欢迎您来到宁夏回族自治区公安厅门户网站!

当前位置: 网站首页 >> 警务公开 >> 法规及规范性文件 >> 正文
法规及规范性文件

关于印发《宁夏信息安全等级保护测评活动管理规范》的通知(已修改)

发布日期:2017-09-08 15:41 责任编辑:网安总队 资料来源:网安总队 打印    收藏

宁夏信息安全等级保护测评活动管理规范

第一章 总则

    第一条 为加强信息安全等级保护测评机构管理,规范等级保护测评活动,切实提高全区重要网络和信息系统安全保护能力和水平,根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》、《宁夏回族自治区计算机信息系统安全保护条例》、公安部《信息安全等级保护测评机构管理办法》、《信息安全等级保护测评机构异地备案实施细则》等有关法规、规定制订本规范。        

第二条 等级保护测评,是指等级保护测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

本规范所称等级保护测评机构,是指具备一定条件,通过公安部信息安全等级保护评估中心培训考核和能力评估,由国家或各省(市、区)网络(信息)安全等级保护工作协调(领导)小组办公室推荐,从事等级保护测评等信息安全服务的机构。

第三条 信息安全等级保护测评活动坚持实事求是、客观公正的原则,保证测评活动的独立性和测评结论的准确性。

第四条 宁夏回族自治区行政区域内的网络(信息)安全等级保护测评活动及其等级保护测评机构,适用本规范。

                 第二章 等级保护测评机构

第五条 等级保护测评机构以提供信息安全等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理和风险评估等服务。

第六条 等级保护测评机构应当具有省级信息(网络)安全等级保护工作领导(协调)小组办公室颁发的《信息安全等级保护测评机构推荐证书》,并公告在《中国信息安全等级保护网》的《全国信息安全等级保护测评机构推荐目录》中。

第七条 等级保护测评机构至少应当具有10名以上初级、中级和高级等级测评师,其中高、中级等级测评师占40%。等级测评师上岗前,等级保护测评机构应当组织岗前培训。培训合格的,由等级保护测评机构配发上岗证。

第八条 等级保护测评机构应当配备满足等级保护测评工作需要的测评设备和工具,包括3大类9种工具:

安全问题发现类(网络和主机的漏洞扫描、WEB安全检测、恶意行为检测、数据库管理系统安全检测);

安全问题分析与定位类工具(网络协议分析、源代码安全审计);

安全问题验证类工具(渗透测试和性能压力测试)。

所使用的设备和工具应当符合《信息安全等级保护管理办法》对信息安全产品的要求。

第九条 等级保护测评机构应当制定保密管理、项目管理、质量管理、人员管理、培训教育等内容的制度管理体系,保证日常管理和等级测评活动的顺利进行。

第十条 等级保护测评机构的名称、地址、性质、法人、股权结构、经营范围、主要负责人、等级保护测评师等重要事项发生变更的,应当在15日内书面报告。

第十一条 异地测评机构在宁测评活动,要按照本规范要求和《信息安全等级保护测评机构异地备案实施细则》具体实施。

第十二条 信息安全等级保护测评机构推荐证书有效期为3年。等级保护测评机构应当在推荐证书期满前30日内,向自治区等保办申请复审换发新证。逾期不予受理。

本年度因违规行为被自治区等保办书面通报整改的,延期3个月复审。延迟期不得开展任何测评工作。

复审采取测评项目回访、材料审核及现场评审三种形式。

第三章 等级保护测评活动

第十三条 全区各信息系统运营使用单位应当选择符合条件的等级保护测评机构,依法定期对信息系统开展等级测评。

第三级(含)以上信息系统每年至少进行一次等级保护测评。重要部门涉及生产、调度、管理的第二级信息系统,应当至少每两年开展一次等级保护测评。

第十四条 等级保护测评机构参照国家信息化工程建设项目人工计费标准,合理收取等级保护测评服务费用。信息系统运营使用单位属于财政预算拨款单位的,其安全等级保护测评费用纳入各级财政年度信息化运行维护经费。

第十五条 被测评单位应当依据第六条、第七条、第八条、第二十七条的规定,在测评项目招投标、商谈时要对等级保护测评机构具备的条件进行查验,并核对《信息安全等级保护测评机构推荐证书》(副本)、《信息安全等级测评师证书》、《信息安全等级保护测评机构登记表》、《信息安全等级保护测评机构年度检查表》等资质文件。

