【正文】 專業(yè)技術(shù)機構(gòu)。第五條【基本原則】測評機構(gòu)應(yīng)當(dāng)按照有關(guān)規(guī)定和統(tǒng)一標(biāo)準(zhǔn)提供“客觀、公正、安全”的測評服務(wù)，按照統(tǒng)一的測評報告模版出具測評報告。第六條【保密要求】測評機構(gòu)和測評人員應(yīng)當(dāng)遵守《國家保密法》的規(guī)定，保守在測評活動中知悉的國家秘密、商業(yè)秘密、敏感信息和個人隱私等。第七條【管理體制】測評機構(gòu)應(yīng)當(dāng)接受各級信息安全等級保護協(xié)調(diào)（領(lǐng)導(dǎo)）小組和公安網(wǎng)安部門的監(jiān)督管理，并接受有關(guān)部門的業(yè)務(wù)管理和技術(shù)指導(dǎo)。第二章 測評機構(gòu)第八條【總體要求】測評機構(gòu)分為地區(qū)性、行業(yè)性測評機構(gòu)，按照屬地管理和行業(yè)管理相結(jié)合的原則進行建設(shè)和管理。第九條【職責(zé)分工】國家信息安全等級保護協(xié)調(diào)小組辦公室主管等級測評機構(gòu)的建設(shè)和管理工作，指導(dǎo)行業(yè)等級測評機構(gòu)的建設(shè)和管理工作，并委托專門的技術(shù)能力審驗機構(gòu)對測評機構(gòu)的技術(shù)能力進行評估、審查并確認。各省（區(qū)、市）等級保護協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室負責(zé)本地等級測評機構(gòu)的建設(shè)管理工作。第十條【基本條件】申請成為等級測評機構(gòu)的單位（以下簡稱申請單位）應(yīng)當(dāng)具備以下基本條件：（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；（三）產(chǎn)權(quán)關(guān)系明晰，注冊資金100萬元以上；（四）從事信息系統(tǒng)檢測評估相關(guān)工作兩年以上；（五）單位法人及主要工作人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪記錄；（六）具有勝任等級測評工作的專業(yè)技術(shù)人員和管理人員，大學(xué)本科（含）以上學(xué)歷所占比例不低于80%。其中測評技術(shù)人員不少于10人；（七）具備必要的辦公環(huán)境、設(shè)備、設(shè)施及完備的安全管理制度；（八）對國家安全、社會秩序、公共利益不構(gòu)成威脅。（九）應(yīng)當(dāng)具備的其他條件。第十一條【申請?zhí)峤弧康胤缴暾垎挝粦?yīng)向?qū)俚厥。▍^(qū)、市）等級保護協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室提交申請，行業(yè)申請單位向國家信息安全等級保護工作協(xié)調(diào)小組辦公室提交申請，并填寫申請書，申請成為等級測評機構(gòu)。第十二條【申請材料】申請單位在申請時應(yīng)提供以下材料，并對申請材料的真實性負責(zé)。（一）《信息安全等級保護測評機構(gòu)申請書》；（二）當(dāng)?shù)毓簿W(wǎng)安部門的推薦意見；（三）營業(yè)執(zhí)照及其他注冊證明文件；（四）《內(nèi)設(shè)組織機構(gòu)與崗位設(shè)置情況表》；（五）《工作人員基本情況表》、證明材料和聲明；（六）《辦公場地、設(shè)備與設(shè)施情況表》；（七）《安全測評設(shè)備、工具配備情況表》；（八）信息系統(tǒng)安全測評能力報告；（九）保密管理、項目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等相關(guān)管理文件；（十）需要提供的其他材料。第十三條【初審】省級（含）以上等級保護協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室收到申請材料后，應(yīng)在30日內(nèi)完成初審。第十四條【技術(shù)能力審驗】初審?fù)ㄟ^的，由技術(shù)能力審驗機構(gòu)評估、審查并確認申請單位的技術(shù)能力。技術(shù)能力審驗周期最長為一個月。審驗期滿前，技術(shù)能力審驗機構(gòu)應(yīng)向等級保護協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室出具審驗意見，并加蓋專門印章。第十五條【核準(zhǔn)】省級（含）以上等級保護協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室對通過技術(shù)能力審驗的申請單位進行復(fù)核，并出具核準(zhǔn)意見。第十六條【目錄公布】測評機構(gòu)實行目錄管理。各省級信息安全等級保護協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室公布本地等級測評機構(gòu)目錄，并向國家信息安全等級保護工作協(xié)調(diào)小組辦公室備案。國家信息安全等級保護工作協(xié)調(diào)小組辦公室公布《全國信息安全等級測評機構(gòu)目錄》。第十七條【業(yè)務(wù)范圍】測評機構(gòu)應(yīng)當(dāng)在規(guī)定的業(yè)務(wù)范圍內(nèi)開展測評業(yè)務(wù)。