信息系统安全等级保护--要求、资质、工具和收费
信息系统安全等级保护基本要求
引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;——GB/T CCCC-CCCC 信息安全技术信息系统安全等级保护实施指南。
本标准与GB17859-1999、GB/T20269-2006、GB/T20270-2006 、GB/T20271-2006 等标准共同构成了信息系统安全等级保护的相关配套标准。
其中GB17859-1999是基础性标准,本标准、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等是在GB17859-1999基础上的进一步细化和扩展。
本标准在GB17859-1999、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等技术类标准的基础上,根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的最低保护要求,即基本安全要求,基本安全要求包括基本技术要求和基本管理要求,本标准适用于指导不同安全保护等级信息系统的安全建设和监督管理。
信息系统安全等级保护基本要求1范围本标准规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导分等级的信息系统的安全建设和监督管理。
2规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
等保测评单项收费标准
等保测评单项收费标准一、引言。
等保测评是指信息系统安全等级保护测评,是国家对信息系统安全等级保护的一种管理手段。
为了规范等保测评工作,保障信息系统的安全性,制定了一系列的收费标准,以确保测评工作的质量和公平性。
二、等保测评单项收费标准。
1. 等保测评范围。
等保测评的范围包括网络安全等级保护测评、信息系统安全等级保护测评、信息系统安全等级保护备案等内容。
根据不同的等保测评范围,收费标准也会有所不同。
2. 收费标准。
(1)网络安全等级保护测评。
网络安全等级保护测评的收费标准主要包括测评申请费、测评费用、测评报告费等。
其中,测评费用根据被测评系统的规模和复杂程度而定,一般以每天/每人工作日为单位计费。
(2)信息系统安全等级保护测评。
信息系统安全等级保护测评的收费标准主要包括测评申请费、测评费用、测评报告费等。
测评费用的计费方式与网络安全等级保护测评相似,根据系统规模和复杂程度而定。
(3)信息系统安全等级保护备案。
信息系统安全等级保护备案的收费标准主要包括备案申请费、备案费用等。
备案费用一般按照系统规模和备案工作量计费。
3. 收费标准的制定原则。
等保测评单项收费标准的制定原则主要包括公平、合理、透明。
收费标准应当公开透明,不得存在任何隐性收费,确保测评工作的公平性和客观性。
4. 收费标准的执行。
等保测评单项收费标准的执行由相关主管部门负责监督,并建立相应的监督机制。
对于不符合收费标准的行为,将依法进行处罚。
5. 结语。
等保测评单项收费标准的制定和执行,对于规范测评工作、保障信息系统安全具有重要意义。
希望各相关单位能够严格执行收费标准,确保测评工作的质量和公平性,为信息系统安全保驾护航。
信息系统安全等级保护 介绍
信息系统安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作。
在中国,信息安全等级保护广义上涉及该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
信息系统安全等级保护分为多个级别,不同级别对应不同的保护要求和安全等级。
一般来说,信息系统受到破坏后,会对社会秩序和公共利益造成损害,或者对国家安全造成损害。
根据损害程度的不同,信息系统安全等级保护分为五级,其中第一级为指导保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。
对于不同级别的信息系统,其安全保护要求也不同。
例如,对于第二级(指导保护级)信息系统,一般适用于县级其些单位中的重要信息系统以及地市级以上国家机关、企事业单位内部一般的信息系统。
