【正文】 專業(yè)技術機構。第五條【基本原則】測評機構應當按照有關規(guī)定和統(tǒng)一標準提供“客觀、公正、安全”的測評服務，按照統(tǒng)一的測評報告模版出具測評報告。第六條【保密要求】測評機構和測評人員應當遵守《國家保密法》的規(guī)定，保守在測評活動中知悉的國家秘密、商業(yè)秘密、敏感信息和個人隱私等。第七條【管理體制】測評機構應當接受各級信息安全等級保護協(xié)調(diào)（領導）小組和公安網(wǎng)安部門的監(jiān)督管理，并接受有關部門的業(yè)務管理和技術指導。第二章 測評機構第八條【總體要求】測評機構分為地區(qū)性、行業(yè)性測評機構，按照屬地管理和行業(yè)管理相結(jié)合的原則進行建設和管理。第九條【職責分工】國家信息安全等級保護協(xié)調(diào)小組辦公室主管等級測評機構的建設和管理工作，指導行業(yè)等級測評機構的建設和管理工作，并委托專門的技術能力審驗機構對測評機構的技術能力進行評估、審查并確認。各省（區(qū)、市）等級保護協(xié)調(diào)（領導）小組辦公室負責本地等級測評機構的建設管理工作。第十條【基本條件】申請成為等級測評機構的單位（以下簡稱申請單位）應當具備以下基本條件：（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；（三）產(chǎn)權關系明晰，注冊資金100萬元以上；（四）從事信息系統(tǒng)檢測評估相關工作兩年以上；（五）單位法人及主要工作人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪記錄；（六）具有勝任等級測評工作的專業(yè)技術人員和管理人員，大學本科（含）以上學歷所占比例不低于80%。其中測評技術人員不少于10人；（七）具備必要的辦公環(huán)境、設備、設施及完備的安全管理制度；（八）對國家安全、社會秩序、公共利益不構成威脅。（九）應當具備的其他條件。第十一條【申請?zhí)峤弧康胤缴暾垎挝粦驅(qū)俚厥。▍^(qū)、市）等級保護協(xié)調(diào)（領導）小組辦公室提交申請，行業(yè)申請單位向國家信息安全等級保護工作協(xié)調(diào)小組辦公室提交申請，并填寫申請書，申請成為等級測評機構。第十二條【申請材料】申請單位在申請時應提供以下材料，并對申請材料的真實性負責。（一）《信息安全等級保護測評機構申請書》；（二）當?shù)毓簿W(wǎng)安部門的推薦意見；（三）營業(yè)執(zhí)照及其他注冊證明文件；（四）《內(nèi)設組織機構與崗位設置情況表》；（五）《工作人員基本情況表》、證明材料和聲明；（六）《辦公場地、設備與設施情況表》；（七）《安全測評設備、工具配備情況表》；（八）信息系統(tǒng)安全測評能力報告；（九）保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等相關管理文件；（十）需要提供的其他材料。第十三條【初審】省級（含）以上等級保護協(xié)調(diào)（領導）小組辦公室收到申請材料后，應在30日內(nèi)完成初審。第十四條【技術能力審驗】初審通過的，由技術能力審驗機構評估、審查并確認申請單位的技術能力。技術能力審驗周期最長為一個月。審驗期滿前，技術能力審驗機構應向等級保護協(xié)調(diào)（領導）小組辦公室出具審驗意見，并加蓋專門印章。第十五條【核準】省級（含）以上等級保護協(xié)調(diào)（領導）小組辦公室對通過技術能力審驗的申請單位進行復核，并出具核準意見。第十六條【目錄公布】測評機構實行目錄管理。各省級信息安全等級保護協(xié)調(diào)（領導）小組辦公室公布本地等級測評機構目錄，并向國家信息安全等級保護工作協(xié)調(diào)小組辦公室備案。國家信息安全等級保護工作協(xié)調(diào)小組辦公室公布《全國信息安全等級測評機構目錄》。第十七條【業(yè)務范圍】測評機構應當在規(guī)定的業(yè)務范圍內(nèi)開展測評業(yè)務。