（一）地方測評機構(gòu)在本地開展測評業(yè)務(wù)，行業(yè)測評機構(gòu)在行業(yè)內(nèi)開展測評業(yè)務(wù)。行業(yè)測評機構(gòu)在地方開展測評業(yè)務(wù)前，應(yīng)與本地等級保護協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室協(xié)調(diào)；（二）承擔(dān)有關(guān)部門委托的安全測評專項任務(wù)；（三）配合當(dāng)?shù)毓簿W(wǎng)安部門對信息系統(tǒng)進行監(jiān)督、檢查；（四）開展風(fēng)險評估、信息安全培訓(xùn)、咨詢服務(wù)和信息安全工程監(jiān)理；（五）為當(dāng)?shù)匦畔踩燃壉Ｗo工作提供技術(shù)支持和服務(wù)；（六）其他有關(guān)文件規(guī)定的職責(zé)任務(wù)。第十八條【禁止行為】測評機構(gòu)不得從事下列活動：（一）承擔(dān)信息系統(tǒng)安全建設(shè)整改工作；（二）將等級測評任務(wù)分包、外包；（三）信息安全產(chǎn)品開發(fā)、營銷和信息系統(tǒng)集成活動；（四）限定被測評單位購買、使用其指定的信息安全產(chǎn)品；（五）未經(jīng)許可占有、使用有關(guān)測評信息、資料及數(shù)據(jù)文件；（六）其他可能影響測評客觀、公正的活動。第十九條【風(fēng)險告知】在開展測評過程中，對可能影響信息系統(tǒng)正常運行的，測評機構(gòu)應(yīng)當(dāng)事先告知被測評單位，并協(xié)助其采取相應(yīng)的預(yù)防措施。第二十條【人員管理】測評機構(gòu)應(yīng)當(dāng)建立完備的人員檔案，嚴(yán)格履行人員錄用、考核、離崗等程序，對進入重要信息系統(tǒng)進行測評的人員，應(yīng)該進行背景審查，確保人員可靠。第二十一條【制度管理】測評機構(gòu)應(yīng)當(dāng)建立并落實保密管理、項目管理、質(zhì)量管理、人員管理、培訓(xùn)教育等管理制度。第二十二條【能力建設(shè)】測評機構(gòu)要加強技術(shù)能力和管理能力建設(shè)，應(yīng)在測評機構(gòu)推薦目錄公布后兩年內(nèi)至少通過一項實驗室或檢查機構(gòu)資質(zhì)認定。第三章 人員管理第二十三條【人員要求】測評人員應(yīng)遵守國家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和測評人員行為準(zhǔn)則，認真履行本細則規(guī)定 的責(zé)任和義務(wù)，為用戶提供安全、客觀、公正的測評服務(wù)，保證測評的質(zhì)量和效果。第二十四條【個人聲明】測評人員應(yīng)當(dāng)提供本人社會背景、工作經(jīng)歷和獎懲情況的證明材料，聲明相關(guān)材料的真實性并承擔(dān)法律責(zé)任。第二十五條【持證上崗】測評人員上崗前應(yīng)接受培訓(xùn)，培訓(xùn)合格的由測評機構(gòu)頒發(fā)上崗證。測評人員持證上崗。第二十六條【分級管理】測評機構(gòu)技術(shù)人員實行分級管理，由低到高分為初級等級測評師、中級等級測評師和高級等級測評師。測評技術(shù)人員應(yīng)當(dāng)接受專門業(yè)務(wù)培訓(xùn)，考試合格的獲得等級測評師證書。第二十七條【培訓(xùn)與考試】國家信息安全等級保護協(xié)調(diào)小組辦公室制定并公布培訓(xùn)計劃，指定專門培訓(xùn)機構(gòu)具體承擔(dān)等級測評師的培訓(xùn)、考試工作。專門培訓(xùn)機構(gòu)向考試合格的人員頒發(fā)等級測評師證書。第二十八條【證書管理】專門培訓(xùn)機構(gòu)依據(jù)等級測評師證書管理辦法辦理證書的審核、頒發(fā)、建檔、公布、查詢、年審、換發(fā)和撤銷，并向省級以上等級保護工作協(xié)調(diào)小組辦公室備案。第二十九條【備案】行業(yè)測評機構(gòu)每年應(yīng)將本單位等級測評師培訓(xùn)、獲證情況向國家信息安全等級保護工作協(xié)調(diào)小組辦公室備案。地方測評機構(gòu)每年應(yīng)將本單位等級測評師培訓(xùn)、獲證情況向本?。▍^(qū)市）等級保護協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室備案。各地等級保護協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室每年應(yīng)將本地等級測評師培訓(xùn)、獲證情況向國家等級保護協(xié)調(diào)小組辦公室備案。第三十條【年審管理】等級測評師實行年審制度。專門培訓(xùn)機構(gòu)對等級測評師每年進行一次年審，并將年審結(jié)果報等級保護協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室。對未通過年審的等級測評師，測評機構(gòu)應(yīng)暫停其開展測評工作。專門培訓(xùn)機構(gòu)應(yīng)對年審不通過的等級測評師開展培訓(xùn)。第三十一條【變更告知】等級測評機構(gòu)的主要管理人員和技術(shù)人員工作變動的，應(yīng)及時到等級保護協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室變更備案。