对于第三级(监督保护级)信息系统,一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
对于第四级(强制保护级)和第五级(专控保护级)信息系统,其安全保护要求更加严格,一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。
总之,信息系统安全等级保护是保障信息安全的重要措施之一,通过对信息和信息载体的分级别保护,可以有效地提高信息系统的安全性,防止信息泄露和被攻击。
信息系统安全等级保护基本要求(三级要求)资料
信息系统安全等级保护基本要求1 三级基本要求 (5)1.1 技术要求 (5)1.1.1 物理安全 (5)1.1.1.1 物理位置的选择(G3) (5)1.1.1.2 物理访问控制(G3) (5)1.1.1.3 防盗窃和防破坏(G3) (5)1.1.1.4 防雷击(G3) (6)1.1.1.5 防火(G3) (6)1.1.1.6 防水和防潮(G3) (6)1.1.1.7 防静电(G3) (6)1.1.1.8 温湿度控制(G3) (7)1.1.1.9 电力供应(A3) (7)1.1.1.10 电磁防护(S3) (7)1.1.2 网络安全 (7)1.1.2.1 结构安全(G3) (7)1.1.2.2 访问控制(G3) (8)1.1.2.3 安全审计(G3) (8)1.1.2.4 边界完整性检查(S3) (9)1.1.2.5 入侵防范(G3) (9)1.1.2.6 恶意代码防范(G3) (9)1.1.2.7 网络设备防护(G3) (9)1.1.3.1 身份鉴别(S3) (10)1.1.3.2 访问控制(S3) (11)1.1.3.3 安全审计(G3) (11)1.1.3.4 剩余信息保护(S3) (11)1.1.3.5 入侵防范(G3) (12)1.1.3.6 恶意代码防范(G3) (12)1.1.3.7 资源控制(A3) (12)1.1.4 应用安全 (13)1.1.4.1 身份鉴别(S3) (13)1.1.4.2 访问控制(S3) (13)1.1.4.3 安全审计(G3) (14)1.1.4.4 剩余信息保护(S3) (14)1.1.4.5 通信完整性(S3) (14)1.1.4.6 通信保密性(S3) (14)1.1.4.7 抗抵赖(G3) (14)1.1.4.8 软件容错(A3) (15)1.1.4.9 资源控制(A3) (15)1.1.5 数据安全及备份恢复 (15)1.1.5.1 数据完整性(S3) (15)1.1.5.2 数据保密性(S3) (16)1.1.5.3 备份和恢复(A3) (16)1.2.1 安全管理制度 (16)1.2.1.1 管理制度(G3) (16)1.2.1.2 制定和发布(G3) (17)1.2.1.3 评审和修订(G3) (17)1.2.2 安全管理机构 (17)1.2.2.1 岗位设置(G3) (17)1.2.2.2 人员配备(G3) (18)1.2.2.3 授权和审批(G3) (18)1.2.2.4 沟通和合作(G3) (18)1.2.2.5 审核和检查(G3) (19)1.2.3 人员安全管理 (19)1.2.3.1 人员录用(G3) (19)1.2.3.2 人员离岗(G3) (20)1.2.3.3 人员考核(G3) (20)1.2.3.4 安全意识教育和培训(G3) (20)1.2.3.5 外部人员访问管理(G3) (20)1.2.4 系统建设管理 (21)1.2.4.1 系统定级(G3) (21)1.2.4.2 安全方案设计(G3) (21)1.2.4.3 产品采购和使用(G3) (22)1.2.4.4 自行软件开发(G3) (22)1.2.4.5 外包软件开发(G3) (22)1.2.4.6 工程实施(G3) (23)1.2.4.7 测试验收(G3) (23)1.2.4.8 系统交付(G3) (23)1.2.4.9 系统备案(G3) (24)1.2.4.10 等级测评(G3) (24)1.2.4.11 安全服务商选择(G3) (24)1.2.5 系统运维管理 (24)1.2.5.1 环境管理(G3) (25)1.2.5.2 资产管理(G3) (25)1.2.5.3 介质管理(G3) (25)1.2.5.4 设备管理(G3) (26)1.2.5.5 监控管理和安全管理中心(G3) (27)1.2.5.6 网络安全管理(G3) (27)1.2.5.7 系统安全管理(G3) (28)1.2.5.8 恶意代码防范管理(G3) (28)1.2.5.9 密码管理(G3) (29)1.2.5.10 变更管理(G3) (29)1.2.5.11 备份与恢复管理(G3) (29)1.2.5.12 安全事件处置(G3) (30)1.2.5.13 应急预案管理(G3) (30)第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