（一）地方測評機構在本地開展測評業(yè)務，行業(yè)測評機構在行業(yè)內(nèi)開展測評業(yè)務。行業(yè)測評機構在地方開展測評業(yè)務前，應與本地等級保護協(xié)調(diào)（領導）小組辦公室協(xié)調(diào)；（二）承擔有關部門委托的安全測評專項任務；（三）配合當?shù)毓簿W(wǎng)安部門對信息系統(tǒng)進行監(jiān)督、檢查；（四）開展風險評估、信息安全培訓、咨詢服務和信息安全工程監(jiān)理；（五）為當?shù)匦畔踩燃壉Ｗo工作提供技術支持和服務；（六）其他有關文件規(guī)定的職責任務。第十八條【禁止行為】測評機構不得從事下列活動：（一）承擔信息系統(tǒng)安全建設整改工作；（二）將等級測評任務分包、外包；（三）信息安全產(chǎn)品開發(fā)、營銷和信息系統(tǒng)集成活動；（四）限定被測評單位購買、使用其指定的信息安全產(chǎn)品；（五）未經(jīng)許可占有、使用有關測評信息、資料及數(shù)據(jù)文件；（六）其他可能影響測評客觀、公正的活動。第十九條【風險告知】在開展測評過程中，對可能影響信息系統(tǒng)正常運行的，測評機構應當事先告知被測評單位，并協(xié)助其采取相應的預防措施。第二十條【人員管理】測評機構應當建立完備的人員檔案，嚴格履行人員錄用、考核、離崗等程序，對進入重要信息系統(tǒng)進行測評的人員，應該進行背景審查，確保人員可靠。第二十一條【制度管理】測評機構應當建立并落實保密管理、項目管理、質(zhì)量管理、人員管理、培訓教育等管理制度。第二十二條【能力建設】測評機構要加強技術能力和管理能力建設，應在測評機構推薦目錄公布后兩年內(nèi)至少通過一項實驗室或檢查機構資質(zhì)認定。第三章 人員管理第二十三條【人員要求】測評人員應遵守國家有關法律法規(guī)、技術標準和測評人員行為準則，認真履行本細則規(guī)定 的責任和義務，為用戶提供安全、客觀、公正的測評服務，保證測評的質(zhì)量和效果。第二十四條【個人聲明】測評人員應當提供本人社會背景、工作經(jīng)歷和獎懲情況的證明材料，聲明相關材料的真實性并承擔法律責任。第二十五條【持證上崗】測評人員上崗前應接受培訓，培訓合格的由測評機構頒發(fā)上崗證。測評人員持證上崗。第二十六條【分級管理】測評機構技術人員實行分級管理，由低到高分為初級等級測評師、中級等級測評師和高級等級測評師。測評技術人員應當接受專門業(yè)務培訓，考試合格的獲得等級測評師證書。第二十七條【培訓與考試】國家信息安全等級保護協(xié)調(diào)小組辦公室制定并公布培訓計劃，指定專門培訓機構具體承擔等級測評師的培訓、考試工作。專門培訓機構向考試合格的人員頒發(fā)等級測評師證書。第二十八條【證書管理】專門培訓機構依據(jù)等級測評師證書管理辦法辦理證書的審核、頒發(fā)、建檔、公布、查詢、年審、換發(fā)和撤銷，并向省級以上等級保護工作協(xié)調(diào)小組辦公室備案。第二十九條【備案】行業(yè)測評機構每年應將本單位等級測評師培訓、獲證情況向國家信息安全等級保護工作協(xié)調(diào)小組辦公室備案。地方測評機構每年應將本單位等級測評師培訓、獲證情況向本?。▍^(qū)市）等級保護協(xié)調(diào)（領導）小組辦公室備案。各地等級保護協(xié)調(diào)（領導）小組辦公室每年應將本地等級測評師培訓、獲證情況向國家等級保護協(xié)調(diào)小組辦公室備案。第三十條【年審管理】等級測評師實行年審制度。專門培訓機構對等級測評師每年進行一次年審，并將年審結(jié)果報等級保護協(xié)調(diào)（領導）小組辦公室。對未通過年審的等級測評師，測評機構應暫停其開展測評工作。專門培訓機構應對年審不通過的等級測評師開展培訓。第三十一條【變更告知】等級測評機構的主要管理人員和技術人員工作變動的，應及時到等級保護協(xié)調(diào)（領導）小組辦公室變更備案。第三十二條【人員法律責任】測評人員在測評工作中具有徇私舞弊、收受賄賂等違反有關法律法規(guī)行為的，應由專門培訓機構撤銷違規(guī)人員等級測評師證書，并按照有關規(guī)定進行處罰。