42．中华人民共和国公安部 关于做好信息安全等级保护测评机构审核推荐工作的通知 （公信安〔2010〕559 号） 各省、自治区、直辖市公安厅、局网络安全保卫（公共信息网络安全监察、网络 警察）总队（处）、新疆生产建设兵团公安局公共信息网络安全监察处： 为贯彻落实《关于推动信息安全等级保护测评体系建设和开展等级测评工作 的通知》（公信安〔2010〕303 号）文件精神，加快推进信息安全等级保护测评 体系建设，确保等级保护测评工作的顺利开展，现就做好等级保护测评机构审核 推荐工作有关要求通知如下： 一、高度重视等级测评机构审核推荐工作，切实加强对此项工作的组织领导， 要制定工作计划，指定专人负责，按照《信息安全等级保护测评工作管理规范（试 行）》要求，尽快组织实施。 二、参加等级保护测评体系建设试点工作的浙江、河南、广东、重庆四地要 按照《等级测评机构审核推荐工作流程和方法》 （见附件），组织试点测评机构填 写《信息安全等级保护测评机构申请表》，对能力评估合格的试点测评机构尽快 开展初审和专家审核，2010 年 5 月 31 日之前完成推荐工作。 三、其他省（区、市）要对本地从事信息系统检测评估相关工作的单位进行 摸底调查，掌握本地符合测评机构申请条件的单位数量和基础条件，从中筛选出 拟推荐机构，按照《等级测评机构审核推荐工作流程和方法》，尽快开展申请受 理、初审、能力评估和专家审核，2010 年 8 月 31 日之前完成推荐工作。 工作中有何问题，请及时与我局联系。 附件：等级测评机构审核推荐工作流程和方法 公安部十一局 二〇一〇年五月四日 1 附件： 等级测评机构审核推荐工作流程和方法 一、申请受理 省级信息安全等级保护工作协调（领导）小组办公室（以下简称“等保办”） 要向测评机构申请单位介绍测评机构需具备的基本条件、从事的业务范围以及禁 止行为等内容，使申请单位了解测评机构的责任和义务。知悉有关规定并愿意成 为测评机构的单位应向等保办提出申请，并提交《信息安全等级保护测评机构申 请表》（以下简称《申请表》），等保办要及时受理申请并组织初审。 二、机构初审 省级等保办负责对申请单位进行初审，初审的主要内容和审核方式如下： （一）注册地：在中华人民共和国境内注册成立（港澳台地区除外）。 审核方式：审查企业法人营业执照或者事业单位法人证书；审查中华人民共 和国组织机构代码证。 （二）单位性质：由中国公民投资、中国法人投资或者国家投资的企事业单 位（港澳台地区除外）。 审核方式：审查企业法人营业执照或者事业单位法人证书；审查法人代表的 身份证以及工商登记底档、投资人身份证。 （三）产权关系明晰，注册资金 100 万元以上。 审核方式：审查企业法人营业执照或者事业单位法人证书。 （四）从事信息系统检测评估相关工作两年以上，无违法记录。 审核方式：审查近两年来从事信息系统检测评估相关工作的评估报告或合 同；审查申请单位是否有违法记录。 （五）工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录。 审核方式：审查所有工作人员的身份证复印件；利用全国公安综合信息查询 系统，查询所有工作人员是否有犯罪记录。 （六）具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不 少于 10 人。 审核方式：审查申请单位人员基本情况表，查看测评技术人员和管理人员的 2 数量、学历、所学专业、工作经历和教育培训等情况。 （七）具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合 《信息安全等级保护管理办法》对信息安全产品的要求。 审核方式：审查申请单位办公环境说明、办公设备和设施清单、用于等级测 评的检测设备和设施清单。必要时可以到现场进行核查。 （八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等 安全管理制度。 审核方式：审查申请单位保密管理制度文档、项目管理制度文档、质量管理 制度文档、人员管理和培训教育管理制度文档。 （九）对国家安全、社会秩序、公共利益不构成威胁。 审核方式：审查申请单位安全保证承诺书。 （十）禁止行为：申请单位不得从事信息安全产品开发、销售和信息系统安 全集成。 审核方式：审查企业法人营业执照或者事业单位法人证书；调查了解申请单 位所从事的业务范围。信息安全产品开发、销售不包括检测、评估工具，信息系 统安全集成不包括信息系统集成。 三、测评能力评估 （一）初审告知。对于初审通过的申请单位，等保办应出具信息安全等级保 护测评机构初审结果告知书（模版见附件），告知其到公安部信息安全等级保护 评估中心（以下简称“评估中心”）进行能力评估。 （二）材料审查。评估中心按照《信息安全等级测评机构能力要求（试行）》 （以下简称《能力要求》、详见公安信息网十一局主页“七处”页面）等有关标 准规范，组织对申请单位的有关材料进行审查。 （三）现场核查。评估中心按照《能力要求》对申请单位进行现场核查。对 核查不符合要求的项目，评估中心应指导申请单位进行整改，直至符合《能力要 求》。 （四）测评人员培训、考试、发证。评估中心对测评技术人员组织培训和考 试（中级和高级测评师需进行面试），考试通过的由评估中心颁发《等级测评师 证书》和等级测评师证。等保办可以与评估中心协商培训和考试地点。评估中心 将等级测评师的获证情况公布在《中国信息安全等级保护网》 （www.djbh.net）， 3 供用户查询。 （五）出具评估报告。评估中心根据现场核查情况和等级测评师获证情况， 综合评估申请单位的测评能力。测评能力评估合格的，评估中心向申请单位出具 评估报告和能力评估合格证书，并函告等保办。 四、专家审核 对测评能力评估合格的申请单位，等保办应组织成立专家组，从申请单位的 基本情况、能力、已开展工作情况、设备设施配备情况以及各种规章制度等方面 对其进行综合审核，审核通过的，出具专家评审意见。 五、推荐并公布 （一）推荐。等保办将能力评估情况、等级测评师培训获证情况、专家组审 核情况等填写到《申请表》，并签署推荐意见。 （二）发证。对于同意推荐的测评机构，等保办应向其颁发信息安全等级保 护测评机构推荐证书（加盖信息安全等级保护专用章）。推荐证书由评估中心统 一制作。 （三）公布。对于取得测评机构推荐证书的单位，等保办应向社会公布测评 机构推荐目录，并报国家信息安全等级保护工作协调小组办公室，国家信息安全 等级保护工作协调小组办公室汇总公布《全国信息安全等级保护测评机构推荐目 录》。 4 附件： 信息安全等级保护测评机构初审结果告知书 ×××〔2010〕号 测评机构申请单位名称： 根据《信息安全等级保护测评工作管理规范》 （试行） ，经审核，你单位符合等级测评机 构基本条件和有关要求，通过我办初审。请你单位持此告知书，在 10 个工作日内到公安部 信息安全等级保护评估中心进行测评能力评估。 公安部信息安全等级保护评估中心地址：北京市海淀区阜成路 58 号（新洲商务大厦 7 层），邮编：100142 ××省（区、市）信息安全等级保护 工作协调（领导）小组办公室 二〇一×年××月××日 （加盖信息安全等级保护专用章） 承办人： 联系电话： 5