用測(cè)評(píng)設(shè)備和工具，規(guī)范、準(zhǔn)確、完整的填寫測(cè)評(píng)結(jié)果記錄，獲取足夠證據(jù)，客觀、真實(shí)、科學(xué)地反映出系統(tǒng)的安全保護(hù)狀況，測(cè)評(píng)過(guò)程應(yīng)予以監(jiān)督并記錄；d)報(bào)告編制階段，找出整個(gè)信息系統(tǒng)安全保護(hù)現(xiàn)狀與相應(yīng)等級(jí)的保護(hù)要求之間的差距，分析差距可能導(dǎo)致被測(cè)評(píng)系統(tǒng)面臨的風(fēng)險(xiǎn)，給出等級(jí)測(cè)評(píng)結(jié)論，形成測(cè)評(píng)報(bào)告，測(cè)評(píng)報(bào)告應(yīng)依據(jù)公安部統(tǒng)一制訂的《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版（試行）》的格式和內(nèi)容要求編寫，測(cè)評(píng)報(bào)告應(yīng)通過(guò)評(píng)審并有相關(guān)記錄。f)申訴、投訴及爭(zhēng)議處理制度應(yīng)明確包括測(cè)評(píng)機(jī)構(gòu)各崗位人員在申、投訴和爭(zhēng)議處理活動(dòng)中相應(yīng)的職責(zé)，建立從受理、確認(rèn)到處置、答復(fù)等環(huán)節(jié)的完整程序。名詞解釋 等級(jí)測(cè)評(píng)等級(jí)測(cè)評(píng)是指測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)非涉及國(guó)家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。第二十六條 等級(jí)測(cè)評(píng)機(jī)構(gòu)有下列情形之一的，等保辦應(yīng)責(zé)令其限期整改；情形嚴(yán)重的，予以通報(bào)。第十八條 測(cè)評(píng)項(xiàng)目實(shí)施過(guò)程中，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)接受等保辦的監(jiān)督、檢查和指導(dǎo)。（一）等級(jí)測(cè)評(píng)機(jī)構(gòu)名稱、地址、測(cè)評(píng)人員和主要負(fù)責(zé)人發(fā)生變更的；（二）等級(jí)測(cè)評(píng)機(jī)構(gòu)法人、股權(quán)結(jié)構(gòu)發(fā)生變更的；（三）其他重大事項(xiàng)發(fā)生變更的。第三條 等級(jí)測(cè)評(píng)機(jī)構(gòu)推薦管理工作遵循統(tǒng)籌規(guī)劃、合理布局、安全規(guī)范的方針，按照“誰(shuí)推薦、誰(shuí)負(fù)責(zé)，誰(shuí)審核、誰(shuí)負(fù)責(zé)”的原則有序開展。有下列情形之一的，年檢結(jié)論為取消：（一）違反國(guó)家有關(guān)法律法規(guī)和本省有關(guān)規(guī)定，情節(jié)嚴(yán)重；（二）上年度完成的測(cè)評(píng)項(xiàng)目總值低于50萬(wàn)元；（三）情況發(fā)生變更，達(dá)不到備案條件。第七條地級(jí)以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)自接到申請(qǐng)材料之日起15日內(nèi)對(duì)申請(qǐng)材料進(jìn)行初審。初審合格的，報(bào)送省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門審查；初審不合格的，退回申請(qǐng)并說(shuō)明理由。年檢合格的，在備案證書副本和年檢申請(qǐng)書上注明，加蓋省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察專用章。第四條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)以提供等級(jí)測(cè)評(píng)服務(wù)為主，可根據(jù)信息系統(tǒng)運(yùn)營(yíng)使用單位安全保障需求，提供信息安全咨詢、應(yīng)急保障、安全運(yùn)維、安全監(jiān)理等服務(wù)。省級(jí)等保辦應(yīng)及時(shí)將等級(jí)測(cè)評(píng)機(jī)構(gòu)變更情況報(bào)國(guó)家等保辦。