信息系统安全等级保护--要求、资质、工具和收费
3、测评工具-必须配置测试工具
(一)漏洞扫描探测工具。
1.网络安全漏洞扫描系统。 2.数据库安全扫描系统。
3、测评工具-安全测试工具
包括脆弱性扫描工具、渗透性测试工具和静态分析工具。
脆弱性扫描工具又称为安全扫描器或漏洞扫描仪,是目前应用比较广泛的测评工具之一, 主要用于识别网络、操作系统、数据库系统的脆弱性。通常情况下,这些工具能够发现 软件和硬件中已知的弱点,以决定系统是否易受已知攻击的影响。目前常见的脆弱性扫 描工具有以下几种类型: 1)基于网络的扫描器:在网络中运行,能够检测如防火墙的错误配置或连接到网络上 的易受攻击的网络服务器的关键漏洞; 2)基于主机的扫描器:发现主机的操作系统、特殊服务和配置的细节,发现潜在的用 户行为风险,如密码强度不够,也可实施对文件系统的检查; 3)分布式网络扫描器:由远程扫描代理、对这些代理的即插即用更新机制、中心管理 点三部分构成,用于分布式网络的脆弱性扫描; 4)数据库脆弱性扫描器:对数据库的授权、认证和完整性进行详细的分析,也可以识 别数据库系统中潜在的弱点。
(一)《信息安全等级保护测评机构申请书》; (二)当地公安网安部门的推荐意见; (三)营业执照及其他注册证明文件; (四)《内设组织机构与岗位设置情况表》; (五)《工作人员基本情况表》、证明材料和声明; (六)《办公场地、设备与设施情况表》; (七)《安全测评设备、工具配备情况表》; (八)信息系统安全测评能力报告; (九)保密管理、项目管理、质量管理、人员管理和培训教育等相关管理文件; (十)需要提供的其他材料。
信息系统安全等级保护及二级、三级审核内容和相关制度
《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为以下五级,一至五级等级逐级增高:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
中华人民共和国计算机信息系统安全保护条例(1994年国务院147号令)(“第九条计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”)计算机信息系统安全保护等级划分准则(GB 17859-1999)(“第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级”)国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)关于信息安全等级保护工作的实施意见(公通字[2004]66号)信息安全等级保护管理办法(公通字[2007]43号)关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)中华人民共和国网络安全法(2017年6月1日发布)十大重要标准计算机信息系统安全等级保护划分准则(GB 17859-1999)(基础类标准)信息系统安全等级保护实施指南(GB/T 25058-2010)(基础类标准)信息系统安全保护等级定级指南(GB/T 22240-2008)(应用类定级标准)信息系统安全等级保护基本要求(GB/T 22239-2008)(应用类建设标准)信息系统通用安全技术要求(GB/T 20271-2006)(应用类建设标准)信息系统等级保护安全设计技术要求(GB/T 25070-2010)(应用类建设标准)信息系统安全等级保护测评要求(GB/T 28448-2012)(应用类测评标准)信息系统安全等级保护测评过程指南(GB/T 28449-2012)(应用类测评标准)信息系统安全管理要求(GB/T 20269-2006)(应用类管理标准)信息系统安全工程管理要求(GB/T 20282-2006)(应用类管理标准)其它相关标准GB/T 21052-2007 信息安全技术信息系统物理安全技术要求GB/T 