第三十二條【人員法律責(zé)任】測評人員在測評工作中具有徇私舞弊、收受賄賂等違反有關(guān)法律法規(guī)行為的，應(yīng)由專門培訓(xùn)機構(gòu)撤銷違規(guī)人員等級測評師證書，并按照有關(guān)規(guī)定進行處罰。第四章 測評活動第三十三條【用戶要求】信息系統(tǒng)運營使用單位應(yīng)當(dāng)選擇《等級測評機構(gòu)推薦目錄》中的等級測評機構(gòu)，定期對信息系統(tǒng)開展等級測評，并加強對測評過程的監(jiān)督管理。第三十四條【整改前測評】信息系統(tǒng)安全建設(shè)整改前，信息系統(tǒng)運營使用單位可以選擇測評機構(gòu)進行等級測評，掌握信息系統(tǒng)安全狀況，排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)，明確安全建設(shè)整改需求。第三十五條【整改后測評】信息系統(tǒng)安全建設(shè)整改后，信息系統(tǒng)運營使用單位應(yīng)當(dāng)再選擇測評機構(gòu)進行等級測評，檢測系統(tǒng)安全保護狀況與標(biāo)準(zhǔn)要求的符合性，進一步查找安全隱患和問題，并進行風(fēng)險分析，為進一步整改提供依據(jù)。第三十六條【定期測評】第三級以上（含）信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次等級測評，測評完成后，信息系統(tǒng)運營使用單位應(yīng)及時向受理備案的公安機關(guān)提交測評報告。第三十七條【測評機構(gòu)規(guī)范】測評機構(gòu)應(yīng)建立規(guī)范的質(zhì)量管理體系，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等標(biāo)準(zhǔn)規(guī)范對信息系統(tǒng)進行測評，按照公安部制訂的信息系統(tǒng)安全等級測評報告格式編制測評報告。第三十八條【測評費用】測評機構(gòu)應(yīng)當(dāng)參照國家信息化工程建設(shè)項目人工計費標(biāo)準(zhǔn)合理收取測評服務(wù)費用。為防止惡意競爭，影響測評質(zhì)量，測評機構(gòu)開展測評業(yè)務(wù)收費應(yīng)當(dāng)不低于最低收費限額。第三十九條【安全責(zé)任】測評機構(gòu)應(yīng)當(dāng)針對等級測評工作制定保密管理規(guī)范，明確保密崗位與職責(zé)，定期對工作人員進行保密教育，與其簽訂《保密責(zé)任書》，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負責(zé)檢查落實。第五章 監(jiān)督管理第四十條【監(jiān)管主體】各級等級保護協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室對等級測評機構(gòu)、測評人員、測評活動等進行監(jiān)督、檢查，處理對測評機構(gòu)的投訴。第四十一條【年審】各級等級保護工作協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室對備案的測評機構(gòu)及測評人員實施年審管理，每年對測評機構(gòu)的能力和工作進行審核、審查，并公布審核、審查結(jié)果。第四十二條【機構(gòu)違規(guī)】測評機構(gòu)違反規(guī)定，情節(jié)輕微的，由等級保護協(xié)調(diào)領(lǐng)導(dǎo)機構(gòu)辦公室責(zé)令其限期改正或予以通報、警告。測評機構(gòu)出現(xiàn)以下情況之一的，按照相應(yīng)規(guī)定和程序，由等級保護協(xié)調(diào)（領(lǐng)導(dǎo)）機構(gòu)決定撤銷其測評機構(gòu)資格并及時向社會公告。（一）違反法律、法規(guī)并被起訴的；（二）發(fā)生重大泄密事件的；（三）運營管理不規(guī)范，嚴(yán)重影響測評質(zhì)量，經(jīng)整改仍無法達到要求的；（四）與被測評單位共同隱瞞在安全評估過程中發(fā)現(xiàn)的安全漏洞，未按要求寫入評估報告的；（五）在評估過程中弄虛作假，編造安全評估報告的；（六）不履行規(guī)定的責(zé)任和義務(wù)，經(jīng)通報批評、警告仍不改正的；（七）測評機構(gòu)成立后一年內(nèi)不開展測評業(yè)務(wù)的；（八）由于自身原因主動提出退出的；（九）連續(xù)兩次年審未通過的；（十）違反其他有關(guān)規(guī)定的。第四十三條【爭議處理】測評機構(gòu)應(yīng)當(dāng)嚴(yán)格遵循申訴、投訴及爭議處理制度，妥善處理爭議事件，及時采取糾正和改進措施。第四十四條【監(jiān)督自身要求】各級等級保護協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室應(yīng)嚴(yán)格依照本細則的有關(guān)規(guī)定，按照公平、公正的原則開展監(jiān)督檢查工作。第四十五條【變更】測評機構(gòu)性質(zhì)、經(jīng)營（業(yè)務(wù)）范圍、隸屬關(guān)系、法定代表人等重要事項發(fā)生變化的，應(yīng)在30日內(nèi)向等級保護協(xié)調(diào)（領(lǐng)導(dǎo)）機構(gòu)辦理變更手續(xù)。