測(cè)評(píng)項(xiàng)目完成后，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)請(qǐng)被測(cè)評(píng)信息系統(tǒng)運(yùn)營(yíng)使用單位對(duì)測(cè)評(píng)服務(wù)情況進(jìn)行評(píng)價(jià)，評(píng)價(jià)情況由被測(cè)單位反饋等保辦。（一）未按照有關(guān)標(biāo)準(zhǔn)規(guī)范開展測(cè)評(píng)或未按規(guī)定出具信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告的；（二）影響被測(cè)評(píng)信息系統(tǒng)正常運(yùn)行，危害被測(cè)評(píng)信息系統(tǒng)安全的；（三）非授權(quán)占有、使用，未妥善保管等級(jí)測(cè)評(píng)相關(guān)資料及數(shù)據(jù)文件的；（四）分包或轉(zhuǎn)包等級(jí)測(cè)評(píng)項(xiàng)目，以及擾亂測(cè)評(píng)市場(chǎng)秩序的；（五）限定被測(cè)評(píng)單位購(gòu)買、使用指定信息安全產(chǎn)品的；（六）測(cè)評(píng)人員未取得等級(jí)測(cè)評(píng)師證書和上崗證從事等級(jí)測(cè)評(píng)活動(dòng)的；（七）未按本辦法規(guī)定向等保辦提交材料、報(bào)告情況或弄虛作假的；（八）其他違反等級(jí)測(cè)評(píng)有關(guān)規(guī)定的行為。 等級(jí)測(cè)評(píng)機(jī)構(gòu)等級(jí)測(cè)評(píng)機(jī)構(gòu)，是指具備測(cè)評(píng)機(jī)構(gòu)基本條件，經(jīng)能力評(píng)估和審核，由省級(jí)以上信息安全等級(jí)保護(hù)工作協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室推薦，從事等級(jí)測(cè)評(píng)工作的機(jī)構(gòu)。信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求 測(cè)評(píng)實(shí)施能力 人員能力 測(cè)評(píng)機(jī)構(gòu)從事等級(jí)測(cè)評(píng)工作的專業(yè)技術(shù)人員（以下簡(jiǎn)稱測(cè)評(píng)人員）應(yīng)具有把握國(guó)家政策，理解和掌握相關(guān)技術(shù)標(biāo)準(zhǔn)，熟悉等級(jí)測(cè)評(píng)的方法、流程和工作規(guī)范等方面的知識(shí)及能力，并有依據(jù)測(cè)評(píng)結(jié)果做出專業(yè)判斷以及出具等級(jí)測(cè)評(píng)報(bào)告等任務(wù)的能力。設(shè)施和設(shè)備安全與保障能力 測(cè)評(píng)機(jī)構(gòu)應(yīng)具備必要的辦公環(huán)境、設(shè)備、設(shè)施和管理系統(tǒng)，使用的技術(shù)裝備、設(shè)施原則上應(yīng)當(dāng)符合以下條件：a)產(chǎn)品研制、生產(chǎn)單位是由中國(guó)公民、法人投資或者國(guó)家投資或者控股的，在中華人民共和國(guó)境內(nèi)具有獨(dú)立的法人資格；b)產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國(guó)自主知識(shí)產(chǎn)權(quán)； 信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求c)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無(wú)犯罪記錄；d)產(chǎn)品研制、生產(chǎn)單位聲明沒(méi)有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能； e)對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成危害。 測(cè)評(píng)機(jī)構(gòu)應(yīng)通過(guò)提供單位性質(zhì)、股權(quán)結(jié)構(gòu)、出資情況、法人及股東身份等信息的文件材料，證明其機(jī)構(gòu)合規(guī)、產(chǎn)權(quán)關(guān)系明晰，資金注冊(cè)達(dá)到要求（100萬(wàn)元）。 測(cè)評(píng)機(jī)構(gòu)應(yīng)建立文件化的培訓(xùn)制度，以確保其工作人員在專業(yè)技術(shù)和管理方面持續(xù)滿足等級(jí)測(cè)評(píng)工作的需要。