第十六条 被测评单位应当与等级保护测评机构签订测评项目合同、保密协议、现场测评授权书,以规范测评活动。

第十七条 等级保护测评项目启动后,等级保护测评机构必须保证足够的现场等级测评师,投入满足等级保护测评需要的检测设备和工具。

第三级(含)以上信息系统测评项目应当至少由7名测评师参与,其中1名高级等级测评师,1名中级等级测评师、3名初级技术类测评师、2名初级管理类测评师。第二级信息系统测评项目应当至少由5名测评师参与,其中1名中级等级测评师、3名初级技术类测评师、1名初级管理类测评师。

第十八条 等级保护测评机构要充分估计测评活动可能给被测评系统带来的影响,并事先告知被测评单位,协助其采取相应的预防措施,防范测评风险。

第十九条 信息系统安全等级保护测评活动包括测评准备、方案编制、现场测评、报告编制四个基本阶段。

测评准备阶段:测评机构通过调查访问,了解被测评单位的基本情况,以及整个信息系统的构成和保护情况,准备测试工具。

方案编制阶段:测评机构整理测评准备活动中获取的信息系统相关资料,根据《信息系统安全等级保护测评要求》(GB 28448-2012)、《信息系统安全等级保护测评过程指南》(GB28449-2012)等国家标准及行业标准确定测评对象、测评指标及测评内容,形成测评方案和测评指导书,为现场测评活动提供指导。

现场测评阶段:测评机构按照测评指导书实施等级测评,并规范、准确、完整记录测评数据。现场测评主要包括单元测评和整体测评两部分。每个单元测评包括测评指标、测评实施和结果判定三个部分。整体测评主要包括安全控制点间、层面间和区域间相互作用的安全测评以及系统结构的安全测评。现场测评一般包括访谈、检查和测试三种测评方式。

报告编制阶段:等级保护测评机构在对现场测评获得的测评结果进行汇总、风险分析和评价的基础上,找出信息系统保护现状与等级保护基本要求之间的差距,形成等级保护测评结论,提出整改建议,并编制测评报告。

第二十条 等级保护测评项目完成后,被测评单位在30日内向受理信息系统备案的公安机关提交测评报告。

测评报告由等级保护测评机构按照公安部《信息系统安全等级测评报告模版(试行)》规定的格式编制,由测评项目负责人(中级测评师以上)作为第一编制人,技术主管(高级测评师)负责审核,机构法人或其授权人员签发或批准。等级保护测评报告加盖等级保护测评机构能力合格专用标识。

第二十一条 被测评单位应当根据测评报告提出的整改建议,对信息系统进行安全建设整改,并在完成整改后30日内,将整改方案和工作情况报送受理信息系统备案的公安机关。

第二十二条 等级保护测评机构在测评项目合同签订及项目完成后5日内,分别向受理信息系统备案的公安机关书面报告有关情况。

被测评单位应当加强对等级保护测评活动的全程监督,并填写《信息安全等级保护测评服务情况评价表》,随测评报告一并反馈受理信息系统备案的公安机关。

电力行业生产、调度、监控系统的等级保护测评活动需同时在国网宁夏电力公司书面报备。

   第二十三条 等级保护测评机构每季度向自治区等保办报送测评工作开展情况,由自治区等保办组织每年底编制本地网络安全保护状况分析报告。        

第二十四条 电子政务工程建设项目在建设完成后,建设单位应当在信息系统试运行期间开展等级测评,测评合格后方可投入使用。

建设单位提出工程建设项目验收申请时应当向原审批部门提交信息系统安全保护等级备案证明、安全等级测评报告和风险评估报告。

                       第四章    监督管理        

第二十五条 自治区等保办采取测评项目抽查、等级保护测评师抽考、检查等形式对等级保护测评项目实施过程、等级保护测评人员情况及各项管理制度落实情况进行日常监管。

第二十六条 等级保护测评机构年度检查时间为每年121日至31日。等级保护测评机构向自治区等保办提交以下材料:

(一)信息安全等级保护测评机构年度检查表;

(二)信息安全等级保护测评机构推荐证书副本;

(三)年度等级保护测评工作总结;

(四)其他所需材料。

自治区等保办进行项目回访、书面审核和现场检查,并依据国家等保办颁布的《信息安全等级保护测评机构评优标准》从等级保护测评机构的测评技术能力、测评管理规范化、工具配备、测评师数量、系统测评数量等方面进行量化打分。

