第一篇:信息安全管理组织机构
信息安全组织机构管理制度
第一章 总则
第一条
为加强信息安全管理,明确信息安全责任,保障信息化建设的稳步发展,特制定本制度。
第二章 机构设置
第二条 由单位主管信息化工作和保密工作的领导牵头,组织与信息安全相关的各部门负责人,成立信息安全领导机构,统筹管理信息安全相关工作。
第三条 信息安全领导机构下设政府信息安全检查工作、网络信息安全检查工作、信息安全应急响应工作、信息系统安全等级(分级)保护工作、信息安全风险评估工作、信息安全保密工作等6个专项工作小组,分别负责信息安全各领域相关工作。
第四条 成立信息安全领导机构,完成以下岗位和成员的设置。
信息安全领导机构:组长、副组长、成员。 第五条 成立政府信息安全检查工作小组,完成以下岗位和成员的设置。 政府信息安全检查工作小组:组长、副组长、成员。 第六条 成立互联网信息安全检查工作小组,完成以下岗位和成员的设置。
互联网信息安全检查工作小组:组长、副组长、成员。
第七条 成立内网信息安全检查工作小组,完成以下岗位和成员的设置。
内网信息安全检查工作小组:组长、副组长、成员。 第八条 成立信息安全应急响应工作小组,完成以下岗位和成员的设置。
信息安全应急响应工作小组:组长、副组长、成员。 第九条 成立信息系统安全等级(分级)保护工作小组,并完成以下岗位和成员的设置。
信息系统安全等级(分级)保护工作小组:组长、副组长、成员。
第十条 成立信息安全风险评估工作小组,完成以下岗位和成员的设置。
信息安全风险评估工作小组:组长、副组长、成员。 第十一条 成立信息安全保密工作小组,完成以下岗位和成员的设置。
信息安全保密工作小组:组长、副组长、成员。
第四章 工作职责
第十二条 信息安全领导机构工作职责。
信息安全领导机构负责领导信息安全工作的规划、建设和管理,检查指导各下属工作小组信息安全工作,协调处理信息安全工作中产生的重大问题,建设和完善信息安全组织体系。
第十三条 信息安全检查工作小组工作职责。 信息安全检查工作小组负责检查信息安全制度落实情况、安全防范措施落实情况、应急响应机制建设情况、信息技术产品和服务国产化情况、安全教育培训情况、责任追究情况、安全隐患排查及整改情况、安全形势、安全风险状况等。
第十四条 互联网信息安全检查工作小组工作职责。 互联网信息安全检查工作小组负责互联网信息安全检查工作部署、制定检查工作计划和检查方案,监控互联网信息系统安全状况,定期汇总分析并提出安全分析报告。
第十五条 内网信息安全检查工作小组工作职责。 内网信息安全检查工作小组负责安排内网信息安全检查工作、制定检查工作计划和检查方案、对检查工作进行检查部署,监控内网信息系统安全状况,定期汇总分析并提出安全分析报告。 第十六条 信息系统安全等级(分级)保护工作小组工作职责。
信息系统安全等级(分级)保护工作小组负责制定详细的信息系统安全等级(分级)保护工作计划、采购和使用相应等级的信息安全产品、建设安全设施、落实安全技术措施、完成系统整改等。
第十七条 信息安全应急响应工作小组工作职责。 信息安全应急响应工作小组负责应急预案的制定、演练、落实,技术队伍的建设,安全事件监控与处理。
第十八条 信息安全风险评估工作小组工作职责。 信息安全风险评估工作小组负责信息系统的风险评估实施过程中的组织安排及各项相关工作。
第十九条 信息安全保密工作小组工作职责。
信息安全保密工作小组负责指导各部门开展保密工作,并定期进行检查、督促;定期召开保密工作会议,研究部署保密工作;对工作人员进行保密教育,组织保密业务培训。
第五章
附 则
第二十条 本制度由某某单位负责解释。 第二十一条 本制度自发布之日起生效执行。
第二篇:信息安全管理组织机构及岗位职责
XXXX医院信息安全管理组织机构及岗位职责 为规范我院信息安全管理工作,建立信息安全工作管理体系,需建立健全相应的组织管理体系,以推动医院信息安全工作的开展。
1、我院的医院信息化工作领导小组,是信息安全的最高决策机构,日常机构设立在医院微机中心,负责信息安全的日常事务。
2、信息化工作领导小组负责研究重大事件,落实方针政策和制定总体策略等。主要职责:
根据国家和行业有关信息安全的政策、法律和法规,批准医院信息化安全总体策略规划、管理规范和技术标准;
确定医院信息安全各有关部门工作职责,指导、监督信息安全工作。
3、微机中心具体负责医院信息安全工作和应急处理工作,主要工作包括: 执行医院信息化工作领导小组的决议,协调和规范医院信息安全工作; 根据信息化工作领导小组的工作部署,对信息安全工作进行具体安排、落实; 组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;