對(duì)系統(tǒng)進(jìn)行定級(jí)后，需要通過(guò)努力達(dá)到相應(yīng)等級(jí)的基本安全要求，在總體上分為技術(shù)要求和管理要求，技術(shù)上又分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全，在管理要求中又分為安全管理機(jī)構(gòu)、安全管理制度等5項(xiàng)，具體如下圖所示：由于等級(jí)保護(hù)制度還處于探討階段，目前來(lái)看，尚存在如下困難：“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)，否則：a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平，難以做到可持續(xù)運(yùn)行、發(fā)展和完善，管理成本高《基本要求》規(guī)定針對(duì)上述問(wèn)題，在下面幾小節(jié)分別給出了堅(jiān)決辦法。它規(guī)定，上市公司的財(cái)務(wù)報(bào)告必須包括一份內(nèi)控報(bào)告，并明確規(guī)定公司管理層對(duì)建立和維護(hù)財(cái)務(wù)報(bào)告的內(nèi)部控制體系及相應(yīng)控制流程負(fù)有完全責(zé)任；此外，財(cái)務(wù)報(bào)告中必須附有其內(nèi)控體系和相應(yīng)流程有效性的評(píng)估。山東省軟件評(píng)測(cè)中心結(jié)合在等級(jí)保護(hù)測(cè)評(píng)和分級(jí)保護(hù)測(cè)評(píng)中的具體實(shí)踐，對(duì)等級(jí)保護(hù)和分級(jí)保護(hù)進(jìn)行詳細(xì)介紹，理清兩者間的關(guān)聯(lián)。屬于下列情況之一的機(jī)密級(jí)信息系統(tǒng)應(yīng)選擇機(jī)密級(jí)（增強(qiáng)）的要求：（1）信息系統(tǒng)的使用單位為副省級(jí)以上的黨政首腦機(jī)關(guān)，以及國(guó)防、外交、國(guó)家安全、軍工等要害部門；（2）信息系統(tǒng)中的機(jī)密級(jí)信息含量較高或數(shù)量較多；（3）信息系統(tǒng)使用單位對(duì)信息系統(tǒng)的依賴程度較高。四、等級(jí)合規(guī)測(cè)評(píng)的重要作用等級(jí)合規(guī)測(cè)評(píng)是落實(shí)信息安全等級(jí)保護(hù)制度的重要環(huán)節(jié)在信息系統(tǒng)建設(shè)、整改時(shí)，信息系統(tǒng)運(yùn)營(yíng)、使用單位通過(guò)等級(jí)測(cè)評(píng)進(jìn)行現(xiàn)狀分析，確定系統(tǒng)的安全保護(hù)現(xiàn)狀和存在的安全問(wèn)題，并在此基礎(chǔ)上確定系統(tǒng)的整改安全需求。本活動(dòng)的主要任務(wù)是確定與被測(cè)信息系統(tǒng)相適應(yīng)的測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)及測(cè)評(píng)內(nèi)容等，并根據(jù)需要重用或開發(fā)測(cè)評(píng)指導(dǎo)書測(cè)評(píng)指導(dǎo)書，形成測(cè)評(píng)方案。在測(cè)評(píng)對(duì)象確定中應(yīng)兼顧工作投入與結(jié)果產(chǎn)出兩者的平衡關(guān)系。第三級(jí)信息系統(tǒng)單個(gè)業(yè)務(wù)系統(tǒng)等級(jí)測(cè)評(píng)全過(guò)程，一般不少于10個(gè)工作日。測(cè)評(píng)活動(dòng)應(yīng)盡可能降低成本，減少投入。為客觀反映被測(cè)評(píng)信息系統(tǒng)的安全狀況，測(cè)評(píng)活動(dòng)要保證必需的廣度和深度，以滿足國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的測(cè)評(píng)指標(biāo)的要求。等級(jí)測(cè)評(píng)活動(dòng)包括測(cè)評(píng)準(zhǔn)備、方案編制、現(xiàn)場(chǎng)測(cè)評(píng)、分析及報(bào)告編制四個(gè)基本階段。正確選擇測(cè)評(píng)對(duì)象的種類和數(shù)量是整個(gè)等級(jí)測(cè)評(píng)工作能夠獲取足夠證據(jù)、了解到被測(cè)系統(tǒng)的真實(shí)安全保護(hù)狀況的重要保證。