【正文】 專(zhuān)業(yè)技術(shù)機(jī)構(gòu)。第五條【基本原則】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)按照有關(guān)規(guī)定和統(tǒng)一標(biāo)準(zhǔn)提供“客觀、公正、安全”的測(cè)評(píng)服務(wù)，按照統(tǒng)一的測(cè)評(píng)報(bào)告模版出具測(cè)評(píng)報(bào)告。第六條【保密要求】測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員應(yīng)當(dāng)遵守《國(guó)家保密法》的規(guī)定，保守在測(cè)評(píng)活動(dòng)中知悉的國(guó)家秘密、商業(yè)秘密、敏感信息和個(gè)人隱私等。第七條【管理體制】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)接受各級(jí)信息安全等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組和公安網(wǎng)安部門(mén)的監(jiān)督管理，并接受有關(guān)部門(mén)的業(yè)務(wù)管理和技術(shù)指導(dǎo)。第二章 測(cè)評(píng)機(jī)構(gòu)第八條【總體要求】測(cè)評(píng)機(jī)構(gòu)分為地區(qū)性、行業(yè)性測(cè)評(píng)機(jī)構(gòu)，按照屬地管理和行業(yè)管理相結(jié)合的原則進(jìn)行建設(shè)和管理。第九條【職責(zé)分工】國(guó)家信息安全等級(jí)保護(hù)協(xié)調(diào)小組辦公室主管等級(jí)測(cè)評(píng)機(jī)構(gòu)的建設(shè)和管理工作，指導(dǎo)行業(yè)等級(jí)測(cè)評(píng)機(jī)構(gòu)的建設(shè)和管理工作，并委托專(zhuān)門(mén)的技術(shù)能力審驗(yàn)機(jī)構(gòu)對(duì)測(cè)評(píng)機(jī)構(gòu)的技術(shù)能力進(jìn)行評(píng)估、審查并確認(rèn)。各?。▍^(qū)、市）等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室負(fù)責(zé)本地等級(jí)測(cè)評(píng)機(jī)構(gòu)的建設(shè)管理工作。第十條【基本條件】申請(qǐng)成為等級(jí)測(cè)評(píng)機(jī)構(gòu)的單位（以下簡(jiǎn)稱(chēng)申請(qǐng)單位）應(yīng)當(dāng)具備以下基本條件：（一）在中華人民共和國(guó)境內(nèi)注冊(cè)成立（港澳臺(tái)地區(qū)除外）；（二）由中國(guó)公民投資、中國(guó)法人投資或者國(guó)家投資的企事業(yè)單位（港澳臺(tái)地區(qū)除外）；（三）產(chǎn)權(quán)關(guān)系明晰，注冊(cè)資金100萬(wàn)元以上；（四）從事信息系統(tǒng)檢測(cè)評(píng)估相關(guān)工作兩年以上；（五）單位法人及主要工作人員僅限于中華人民共和國(guó)境內(nèi)的中國(guó)公民，且無(wú)犯罪記錄；（六）具有勝任等級(jí)測(cè)評(píng)工作的專(zhuān)業(yè)技術(shù)人員和管理人員，大學(xué)本科（含）以上學(xué)歷所占比例不低于80%。其中測(cè)評(píng)技術(shù)人員不少于10人；（七）具備必要的辦公環(huán)境、設(shè)備、設(shè)施及完備的安全管理制度；（八）對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成威脅。（九）應(yīng)當(dāng)具備的其他條件。第十一條【申請(qǐng)?zhí)峤弧康胤缴暾?qǐng)單位應(yīng)向?qū)俚厥。▍^(qū)、市）等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室提交申請(qǐng)，行業(yè)申請(qǐng)單位向國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室提交申請(qǐng)，并填寫(xiě)申請(qǐng)書(shū)，申請(qǐng)成為等級(jí)測(cè)評(píng)機(jī)構(gòu)。第十二條【申請(qǐng)材料】申請(qǐng)單位在申請(qǐng)時(shí)應(yīng)提供以下材料，并對(duì)申請(qǐng)材料的真實(shí)性負(fù)責(zé)。