负责协调、督促各职能部门和相关科室的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;
组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
负责接受各部门的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
及时向信息安全工作领导小组和上级有关部门报告信息安全事件。 组织信息安全知识的培训和宣传工作。
决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;
定期组织对信息安全应急策略和应急预案进行测试和演练。
4、设置信息系统的关键岗位并加强管理。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
系统管理员主要职责有:
负责系统的运行管理,实施系统安全运行细则;
严格用户权限管理,维护系统安全正常运行;
认真记录系统安全事项,及时向信息安全人员报告安全事件;
对进行系统操作的其他人员予以安全监督。
网络管理员主要职责有:
负责网络的运行管理,实施网络安全策略和安全运行细则;
安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行; 监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;
对操作网络管理功能的其他人员进行安全监督。
向应急管理机构和领导机构报告重大的网络安全事件等。
本办法由医院信息化工作领导小组负责解释。
本办法自发布之日起施行。
2007.8.20
第三篇:信息安全管理组织机构设置及工作职责
一.组织机构
1.1公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。
1.2信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括:
根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;
确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。
1.3信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。
1.4信息安全工作组的主要职责包括:
1.4.1贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作;
1.4.2根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;
1.4.3组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;
1.4.4负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;
1.4.5组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
1.4.6负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
1.4.7及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。
1.4.8跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。
1.5应急处理工作组的主要职责包括:
1.5.1审定公司网络与信息系统的安全应急策略及应急预案;
1.5.2决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;
1.5.3每年组织对信息安全应急策略和应急预案进行测试和演练。
1.6公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。
二.关键岗位及职责
2.1设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
2.2系统管理员主要职责有:
2.2.1负责系统的运行管理,实施系统安全运行细则;
2.2.2严格用户权限管理,维护系统安全正常运行;
2.2.3认真记录系统安全事项,及时向信息安全人员报告安全事件;
2.2.4对进行系统操作的其他人员予以安全监督。