第二十七条 来宁异地等级保护测评机构应当在每年121日至31日在自治区等保办书面报备,提交《信息安全等级保护测评机构登记表》和推荐证书副本(复印件加盖单位公章)。自治区等保办出具意见并向全区公布名单。原则上未列入公布名单的,第二年不得在宁开展等级保护测评活动。

第二十八条等级保护测评机构每季度召开联席工作会议,本地测评机构和进入公布名单的异地测评机构参会列席。        

第二十九条等级保护测评机构有下列情形之一的,由自治区等保办责令其限期改正;情形严重的,予以通报。        

(一)影响被测评信息系统正常运行,危害被测评信息系统安全的;

(二)未按照有关标准规范开展等级保护测评、未按规定出具等级保护测评报告或格式不符合要求的;

(三)非授权占有、使用、未妥善保管等级保护测

评相关资料及数据文件的;

(四)分包或转包等级保护测评项目、恶意竞争,

扰乱测评市场秩序的;

(五)限定被测评单位购买、使用指定信息安全产

品的;

(六)承担信息系统安全建设整改工作的;

(七)测评人员未取得等级保护测评师证书和上岗证从事等级保护测评活动的;等级保护测评师人员变动,少于10人的;

(八)未按规定向自治区等保办和受理信息系统备案的公安机关提交材料、报告情况或情况不实的;

(九)其他违反等级保护测评有关规定的行为。

第三十条 等级保护测评机构有下列情形之一的,由其推荐单位取消其信息安全等级保护测评机构推荐证书,并向社会公告。

(一)因单位股权、人员等情况发生变动,不符合等级保护测评机构基本条件的;

(二)运营管理不规范,严重影响测评质量,经整改仍无法达到要求的;

(三)有信息安全产品开发、销售和信息系统安全

集成行为的;

(四)故意泄露被测评单位工作秘密、重要信息系

统数据信息的;

(五)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假未如实出具等级保护测评报告的;

(六)一年内未开展信息安全等级保护测评工作的;

(七)连续两年年度检查不合格;在整改期间从事等级保护测评活动或整改后仍未通过的;

(八)全年累计被责令整改2次或通报2次的;

(九)违反第二十九条规定,情节特别严重的;

(十)其他严重违反有关规定,不适合从事等级保护测评工作的。

第三十一条 等级保护测评师有下列情形之一的,由自治区等保办责令等级保护测评机构督促其限期改正,暂停参与等级保护测评工作;情节严重的,注销其等级保护测评师证书,并对其所在等级保护测评机构进行通报。

(一)未经允许擅自使用或泄露、出售等级保护测评活动中收集的数据信息、资料或信息系统安全保护等级测评报告的;

(二)有涂改、出借、出租和转让等级保护测评师证书和上岗证行为的;

(三)其他违反等级保护测评有关规定的行为。

第三十二条异地等级保护测评机构违反本《规范》第二十九条、三十条、三十一条相关规定的,自治区等保办将取消报备资格,纳入测评活动“黑名单”,不得在宁夏开展等级保护测评活动。        

第三十三条 等级保护测评机构及其等级保护测评师违反相关规定,给被测评信息系统运营使用单位造成严重危害和损失的,构成违法犯罪的,由相关部门依照有关法律、法规予以处理。

第五章    附则        

第三十四条 本规范由宁夏网络安全等级保护工作领导小组办公室负责解释。

第三十五条 本规范自发布之日起施行。

       

附件:1.信息安全等级保护测评机构登记表

2.信息安全等级保护测评机构年度检查表

3.信息安全等级保护测评机构变更报告表

4.信息安全等级保护测评机构推荐期满复审申请表

5.信息安全等级保护测评机构推荐期满复审表

6.信息安全等级保护测评项目报告表

7.信息安全等级保护测评服务情况评价表

8.信息安全等级保护测评机构工作情况季度汇总表

上一条:宁夏回族自治区刑事案件证人保护工作规范(试行)

下一条:中华人民共和国国歌法

关闭

 主办:宁夏公安厅 联系电话:6136088 网站标示码:6400000032

Copyright @ 2011 宁夏回族自治区公安厅 版权所有 网站备案号:宁ICP备12000307号|宁公网安备 64010602000257号


您好!您是第 访问本站的人!