（一）《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)申請(qǐng)書(shū)》；（二）當(dāng)?shù)毓簿W(wǎng)安部門(mén)的推薦意見(jiàn)；（三）營(yíng)業(yè)執(zhí)照及其他注冊(cè)證明文件；（四）《內(nèi)設(shè)組織機(jī)構(gòu)與崗位設(shè)置情況表》；（五）《工作人員基本情況表》、證明材料和聲明；（六）《辦公場(chǎng)地、設(shè)備與設(shè)施情況表》；（七）《安全測(cè)評(píng)設(shè)備、工具配備情況表》；（八）信息系統(tǒng)安全測(cè)評(píng)能力報(bào)告；（九）保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等相關(guān)管理文件；（十）需要提供的其他材料。第十三條【初審】省級(jí)（含）以上等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室收到申請(qǐng)材料后，應(yīng)在30日內(nèi)完成初審。第十四條【技術(shù)能力審驗(yàn)】初審?fù)ㄟ^(guò)的，由技術(shù)能力審驗(yàn)機(jī)構(gòu)評(píng)估、審查并確認(rèn)申請(qǐng)單位的技術(shù)能力。技術(shù)能力審驗(yàn)周期最長(zhǎng)為一個(gè)月。審驗(yàn)期滿(mǎn)前，技術(shù)能力審驗(yàn)機(jī)構(gòu)應(yīng)向等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室出具審驗(yàn)意見(jiàn)，并加蓋專(zhuān)門(mén)印章。第十五條【核準(zhǔn)】省級(jí)（含）以上等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室對(duì)通過(guò)技術(shù)能力審驗(yàn)的申請(qǐng)單位進(jìn)行復(fù)核，并出具核準(zhǔn)意見(jiàn)。第十六條【目錄公布】測(cè)評(píng)機(jī)構(gòu)實(shí)行目錄管理。各省級(jí)信息安全等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室公布本地等級(jí)測(cè)評(píng)機(jī)構(gòu)目錄，并向國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室備案。國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室公布《全國(guó)信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)目錄》。第十七條【業(yè)務(wù)范圍】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)在規(guī)定的業(yè)務(wù)范圍內(nèi)開(kāi)展測(cè)評(píng)業(yè)務(wù)。（一）地方測(cè)評(píng)機(jī)構(gòu)在本地開(kāi)展測(cè)評(píng)業(yè)務(wù)，行業(yè)測(cè)評(píng)機(jī)構(gòu)在行業(yè)內(nèi)開(kāi)展測(cè)評(píng)業(yè)務(wù)。行業(yè)測(cè)評(píng)機(jī)構(gòu)在地方開(kāi)展測(cè)評(píng)業(yè)務(wù)前，應(yīng)與本地等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室協(xié)調(diào)；（二）承擔(dān)有關(guān)部門(mén)委托的安全測(cè)評(píng)專(zhuān)項(xiàng)任務(wù)；（三）配合當(dāng)?shù)毓簿W(wǎng)安部門(mén)對(duì)信息系統(tǒng)進(jìn)行監(jiān)督、檢查；（四）開(kāi)展風(fēng)險(xiǎn)評(píng)估、信息安全培訓(xùn)、咨詢(xún)服務(wù)和信息安全工程監(jiān)理；（五）為當(dāng)?shù)匦畔踩燃?jí)保護(hù)工作提供技術(shù)支持和服務(wù)；（六）其他有關(guān)文件規(guī)定的職責(zé)任務(wù)。第十八條【禁止行為】測(cè)評(píng)機(jī)構(gòu)不得從事下列活動(dòng)：（一）承擔(dān)信息系統(tǒng)安全建設(shè)整改工作；（二）將等級(jí)測(cè)評(píng)任務(wù)分包、外包；（三）信息安全產(chǎn)品開(kāi)發(fā)、營(yíng)銷(xiāo)和信息系統(tǒng)集成活動(dòng)；（四）限定被測(cè)評(píng)單位購(gòu)買(mǎi)、使用其指定的信息安全產(chǎn)品；（五）未經(jīng)許可占有、使用有關(guān)測(cè)評(píng)信息、資料及數(shù)據(jù)文件；（六）其他可能影響測(cè)評(píng)客觀、公正的活動(dòng)。