2.3网络管理员主要职责有:
2.3.1负责网络的运行管理,实施网络安全策略和安全运行细则;
2.3.2安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
2.3.3监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;
2.3.4对操作网络管理功能的其他人员进行安全监督。
2.4应用开发管理员主要职责有:
2.4.1负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的准确实现;
2.4.2系统投产运行前,完整移交系统相关的安全策略等资料;
2.4.3不得对系统设置“后门”;
2.4.4对系统核心技术保密等。
2.5 安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计和监督,主要职能包括:
2.5.1 按操作员证书号进行审计;
2.5.2 按操作时间审计;
2.5.3 按操作类型审计;
2.5.4 事件类型进行审计;
2.5.5 日志管理等。
2.6安全保密管理员负责日常安全保密管理活动,主要职责有:
2.6.1 监视全网运行和安全告警信息
2.6.2 网络审计信息的常规分析
2.6.4 安全设备的常规设置和维护
2.6.5 执行应急中心制定的具体安全策略
2.6.6 向应急管理机构和领导机构报告重大的网络安全事件等。
第四篇:某公司信息安全保障体系信息安全组织体系[大全]
信息安全保障体系
组织体系
- 1 -
- 2 -
组织体系 1 范围 本标准规定了公司内部安全保障体系组织架构的要求,包括人员组成,责任和要求。
本标准适用于公司,各厂应依据本标准制订适用的标准。
2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注版本(日期)的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注版本(日期)的引用文件,其最新版本适用于本标准。
3 术语和定义 无。
4 职责 4.1 信息中心负责公司整体信息安全保障体系组织建设。
4.2 各厂负责在授权范围内开展安全组织建设,负责本单位信息安全日常管理、监督。
5 信息安全管理组织架构 在组织架构方面,应依托企业现有的组织体系,赋予各层面的组织和个人以安全职责,使原有的组织架构具有信息安全的管理职能,同时应对企业安全管理的三层组织结构:决策层、管理层和执行层的机构建立、安全目标、岗位设置、安全职责进行确定,组织架构的建立和充分发挥职能是整个系统安全的前提和基础。
决策层管理层业务安全决策安全战略规划安全绩效考核信息安全领导小组信息安全管理部门安全管理系统安全工程安全绩效管理信息安全执行部门实施与运作运行管理安全审计实施执行层
图 1 信息安全管理组织架构层次图 组织架构
企业本部
企业下属各厂
- 3 -
决策层
公司信息化建设主管领导 各厂信息化建设主管领导 管理层
公司信息、办公室、财务、营销、人事、技术等各部门负责人 各厂信息、财务、生产、人事等业务部门负责人 执行层
公司具体负责信息系统管理和信息安全管理工作的技术人员及相关部门的专职(或兼职)信息安全员 各厂具体负责信息系统管理和信息安全管理工作的技术人员及相关部门的专职(或兼职)信息安全员
图 2 信息安全管理组织架构细化表
6 信息安全组织架构各层职责说明 6.1 决策机构 信息安全决策机构处于安全组织机构的第一个层次,是企业公司信息安全工作的最高管理机构,按照国家和国家局的方针、政策和要求,对企业公司信息安全进行统一领导和管理。
其主要职责包括:
1) 领导和督促全企业公司范围的信息安全工作; 2) 制定企业公司信息安全战略、方针和政策,确定企业公司信息安全发展方向和目标; 3) 为信息安全提供所需的资源; 4) 批准整个组织内信息安全特定角色和职责的分配; 5) 建立企业公司的总体安全规划方案; 6) 制定企业公司统一的安全策略体系; 7) 审批企业公司重大的信息安全活动; 8) 重大技术事项或突发紧急问题的协调处理和事后调查仲裁等; 9) 审批信息安全项目及安全产品的采购申请; 10) 审阅下级的重要工作汇报和意见,并及时反馈批复意见; 11) 监督管理层信息安全工作的管理和执行情况,协调管理队伍之间的关系; 12) 负责组织企业公司范围的信息安全事件的调查,并听取相关汇报; 13) 定期组织会议,了解企业公司信息系统的整体安全现状,讨论提高安全水平的整改措施。
14) 启动计划和程序来保持信息安全意识; 15) 信息安全领导小组应定期组织信息安全巡检和评审工作。
