5.等级保护测评机构及人员
1)测评机构及人员管理依据
根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护测评体系建设试点工作的通知》(公信安[20091812号)、关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安[2010]303号)等文件,由公安部等级保护评估中心对等级保护测评机构管理,接受测评机构的申请、考核和定期能力验证。对不具备能力的测评机构取消授权。
对等级保护测评机构要求
在中华人民共和国境内注册成立(港澳台地区除外);
由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外); 从事相关检测评估工作两年以上,无违法记录;
工作人员仅限于中国公民;
法人代表及主要业务、技术人员无犯罪记录;
使用的技术装备、设施应当符合本办法对信息安全产品的要求;
具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度; 对国家安全、社会秩序、公共利益不构成威胁。
对测评机构明令禁止行为
一是承担信息系统安全建设整改工作; 二是将等级测评任务分包、外包;
三是信息安全产品开发、营销和信息系统集成活动;
四是限定被测评单位购买、试用其指定的信息安全产品;
五是未经许可占有、使用被测评单位有关信息、资料及数据文件。
2)测评人员等级及考核办法
根据相关要求,需要具备《等级保护测评资质》的专业人员才能开展。当前公安部等级保护评估中心共授予高级、中级、初级三个级别的等级保护测评人员资质。其中必须由高级资质人员在《等级保护测评报告》上签字。