第十九條【風(fēng)險(xiǎn)告知】在開(kāi)展測(cè)評(píng)過(guò)程中，對(duì)可能影響信息系統(tǒng)正常運(yùn)行的，測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)事先告知被測(cè)評(píng)單位，并協(xié)助其采取相應(yīng)的預(yù)防措施。第二十條【人員管理】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)建立完備的人員檔案，嚴(yán)格履行人員錄用、考核、離崗等程序，對(duì)進(jìn)入重要信息系統(tǒng)進(jìn)行測(cè)評(píng)的人員，應(yīng)該進(jìn)行背景審查，確保人員可靠。第二十一條【制度管理】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)建立并落實(shí)保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理、培訓(xùn)教育等管理制度。第二十二條【能力建設(shè)】測(cè)評(píng)機(jī)構(gòu)要加強(qiáng)技術(shù)能力和管理能力建設(shè)，應(yīng)在測(cè)評(píng)機(jī)構(gòu)推薦目錄公布后兩年內(nèi)至少通過(guò)一項(xiàng)實(shí)驗(yàn)室或檢查機(jī)構(gòu)資質(zhì)認(rèn)定。第三章 人員管理第二十三條【人員要求】測(cè)評(píng)人員應(yīng)遵守國(guó)家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和測(cè)評(píng)人員行為準(zhǔn)則，認(rèn)真履行本細(xì)則規(guī)定 的責(zé)任和義務(wù)，為用戶(hù)提供安全、客觀、公正的測(cè)評(píng)服務(wù)，保證測(cè)評(píng)的質(zhì)量和效果。第二十四條【個(gè)人聲明】測(cè)評(píng)人員應(yīng)當(dāng)提供本人社會(huì)背景、工作經(jīng)歷和獎(jiǎng)懲情況的證明材料，聲明相關(guān)材料的真實(shí)性并承擔(dān)法律責(zé)任。第二十五條【持證上崗】測(cè)評(píng)人員上崗前應(yīng)接受培訓(xùn)，培訓(xùn)合格的由測(cè)評(píng)機(jī)構(gòu)頒發(fā)上崗證。測(cè)評(píng)人員持證上崗。第二十六條【分級(jí)管理】測(cè)評(píng)機(jī)構(gòu)技術(shù)人員實(shí)行分級(jí)管理，由低到高分為初級(jí)等級(jí)測(cè)評(píng)師、中級(jí)等級(jí)測(cè)評(píng)師和高級(jí)等級(jí)測(cè)評(píng)師。測(cè)評(píng)技術(shù)人員應(yīng)當(dāng)接受專(zhuān)門(mén)業(yè)務(wù)培訓(xùn)，考試合格的獲得等級(jí)測(cè)評(píng)師證書(shū)。第二十七條【培訓(xùn)與考試】國(guó)家信息安全等級(jí)保護(hù)協(xié)調(diào)小組辦公室制定并公布培訓(xùn)計(jì)劃，指定專(zhuān)門(mén)培訓(xùn)機(jī)構(gòu)具體承擔(dān)等級(jí)測(cè)評(píng)師的培訓(xùn)、考試工作。專(zhuān)門(mén)培訓(xùn)機(jī)構(gòu)向考試合格的人員頒發(fā)等級(jí)測(cè)評(píng)師證書(shū)。第二十八條【證書(shū)管理】專(zhuān)門(mén)培訓(xùn)機(jī)構(gòu)依據(jù)等級(jí)測(cè)評(píng)師證書(shū)管理辦法辦理證書(shū)的審核、頒發(fā)、建檔、公布、查詢(xún)、年審、換發(fā)和撤銷(xiāo)，并向省級(jí)以上等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室備案。第二十九條【備案】行業(yè)測(cè)評(píng)機(jī)構(gòu)每年應(yīng)將本單位等級(jí)測(cè)評(píng)師培訓(xùn)、獲證情況向國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室備案。地方測(cè)評(píng)機(jī)構(gòu)每年應(yīng)將本單位等級(jí)測(cè)評(píng)師培訓(xùn)、獲證情況向本?。