6.2 管理机构 信息安全管理机构处于安全组织机构的第二个层次,在决策机构的领导下,负责组织制订信息安全保障体系建设规划,以及信息安全的管理、监督、检查、考核等工作。日常的信息安全管理工作主要由信息化工作部门负责。
其主要职责包括:
1) 根据决策层总体安全规划制定系统安全建设的详细安全计划并组织实施; 2) 根据决策层统一的安全策略制定并落实信息安全管理制度; 3) 监督和指导执行层信息安全工作的贯彻和实施; 4) 组织技术人员和普通员工的安全技术交流与培训; 5) 参与信息系统相关的新工程建设和新业务开展的方案论证,并提出安全方面的相应
- 4 -
建议; 6) 在信息系统相关的工程验收时,对信息安全方面的验收测试方案进行审查并参与验收; 7) 组织相关安全员定期进行信息安全巡检; 8) 负责组织范围内的信息安全事件调查,并听取相关汇报; 9) 审阅执行层的重要工作汇报和意见,并及时反馈批复意见; 10) 定期组织会议,了解管辖系统的整体安全现状,讨论提高安全水平的整改措施; 6.3 执行机构 信息安全执行机构处于信息安全组织机构的第三个层次,在管理层的领导下,负责保证信息安全技术体系的有效运行及日常维护,通过具体技术手段落实安全策略,消除安全风险,以及发生安全事件后的具体响应和处理。
主要职责包括:
1) 学习和执行企业公司制定的各项信息安全管理策略、制度、规范和指南; 2) 企业公司信息安全规划、管理制度的落实和执行工作; 3) 直接负责管理范围内各业务系统的安全管理和维护工作; 4) 参与检查与国家信息安全相关的法律、法规、规章、标准等的符合性,参与企业公司安全方案的规划、设计; 5) 具体安全项目的实施与支持; 6) 根据管理层安全规划制定系统安全建设的详细安全计划并组织实施; 7) 监督和指导管理范围内信息安全工作的贯彻和实施; 8) 组织内部的安全技术交流与培训; 9) 参与管理范围内工程建设和业务开展的方案论证,并提出相应的安全方面的建议; 10) 提出的网络安全整改意见,提交管理层审批; 11) 向管理层定期汇报系统当前安全现状以及安全事件的处理情况;
7 安全职责的分配 为明确安全责任,划分(界定)安全管理与具体执行之间的工作职责,公司必须建立安全责任制度。
安全责任分配的基本原则是“谁主管,谁负责”。公司拥有的每项网络与信息资产,必须根据资产归属确定“责任人”。“责任人”对资产安全保护负有完全责任。“责任人”可以是个人或部门,但“责任人”是部门时,应由该部门领导实际负责。
“责任人”可以将具体的执行工作委派给“维护人”,但“责任人”仍然必须承担资产安全的最终责任。因此“责任人”应明确规定“维护人”的工作职责,并定期检查“维护人”是否正确履行了安全职责。“维护人”可以是个人或部门,也可以是外包服务提供商。当“维护人”是部门时,应由该部门领导实际负责。
安全工作人员的职责是指导、监督、管理、考核“责任人”的安全工作,不能替代“责任人”对具体网络与信息资产进行安全保护。
在资产的安全保护工作中,应重点关注以下内容:
a) 应清楚地说明每个独立的网络与信息系统所包含的各种资产和相应的安全保护流程。
b) “责任人”与“维护人”都应明确接受其负责的安全职责和安全保护流程,并对该职责的详细内容记录在案。
- 5 -
c) 所有授权的内容和权限应当被明确规定,并记录在案。
8 职责分散与隔离 职责分隔(Segregation of Duties)是一种减少偶然或故意行为造成安全风险的方法。公司应分散某些任务的管理、执行及职责范围,以减少误用或滥用职责带来风险的概率。例如关键数据修改的审批与制作必须分开。
在无法实现职责充分分散的情况下,应采取其他补偿控制措施并记录在案。例如:活动监控、检查审计跟踪记录以及管理监督等。
为避免串通勾结等欺诈活动,公司应尽量隔离相应职责,并增加执行和监督人员,以降低串通的可能性。
9 安全信息的获取和发布 信息技术的发展日新月异,安全工作愈发复杂和困难。公司必须建立有效可靠的渠道,获取安全信息,不断推进安全工作。例如:
a) 从内部挑选经验丰富的安全管理和技术人员,组成内部专家组,制定安全解决方案,参与安全事件处理,解决实际安全问题,提供预防性建议等。为使内部专家组的工作更具成效,应允许他们直接接触公司的管理层。
b) 与设备提供商、安全服务商等外部安全专家保持紧密联系,听取他们的安全建议。
c) 从一些公开的信息渠道获取安全信息,例如专业出版物、定期公告等。
企业权威的安全信息发布机构为公司信息中心。公司负责收集和整理并向各厂信息部门发布安全信息;各厂负责厂内发布和信息上报。