本活動(dòng)的主要任務(wù)是掌握被測(cè)系統(tǒng)的詳細(xì)情況，準(zhǔn)備測(cè)試工具，為編制測(cè)評(píng)方案做好準(zhǔn)備。整體測(cè)評(píng)主要測(cè)評(píng)分析信息系統(tǒng)的整體安全性。涉密信息系統(tǒng)安全分級(jí)保護(hù)根據(jù)其涉密信息系統(tǒng)處理信息的最高密級(jí)，可以劃分為秘密級(jí)、機(jī)密級(jí)和機(jī)密級(jí)（增強(qiáng)）、絕密級(jí)三個(gè)等級(jí)：秘密級(jí)：信息系統(tǒng)中包含有最高為秘密級(jí)的國(guó)家秘密，其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)三級(jí)的要求，并且還必須符合分級(jí)保護(hù)的保密技術(shù)要求。在信息安全合規(guī)性要求中，等級(jí)保護(hù)和分級(jí)保護(hù)以其涉及范圍廣，實(shí)施具有高度專業(yè)化和復(fù)雜性的特點(diǎn)，成為信息安全合規(guī)測(cè)評(píng)工作的重點(diǎn)和難點(diǎn)，后面的文章將會(huì)對(duì)這兩個(gè)概念進(jìn)行重點(diǎn)解讀。該法案由美國(guó)眾議院金融服務(wù)委員會(huì)主席奧克斯利和參議院銀行委員會(huì)主席塞班斯聯(lián)合提出，又被稱作《2002年塞班斯奧克斯利法案》（簡(jiǎn)稱塞班斯法案），法案對(duì)美國(guó)《1933年證券法》、《1934年證券交易法》做了不少修訂，在會(huì)計(jì)職業(yè)監(jiān)管、公司治理、證券市場(chǎng)監(jiān)管等方面做出了許多新規(guī)定。（2）實(shí)際需求－適應(yīng)客戶實(shí)際情況。 測(cè)評(píng)機(jī)構(gòu)應(yīng)定期對(duì)管理體系進(jìn)行評(píng)審并持續(xù)改進(jìn)，不斷提高管理要求。信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求 測(cè)評(píng)機(jī)構(gòu)的人員應(yīng)不受可能影響其測(cè)評(píng)結(jié)果的來(lái)自于商業(yè)、財(cái)務(wù)和其他方面的壓力。測(cè)評(píng)方案應(yīng)通過(guò)技術(shù)評(píng)審并有相關(guān)記錄，測(cè)評(píng)指導(dǎo)書應(yīng)進(jìn)行版本有效性維護(hù)，且滿足以下要求：l 符合相關(guān)的等級(jí)測(cè)評(píng)標(biāo)準(zhǔn)；l 提供足夠詳細(xì)的信息以確保測(cè)評(píng)數(shù)據(jù)獲取過(guò)程的規(guī)范性和可操作性。e)培訓(xùn)教育制度應(yīng)包括培訓(xùn)計(jì)劃的制定、培訓(xùn)工作的實(shí)施、培訓(xùn)的考核與上崗以及人員培訓(xùn)檔案建立等的內(nèi)容和要求。本規(guī)范適用于測(cè)評(píng)機(jī)構(gòu)的建設(shè)和管理以及對(duì)測(cè)評(píng)機(jī)構(gòu)能力進(jìn)行評(píng)估等活動(dòng)。第二十五條國(guó)家等保辦負(fù)責(zé)組織開展等級(jí)測(cè)評(píng)機(jī)構(gòu)能力驗(yàn)證和抽查工作。等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)在測(cè)評(píng)項(xiàng)目合同簽訂以及項(xiàng)目完成后5個(gè)工作日內(nèi)，向受理信息系統(tǒng)備案的公安機(jī)關(guān)報(bào)告等級(jí)測(cè)評(píng)項(xiàng)目有關(guān)情況。第十一條 下列事項(xiàng)發(fā)生變更時(shí)，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)在變更后5個(gè)工作日內(nèi)向等保辦報(bào)告。等級(jí)測(cè)評(píng)機(jī)構(gòu)，是指依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，具備本辦法規(guī)定的基本條件，經(jīng)審核推薦，從事等級(jí)測(cè)評(píng)等信息安全服務(wù)的機(jī)構(gòu)。