▍^(qū)市）等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室備案。各地等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室每年應(yīng)將本地等級(jí)測(cè)評(píng)師培訓(xùn)、獲證情況向國(guó)家等級(jí)保護(hù)協(xié)調(diào)小組辦公室備案。第三十條【年審管理】等級(jí)測(cè)評(píng)師實(shí)行年審制度。專(zhuān)門(mén)培訓(xùn)機(jī)構(gòu)對(duì)等級(jí)測(cè)評(píng)師每年進(jìn)行一次年審，并將年審結(jié)果報(bào)等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室。對(duì)未通過(guò)年審的等級(jí)測(cè)評(píng)師，測(cè)評(píng)機(jī)構(gòu)應(yīng)暫停其開(kāi)展測(cè)評(píng)工作。專(zhuān)門(mén)培訓(xùn)機(jī)構(gòu)應(yīng)對(duì)年審不通過(guò)的等級(jí)測(cè)評(píng)師開(kāi)展培訓(xùn)。第三十一條【變更告知】等級(jí)測(cè)評(píng)機(jī)構(gòu)的主要管理人員和技術(shù)人員工作變動(dòng)的，應(yīng)及時(shí)到等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室變更備案。第三十二條【人員法律責(zé)任】測(cè)評(píng)人員在測(cè)評(píng)工作中具有徇私舞弊、收受賄賂等違反有關(guān)法律法規(guī)行為的，應(yīng)由專(zhuān)門(mén)培訓(xùn)機(jī)構(gòu)撤銷(xiāo)違規(guī)人員等級(jí)測(cè)評(píng)師證書(shū)，并按照有關(guān)規(guī)定進(jìn)行處罰。第四章 測(cè)評(píng)活動(dòng)第三十三條【用戶(hù)要求】信息系統(tǒng)運(yùn)營(yíng)使用單位應(yīng)當(dāng)選擇《等級(jí)測(cè)評(píng)機(jī)構(gòu)推薦目錄》中的等級(jí)測(cè)評(píng)機(jī)構(gòu)，定期對(duì)信息系統(tǒng)開(kāi)展等級(jí)測(cè)評(píng)，并加強(qiáng)對(duì)測(cè)評(píng)過(guò)程的監(jiān)督管理。第三十四條【整改前測(cè)評(píng)】信息系統(tǒng)安全建設(shè)整改前，信息系統(tǒng)運(yùn)營(yíng)使用單位可以選擇測(cè)評(píng)機(jī)構(gòu)進(jìn)行等級(jí)測(cè)評(píng)，掌握信息系統(tǒng)安全狀況，排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)，明確安全建設(shè)整改需求。第三十五條【整改后測(cè)評(píng)】信息系統(tǒng)安全建設(shè)整改后，信息系統(tǒng)運(yùn)營(yíng)使用單位應(yīng)當(dāng)再選擇測(cè)評(píng)機(jī)構(gòu)進(jìn)行等級(jí)測(cè)評(píng)，檢測(cè)系統(tǒng)安全保護(hù)狀況與標(biāo)準(zhǔn)要求的符合性，進(jìn)一步查找安全隱患和問(wèn)題，并進(jìn)行風(fēng)險(xiǎn)分析，為進(jìn)一步整改提供依據(jù)。第三十六條【定期測(cè)評(píng)】第三級(jí)以上（含）信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，測(cè)評(píng)完成后，信息系統(tǒng)運(yùn)營(yíng)使用單位應(yīng)及時(shí)向受理備案的公安機(jī)關(guān)提交測(cè)評(píng)報(bào)告。第三十七條【測(cè)評(píng)機(jī)構(gòu)規(guī)范】測(cè)評(píng)機(jī)構(gòu)應(yīng)建立規(guī)范的質(zhì)量管理體系，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等標(biāo)準(zhǔn)規(guī)范對(duì)信息系統(tǒng)進(jìn)行測(cè)評(píng)，按照公安部制訂的信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告格式編制測(cè)評(píng)報(bào)告。