第四章 測評活動第三十三條【用戶要求】信息系統(tǒng)運營使用單位應當選擇《等級測評機構推薦目錄》中的等級測評機構，定期對信息系統(tǒng)開展等級測評，并加強對測評過程的監(jiān)督管理。第三十四條【整改前測評】信息系統(tǒng)安全建設整改前，信息系統(tǒng)運營使用單位可以選擇測評機構進行等級測評，掌握信息系統(tǒng)安全狀況，排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)，明確安全建設整改需求。第三十五條【整改后測評】信息系統(tǒng)安全建設整改后，信息系統(tǒng)運營使用單位應當再選擇測評機構進行等級測評，檢測系統(tǒng)安全保護狀況與標準要求的符合性，進一步查找安全隱患和問題，并進行風險分析，為進一步整改提供依據(jù)。第三十六條【定期測評】第三級以上（含）信息系統(tǒng)應當每年至少進行一次等級測評，測評完成后，信息系統(tǒng)運營使用單位應及時向受理備案的公安機關提交測評報告。第三十七條【測評機構規(guī)范】測評機構應建立規(guī)范的質(zhì)量管理體系，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等標準規(guī)范對信息系統(tǒng)進行測評，按照公安部制訂的信息系統(tǒng)安全等級測評報告格式編制測評報告。第三十八條【測評費用】測評機構應當參照國家信息化工程建設項目人工計費標準合理收取測評服務費用。為防止惡意競爭，影響測評質(zhì)量，測評機構開展測評業(yè)務收費應當不低于最低收費限額。第三十九條【安全責任】測評機構應當針對等級測評工作制定保密管理規(guī)范，明確保密崗位與職責，定期對工作人員進行保密教育，與其簽訂《保密責任書》，規(guī)定應當履行的安全保密義務和承擔的法律責任，并負責檢查落實。第五章 監(jiān)督管理第四十條【監(jiān)管主體】各級等級保護協(xié)調(diào)（領導）小組辦公室對等級測評機構、測評人員、測評活動等進行監(jiān)督、檢查，處理對測評機構的投訴。第四十一條【年審】各級等級保護工作協(xié)調(diào)（領導）小組辦公室對備案的測評機構及測評人員實施年審管理，每年對測評機構的能力和工作進行審核、審查，并公布審核、審查結(jié)果。第四十二條【機構違規(guī)】測評機構違反規(guī)定，情節(jié)輕微的，由等級保護協(xié)調(diào)領導機構辦公室責令其限期改正或予以通報、警告。測評機構出現(xiàn)以下情況之一的，按照相應規(guī)定和程序，由等級保護協(xié)調(diào)（領導）機構決定撤銷其測評機構資格并及時向社會公告。（一）違反法律、法規(guī)并被起訴的；（二）發(fā)生重大泄密事件的；（三）運營管理不規(guī)范，嚴重影響測評質(zhì)量，經(jīng)整改仍無法達到要求的；（四）與被測評單位共同隱瞞在安全評估過程中發(fā)現(xiàn)的安全漏洞，未按要求寫入評估報告的；（五）在評估過程中弄虛作假，編造安全評估報告的；（六）不履行規(guī)定的責任和義務，經(jīng)通報批評、警告仍不改正的；（七）測評機構成立后一年內(nèi)不開展測評業(yè)務的；（八）由于自身原因主動提出退出的；（九）連續(xù)兩次年審未通過的；（十）違反其他有關規(guī)定的。第四十三條【爭議處理】測評機構應當嚴格遵循申訴、投訴及爭議處理制度，妥善處理爭議事件，及時采取糾正和改進措施。第四十四條【監(jiān)督自身要求】各級等級保護協(xié)調(diào)（領導）小組辦公室應嚴格依照本細則的有關規(guī)定，按照公平、公正的原則開展監(jiān)督檢查工作。第四十五條【變更】測評機構性質(zhì)、經(jīng)營（業(yè)務）范圍、隸屬關系、法定代表人等重要事項發(fā)生變化的，應在30日內(nèi)向等級保護協(xié)調(diào)（領導）機構辦理變更手續(xù)。