江西省网络安全等级测评与
检测评估活动管理办法
(试行)
第一章 总则
第一条为加强网络安全等级测评与检测评估活动(以下简称“测评活动”)管理,规范我省测评工作质量,提高测评服务水平,进一步推动网络安全等级保护工作,根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》、《关键信息基础设施安全保护条例》《数据安全法》等有关规定,特制订本意见。
第二条本意见适用于所有在江西省范围内开展的网络安全等级测评活动的管理。
第三条江西省信息安全等级保护协调小组办公室(以下简称“江西省等保办”)负责对在全省范围内开展的测评活动进行管理、监督、检查和指导。测评项目实施过程中,应全程接受被测网络备案公安机关的监督、检查和指导。
第二章 测评活动登记管理
第四条异地测评机构在我省开展测评活动应当在每年1月1日至31日在江西省等保办书面报备,提交《网络安全等级保护测评活动登记表》和机构认证证书副本(复印件加盖单位公章)。省等保办出具意见并向全省公布名单。未列入公布名单的,本年度不得在我省开展测评活动。
第五条在我省开展测评活动前,应于测评活动实施前5个工作日内,在公安部“网络安全等级保护测评项目登记管理系统”(以下简称“项目登记管理系统”)进行项目报备,填报项目相关信息以供审核,未通过审核的,不允许在全省内开展测评活动,不得于测评项目完成后进行补录。
第六条被中关村测评联盟通报开展整改的测评机构,整改期内不允许在我省开展测评活动。
第三章 测评活动管理
第七条测评机构应严格按照《网络安全等级保护基本要求》、《网络安全等级保护测评要求》、《网络安全等级保护测评过程指南》等相关技术标准,客观、公正、科学的开展测评工作,客观准确地反映被测评对象的安全保护状况。
测评报告作出测评结论,应当对网络安全状况、威胁、风险、影响、整改建议和风险控制措施进行分析,为网络运营使用单位提供安全指引。
对第三级以上网络提供等级测评服务的,测评师人数不得少于4名,其中高级测评师、中级测评师应各不少于1名。
第八条开展测评活动前,所有参与现场测评活动的测评师应携以下项目备案材料到被测评系统备案公安机关进行面审,通过面核的测评机构可以正式开展测评活动。面审需提交以下材料:
(一)《等级测评项目基本情况表》;
(二)测评师身份证原件及复印件;
(三)贴有上一年度年审合格标签的等级保护测评师上岗证原件和《网络安全等级保护测评师证书》复印件;
(四)测评师面审前三个月内的社会保险个人参保证明材料:
(五)《XX测评服务合同》(复印件),特定情况下,可提供相关主管部门或被测单位出具的测评委托说明。
第九条测评师在开展现场测评活动到场、离场时,应手持本人测评师证件于被测单位标识前拍照签到,并以测评项目为单位集中将所有签到照片提交至被测评系统备案公安机关(提交方式另行通知),测评签到照片需满足以下要求:
(一)测评师相貌清晰;
(二)测评师证件照片清晰;
(三)被测单位标识清晰(被测单位无标识或较敏感不允许拍照的,应备注说明)。
第十条测评机构在测评活动中发现重大安全事件、重大网络安全风险隐患、高危漏洞和重大网络安全威胁时,应及时报告被测系统备案公安机关。
第十一条测评机构出具测评报告后,应于30日内主动将测评报告递交被测评单位和被测评系统备案公安机关。
第十二条测评机构应每季度向省等保办报送测评活动开展情况和测评项目结果数据。根据测评工作开展情况,测评机构应于每年12月20日前编制并向省等保办报送本年度本地区网络安全状况分析报告。
第四章 测评活动监督检查
第十三条省等保办及各设区市等保办根据监管工作需要适时开展等级保护测评项目监督检查(以下简称“监督检查”),检查内容包括测评过程把控、测评记录描述、测评指标理解、测评流程遵循、测评报告、测评质量控制、渗透测试、风险分析等内容。
第十四条 省等保办及各设区市等保办进行监督检查时,可以聘请有关专家提供支持。检查方式包括查阅测评项目文档、组织专家组进行专项抽查、访谈、现场监督检查等方式。
第十五条 测评机构应当积极配合测评活动监督检查工作,并如实提供完整的测评项目文档,包括被测系统调研表、测评方案、工作计划、现场手工记录、工具测试记录、质量评审记录、测评报告等,覆盖测评活动各个关键环节。
第十六条 省等保办及各设区市等保办每季度开展一次测评活动监督检查抽查工作,其中,三级系统测评活动抽查比例不少于30%,抽查可采取以下方式:
(一)调阅测评委托书或合同、作业指导书、测评工作方案、测评记录、测评报告以及其他相关文档记录;
(二)查看相关技术系统及调阅相关使用记录;
(三)现场访谈测评机构、被测评单位运营者等相关人员;
(四)组织专家现场抽查被测评单位被测系统,并与测评报告内容进行比对;
(五)从攻防演习、网络安全隐患、网络安全案事件中倒查。
第十七条 省等保办及各设区市等保办每半年至少开展一次测评活动现场监督检查工作,其中,三级系统测评活动现场检查比例不少于50%,重点检查以下内容:
(一)测评机构基本条件符合情况;
(二)测评师行为规范情况;
(三)测评项目实施情况;
(四)测评服务评价情况;
(五)测评报告及相关数据文档管理情况;
(六)其他需监督检查的事项。
第十八条 省等保办于每年年底组织在省内开展测评活动的测评机构召开年度测评机构监督检查工作总结会,通报本年度测评活动开展情况。
第十九条 经省等保办核实确认测评机构测评流程或测评结果存在严重问题的,可要求测评机构免费重新开展测评服务。
第二十条 测评机构违反本办法相关规定的,省等保办约谈测评机构法人代表和主要负责人,通报中关村测评联盟,责令其限期整改;拒不整改或情形严重的,省等保办应责令其暂停在我省内开展测评活动,并在全省范围内通报批评违规情况;对于屡次违反规定或情节特别严重的,省等保办书面通报国家等保办和中关村测评联盟;各设区市等保办可梳理测评机构在辖区内违规开展测评服务的情况上报省等保办,同时参照本办法管理措施在辖区范围内开展测评活动监督检查工作。
第二十一条 测评机构及其测评师在我省开展测评活动时应自觉遵守本办法的相关规定和《网络安全等级测评与检测评估机构自律规范》。违反本办法的相关规定,给网络运营者造成严重危害和损失的,构成违法犯罪的,由相关部门依照有关法律、法规予以处理。
第二十二条 任何单位和个人如发现测评活动中有违法、违规行为的,可向省等保办和国家等保办举报、投诉。
第五章 附则
第二十三条本意见由江西省等保办负责解释,自实施发布之日起。
附件:网络安全等级保护测评活动登记表
网络安全等级保护测评活动登记表.doc
原创文章,作者:JEZZXE,如若转载,请注明出处:https://www.beidanyezhu.com/a/8262.html