第三十八條【測(cè)評(píng)費(fèi)用】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)參照國(guó)家信息化工程建設(shè)項(xiàng)目人工計(jì)費(fèi)標(biāo)準(zhǔn)合理收取測(cè)評(píng)服務(wù)費(fèi)用。為防止惡意競(jìng)爭(zhēng)，影響測(cè)評(píng)質(zhì)量，測(cè)評(píng)機(jī)構(gòu)開(kāi)展測(cè)評(píng)業(yè)務(wù)收費(fèi)應(yīng)當(dāng)不低于最低收費(fèi)限額。第三十九條【安全責(zé)任】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)針對(duì)等級(jí)測(cè)評(píng)工作制定保密管理規(guī)范，明確保密崗位與職責(zé)，定期對(duì)工作人員進(jìn)行保密教育，與其簽訂《保密責(zé)任書(shū)》，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負(fù)責(zé)檢查落實(shí)。第五章 監(jiān)督管理第四十條【監(jiān)管主體】各級(jí)等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室對(duì)等級(jí)測(cè)評(píng)機(jī)構(gòu)、測(cè)評(píng)人員、測(cè)評(píng)活動(dòng)等進(jìn)行監(jiān)督、檢查，處理對(duì)測(cè)評(píng)機(jī)構(gòu)的投訴。第四十一條【年審】各級(jí)等級(jí)保護(hù)工作協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室對(duì)備案的測(cè)評(píng)機(jī)構(gòu)及測(cè)評(píng)人員實(shí)施年審管理，每年對(duì)測(cè)評(píng)機(jī)構(gòu)的能力和工作進(jìn)行審核、審查，并公布審核、審查結(jié)果。第四十二條【機(jī)構(gòu)違規(guī)】測(cè)評(píng)機(jī)構(gòu)違反規(guī)定，情節(jié)輕微的，由等級(jí)保護(hù)協(xié)調(diào)領(lǐng)導(dǎo)機(jī)構(gòu)辦公室責(zé)令其限期改正或予以通報(bào)、警告。測(cè)評(píng)機(jī)構(gòu)出現(xiàn)以下情況之一的，按照相應(yīng)規(guī)定和程序，由等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）機(jī)構(gòu)決定撤銷(xiāo)其測(cè)評(píng)機(jī)構(gòu)資格并及時(shí)向社會(huì)公告。（一）違反法律、法規(guī)并被起訴的；（二）發(fā)生重大泄密事件的；（三）運(yùn)營(yíng)管理不規(guī)范，嚴(yán)重影響測(cè)評(píng)質(zhì)量，經(jīng)整改仍無(wú)法達(dá)到要求的；（四）與被測(cè)評(píng)單位共同隱瞞在安全評(píng)估過(guò)程中發(fā)現(xiàn)的安全漏洞，未按要求寫(xiě)入評(píng)估報(bào)告的；（五）在評(píng)估過(guò)程中弄虛作假，編造安全評(píng)估報(bào)告的；（六）不履行規(guī)定的責(zé)任和義務(wù)，經(jīng)通報(bào)批評(píng)、警告仍不改正的；（七）測(cè)評(píng)機(jī)構(gòu)成立后一年內(nèi)不開(kāi)展測(cè)評(píng)業(yè)務(wù)的；（八）由于自身原因主動(dòng)提出退出的；（九）連續(xù)兩次年審未通過(guò)的；（十）違反其他有關(guān)規(guī)定的。第四十三條【爭(zhēng)議處理】測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格遵循申訴、投訴及爭(zhēng)議處理制度，妥善處理爭(zhēng)議事件，及時(shí)采取糾正和改進(jìn)措施。第四十四條【監(jiān)督自身要求】各級(jí)等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室應(yīng)嚴(yán)格依照本細(xì)則的有關(guān)規(guī)定，按照公平、公正的原則開(kāi)展監(jiān)督檢查工作。第四十五條【變更】測(cè)評(píng)機(jī)構(gòu)性質(zhì)、經(jīng)營(yíng)（業(yè)務(wù)）范圍、隸屬關(guān)系、法定代表人等重要事項(xiàng)發(fā)生變化的，應(yīng)在30日內(nèi)向等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）機(jī)構(gòu)辦理變更手續(xù)。