測評機構

等級測評工作，是指測評機構依據國家信息安全等級保護制度規定，按照有關管理規範和技術標準，對非涉及國家秘密信息系統安全等級保護狀況進行檢測評估的活動。

（一）在中華人民共和國境內註冊成立（港澳台地區除外）；

（二）由中國公民投資、中國法人投資或者國家投資的企事業單位（港澳台地區除外）；

（三）產權關係明晰，註冊資金100萬元以上；

（四）從事信息系統檢測評估相關工作兩年以上，無違法記錄；

（五）工作人員僅限於中華人民共和國境內的中國公民，且無犯罪記錄；

（六）具有滿足等級測評工作的專業技術人員和管理人員，測評技術人員不少於10人；

（七）具備必要的辦公環境、設備、設施，使用的技術裝備、設施應當符合《信息安全等級保護管理辦法》對信息安全產品的要求；

（八）具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度；

（九）對國家安全、社會秩序、公共利益不構成威脅;

（十）應當具備的其他條件。

申請成為等級測評機構的單位（以下簡稱“申請單位”）應當向省級以上等保辦申請。

國家信息安全等級保護工作協調小組辦公室負責受理隸屬國家信息安全職能部門和重點行業主管部門申請單位提出的申請。省級等保辦負責受理本省（區、直轄市）申請單位提出的申請。

申請單位申請時，等保辦應當告知測評機構的條件、從事的業務範圍以及禁止行為等內容，使申請單位清楚了解測評機構的責任和義務。

知悉有關規定並願意成為測評機構的申請單位，可以向省級以上等保辦提出書面申請，如實填寫《信息安全等級保護測評機構申請表》。

申請單位的人員應當如實填寫人員基本情況表，並承諾對信息的真實性和有效性負責。

省級以上等保辦對申請單位進行初審，初審通過的，應當告知申請單位到評估中心進行測評能力評估。

評估中心按照有關標準規範，在30個工作日內完成對申請單位的材料審查和現場核查工作。

測評人員參加由評估中心舉辦的專門培訓、考試並取得評估中心頒發的《等級測評師證書》（等級測評師分為初級、中級和高級）。等級測評人員需持等級測評師證上崗。

評估中心綜合評估申請單位的測評能力，測評能力評估合格的，出具評估報告。

省級以上等保辦組織專家對測評能力評估合格的申請單位及其測評人員進行審核。

通過審核的，由省級以上等保辦向申請單位頒發信息安全等級保護測評機構推薦證書，並向社會公布測評機構推薦目錄。

省級等保辦將測評機構推薦目錄報國家信息安全等級保護工作協調小組辦公室，國家信息安全等級保護工作協調小組辦公室匯總公布《全國信息安全等級保護測評機構推薦目錄》。

（一）影響被測評信息系統正常運行，危害被測評信息系統安全；

（二）泄露知悉的被測評單位及被測評信息系統的國家秘密和工作秘密；

（三）故意隱瞞測評過程中發現的安全問題，或者在測評過程中弄虛作假，未如實出具等級測評報告；

（四）未按規定格式出具等級測評報告；

（五）非授權占有、使用等級測評相關資料及數據檔案；

（六）分包或轉包等級測評項目；

（七）信息安全產品開發、銷售和信息系統安全集成；

（八）限定被測評單位購買、使用其指定的信息安全產品；

（九）其他可能影響測評客觀、公正和安全的活動。

測評機構除從事等級測評活動以外，還可以從事信息系統安全等級保護定級、等級保護安全建設整改、信息安全等級保護宣傳教育等工作的技術支持，以及風險評估、信息安全培訓、信息安全諮詢和信息安全工程監理等工作。

從事等級測評工作的機構及其人員應當遵守國家有關法律法規，依據國家有關技術標準和本規範的相關規定，開展客觀、公正、安全的測評服務，不得從事危害國家安全、社會秩序、公共利益以及被測單位利益的活動。

從事第二級信息系統等級測評工作的測評機構至少應具有6名以上等級測評師，其中中級測評師不少於2名；第三級（含）以上信息系統等級測評工作的測評機構至少應具有10名以上等級測評師，其中中級測評師不少於4名，高級測評師不少於2名。