具備下列情形的，年審結(jié)論為合格：（一）遵守國(guó)家有關(guān)法律法規(guī)和本省有關(guān)規(guī)定；（二）上年度完成的測(cè)評(píng)項(xiàng)目總值不低于50萬(wàn)元；（三）符合備案條件。第六條信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)申請(qǐng)備案，應(yīng)當(dāng)向地級(jí)以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門提交下列資料：（一）備案申請(qǐng)書；（二）營(yíng)業(yè)執(zhí)照復(fù)印件；（三）管理人員和專業(yè)技術(shù)人員的身份證明、學(xué)歷證明、計(jì)算機(jī)安全培訓(xùn)合格證書復(fù)印件和無(wú)犯罪證明；（四）技術(shù)裝備情況及組織管理制度報(bào)告。省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)自接到初審材料之日起15日內(nèi)進(jìn)行審查，符合條件的，發(fā)給備案證書。年檢結(jié)論為取消的，備案證書作廢，信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)自接到年檢結(jié)論之日起10日內(nèi)交回備案證書。第五條 國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室（以下簡(jiǎn)稱“國(guó)家等保辦”）負(fù)責(zé)受理隸屬國(guó)家信息安全職能部門和重點(diǎn)行業(yè)主管部門申請(qǐng)單位提出的申請(qǐng)，并對(duì)其推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行監(jiān)督管理。第十二條 信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書有效期為三年。第十九條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)定期向等保辦報(bào)送測(cè)評(píng)工作開展情況。第二十七條 等級(jí)測(cè)評(píng)機(jī)構(gòu)有下列情形之一的，等保辦應(yīng)取消其信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書，并向社會(huì)公告。基本條件依據(jù)《信息安全等級(jí)保護(hù)測(cè)評(píng)工作管理規(guī)范》（試行），信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)（以下簡(jiǎn)稱測(cè)評(píng)機(jī)構(gòu)）應(yīng)當(dāng)具備以下基本條件：a)在中華人民共和國(guó)境內(nèi)注冊(cè)成立（港澳臺(tái)地區(qū)除外）；b)由中國(guó)公民投資、中國(guó)法人投資或者國(guó)家投資的企事業(yè)單位（港澳臺(tái)地區(qū)除外）； c)產(chǎn)權(quán)關(guān)系明晰，注冊(cè)資金100萬(wàn)元以上；d)從事信息系統(tǒng)檢測(cè)評(píng)估相關(guān)工作兩年以上，無(wú)違法記錄；e)工作人員僅限于中華人民共和國(guó)境內(nèi)的中國(guó)公民，且無(wú)犯罪記錄；f)具有滿足等級(jí)測(cè)評(píng)工作的專業(yè)技術(shù)人員和管理人員，測(cè)評(píng)技術(shù)人員不少于10人； g)具備必要的辦公環(huán)境、設(shè)備、設(shè)施，使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合《信息安全等級(jí)保護(hù)管理辦法》對(duì)信息安全產(chǎn)品的要求；h)具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度； i)對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成威脅。 測(cè)評(píng)人員應(yīng)參加由公安部信息安全等級(jí)保護(hù)評(píng)估中心舉辦的專門培訓(xùn)、考試并取得中心頒發(fā)的《等級(jí)測(cè)評(píng)師證書》（等級(jí)測(cè)評(píng)師分為初級(jí)、中級(jí)和高級(jí)）。f)信息安全產(chǎn)品應(yīng)獲得公安部計(jì)算機(jī)信息安全產(chǎn)品銷售許可證。 測(cè)評(píng)機(jī)構(gòu)應(yīng)建立并保存