10 加强与外部组织之间的协作 公司应加强与国家安全机关、行业监管部门、其他运营商和信息服务提供商等外部组织的联系,并建立协作流程,以便在出现安全事件时,尽快获取信息、采取措施。
公司在加入安全组织或与其他组织进行交流时,应对信息交换予以严格限制,以确保公司信息的保密性。
11 安全审计的独立性 安全审计是从管理和技术两个方面检查公司的安全策略和控制措施的执行情况,发现安全隐患的过程。
安全审计的独立性是指审计方与被审计方应保持相对独立,即不能自己审计自己的工作,以确保审计结果的公正可靠。
安全审计可由公司内部审计组织,或外聘的专业审计机构完成。审计人员应接受审计培训,掌握一定的技能和经验。当采用外聘审计机构时,应充分考虑其风险,并采取相应的控制措施。
第五篇:信息安全等级保护测评机构管理办法
第一条 为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。
第二条 等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。
第三条 等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条 等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。
第五条 国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐
1 的等级测评机构进行监督管理。
省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
第六条 申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:
(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
(二)产权关系明晰,注册资金100万元以上;
(三)从事信息系统安全相关工作两年以上,无违法记录;
(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(五)具有信息系统安全相关工作经验的技术人员,不少于10人;
(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;
(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;
(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;
(九)不涉及信息安全产品开发、销售或信息系统安全
2 集成等业务;
(十)应具备的其他条件。
第七条 申请时,申请单位应向等保办提交以下材料:
(一)《信息安全等级保护测评机构申请表》;
(二)从事信息系统安全相关工作情况;
(三)检测评估工作所需软硬件及其他服务保障设施配备情况;
(四)有关管理制度建设情况;
(五)申请单位及其测评人员基本情况;
(六)应提交的其他材料。
等保办收到申请材料后,应在10个工作日内组织初审,并出具初审结果告知书。
第八条 通过初审的申请单位,应及时参加指定评估机构组织的测评人员培训。考试合格的人员,取得等级测评师证书。
等级测评师分为初级、中级和高级。申请单位应至少有10人获得等级测评师证书,其中高级和中级测评师均不得少于1人。
第九条 指定评估机构应根据标准规范对申请单位开展能力评估,出具信息安全等级保护测评机构能力评估报告,并及时将申请单位能力评估有关情况报送等保办。
第十条 等保办组织专家对通过能力评估的申请单位进
3 行审核。审核通过的,颁发《信息安全等级保护测评机构推荐证书》。
省级等保办应及时将本地等级测评机构推荐情况报国家等保办,国家等保办定期发布公告,在《中国信息安全等级保护网》发布《全国信息安全等级保护测评机构推荐目录》。
第十一条 下列事项发生变更时,等级测评机构应在变更后5个工作日内向等保办报告。
(一)等级测评机构名称、地址、测评人员和主要负责人发生变更的;
(二)等级测评机构法人、股权结构发生变更的;
(三)其他重大事项发生变更的。
省级等保办应及时将等级测评机构变更情况报国家等保办。
第十二条 信息安全等级保护测评机构推荐证书有效期为三年。等级测评机构应在推荐证书期满前30日内,向等保办申请复审。复审通过的等级测评机构应换发新证。复审未通过的,等保办应督促其限期整改。
省级等保办应及时将等级测评机构期满复审情况报国家等保办。
第十三条 等级测评师上岗前,等级测评机构应组织岗前培训。培训合格的,由等级测评机构配发上岗证。未取得
4 测评师证书和上岗证的,不得参与等级测评项目。
等级测评师离职前,等级测评机构应与其签订离职保密承诺书,并收回上岗证。
第十四条 等级测评师应妥善保管等级测评师证书、上岗证,不得涂改、出借、出租和转让。
第十五条 等级测评机构应加强对本机构等级测评师的监督管理,定期组织开展安全保密教育和业务培训。
第十六条 等级测评机构应严格按照信息安全等级保护标准规范公正、独立地开展等级测评工作,依据模板出具信息系统安全等级测评报告,确保测评质量,全面、客观地反映被测信息系统的安全保护状况。
第十七条 等级测评机构开展测评项目不受地域、行业限制。等级测评机构应在测评项目合同签订以及项目完成后5个工作日内,向受理信息系统备案的公安机关报告等级测评项目有关情况。
第十八条 测评项目实施过程中,等级测评机构应接受等保办的监督、检查和指导。测评项目完成后,等级测评机构应请被测评信息系统运营使用单位对测评服务情况进行评价,评价情况由被测单位反馈等保办。
第十九条 等级测评机构应定期向等保办报送测评工作开展情况。根据测评实践,每年底编制并报送信息系统安全状况分析报告。
5 第二十条 等级测评机构实行等级化管理。根据信息系统测评数量、机构规模、测评技术能力和服务质量等指标,对等级测评机构划分为五个星级,最低为一星级,最高为五星级。等级测评机构星级评定标准由国家等保办另行制定。
第二十一条 等级测评机构应于每年底向等保办提交星级评定所需材料。
等保办负责组织所推荐等级测评机构的星级评定审核工作,并出具星级评定意见。省级等保办应及时将评定意见报国家等保办审定,国家等保办定期发布星级评定结果。
第二十二条 取得信息安全等级保护测评机构推荐证书未满一年的,不参加星级评定。
第二十三条 等保办负责对所推荐等级测评机构的日常监督检查、测评项目抽查和年审工作,及时掌握等级测评机构工作情况。
第二十四条 等保办应于每年底对所推荐的等级测评机构进行年审。等级测评机构自推荐之日起未满6个月的,当年可免予年审。年审时,等级测评机构应提交以下材料:
(一)《信息安全等级保护测评机构年审表》;
(二)信息安全等级保护测评机构推荐证书副本;
(三)测评工作总结;
(四)其他所需材料。
第二十五条
国家等保办负责组织开展等级测评机构能
6 力验证和抽查工作。
第二十六条 等级测评机构有下列情形之一的,等保办应责令其限期整改;情形严重的,予以通报。
(一)未按照有关标准规范开展测评或未按规定出具信息系统安全等级测评报告的;
(二)影响被测评信息系统正常运行,危害被测评信息系统安全的;
(三)非授权占有、使用,未妥善保管等级测评相关资料及数据文件的;
(四)分包或转包等级测评项目,以及扰乱测评市场秩序的;
(五)限定被测评单位购买、使用指定信息安全产品的;
(六)测评人员未取得等级测评师证书和上岗证从事等级测评活动的;
(七)未按本办法规定向等保办提交材料、报告情况或弄虚作假的;
(八)其他违反等级测评有关规定的行为。
第二十七条 等级测评机构有下列情形之一的,等保办应取消其信息安全等级保护测评机构推荐证书,并向社会公告。
(一)因单位股权、人员等情况发生变动,不符合等级测评机构基本条件的;
(二)有信息安全产品开发、销售或信息系统安全集成行为的;
(三)故意泄露被测评单位工作秘密、重要信息系统数据信息的;
(四)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假未如实出具等级测评报告的;
(五)一年内未开展信息系统测评工作或自愿退出《全国信息安全等级保护测评机构推荐目录》的;
(六)连续两年年审不合格或限期整改后仍未通过复审的;
(七)违反本办法第二十六条规定,情节特别严重的。 第二十八条 等级测评师有下列行为之一的,等保办应责令等级测评机构督促其限期改正;情节严重的,责令等级测评机构暂停其参与测评工作;情形特别严重的,应注销其等级测评师证书,并对其所在等级测评机构进行通报。
(一)未经允许擅自使用或泄露、出售等级测评工作中收集的数据信息、资料或信息系统安全等级测评报告的;
(二)违反本办法第十四条规定,未妥善保管等级测评师证书、上岗证,有涂改、出借、出租和转让等行为的;
(三)测评行为失误或不当,影响信息系统安全或造成运营使用单位利益损失的;
(四)其他违反等级测评有关规定的行为。
8 第二十九条 等级测评机构及其等级测评师违反本办法的相关规定,给被测评信息系统运营使用单位造成严重危害和损失的,由相关部门依照有关法律、法规予以处理。
第三十条 任何单位和个人如发现等级测评机构、等级测评师有违法、违规行为的,可向国家等保办举报、投诉。
第三十一条 本办法由国家等保办负责解释。 第三十二条 本办法自发布之日起实施。