20270-2006 信息安全技术网络基础安全技术要求GB/T 20271-2006 信息安全技术信息系统通用安全技术要求GB/T 20272-2006 信息安全技术操作系统安全技术要求GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求GB/T 20984-2007 信息安全技术信息安全风险评估规范GB/T 20985-2007 信息安全技术信息安全事件管理指南GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南GB/T 20988-2007 信息安全技术信息系统灾难恢复规范信息系统安全等级保护三、二级评测内容等级保护自上而下分别为:类、控制点和项。
信息系统安全等保相关知识
1.专用木马检查工具。 2.进程查看与分析工具。
suansin@
3、测评工具-选用配置测试工具
(一)漏洞扫描探测工具。 应用安全漏洞扫描工具。 (二)软件代码安全分析类。 软件代码安全分析工具。 (三)安全攻击仿真工具 (四)网络协议分析工具 (五)系统性能压力测试工具
suansin@
1、测评机构要求-业务范围
地方测评机构在本地开展测评业务,行业测评机构在行
业内开展测评业务。行业测评机构在地方开展测评业务前,应与本地 等级保护协调(领导)小组办公室协调;
承担有关部门委托的安全测评专项任务; 配合当地公安网安部门对信息系统进行监督、检查; 开展风险评估、信息安全培训、咨询服务和信息安全工程监理; 为当地信息安全等级保护工作提供技术支持和服务; 其他有关文件规定的职责任务。
内容
1 2 3
4
要求 资质 工具 等级测评管理工具
suansin@
4、等级测评管理工具
等级测评管理工具是一套集成了等级测评各类知识和判据的管理信息系
统,用以规范等级测评的过程和操作方法;或者是用于收集测评所需要的数据 和资料,并根据测评知识库和推理专家知识库辅助测评人员进行测评结果判断。 等级测评管理系统工具可以对信息系统、制度和人员等进行全面的安全性证据 获取,并提供多种自动化的测试手段,测评人员通过接入客户的信息系统对目 标网络进行信息调查,获取大量全面的系统安全性数据,同时测评人员在工具 的引导下,手工输入非工具自动收集的证据数据,在知识库的辅助分析下,综 合得出系统的安全现状和保护等级的符合度,并以多种格式的测评报告形式输 出测评结果。
suansin@
1、测评机构要求-设施与设备
信息系统安全等级保护测评服务内容及要求
信息系统安全等级保护测评服务内容及要求一、供应商资格:1.供应商应具备《政府采购法》第二十二条规定的条件;1)具有独立承担民事责任的能力;2)具有良好的商业信誉和健全的财务会计制度;3)具有履行合同所必需的设备和专业技术能力;4)有依法缴纳税收和社会保障资金的良好记录;5)参加政府采购活动前三年内,在经营活动中没有重大违法记录;6)法律、行政法规规定的其他条件。
2.投标人要求为国内独立的事业法人的独立企业法人,并且股权结构中不能有任何外资成份。
3.具有网络安全等级保护测评机构推荐证书。
4.具有中国合格评定国家认可委员会颁发的CNAS证书。
5.具有广东省电子政务服务能力等级证书。
6.具有中国通信行业协会颁发的通信网络安全服务能力评定证书(应急响应一级)7.具有中鉴认证有限责任公司颁发的质量管理体系认证证书(ISO9001)。
8.中国通信行业协会颁发的通信网络安全服务能力评定证书(风险评估二级)。
9.本项目不接受联合体投标。
二、项目服务内容及要求1.采购项目需求一览表:序号服务类型被测评系统级别1 等级保护测评服务存量房网上签约系统二级2 等级保护测评服务金融部门网上受理系统(签约银行登录)二级3 等级保护测评服务商品房明码标价备案系统二级4 等级保护测评服务珠海不动产微信服务号系统二级2.基本要求:2.1 项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神,响应国家的要求,珠海市不动产登记中心于2018年全面启动本单位的信息安全等级保护工作。
按照同时根据珠海市不动产登记中心的信息系统安全等级保护工作安排,现需开展信息系统安全等级保护测评等工作,并邀请具备国家或省公安厅颁发等级保护测评资质的公司对珠海市不动产登记中心的信息系统提供等级保护测评服务。
2.2项目目标2.2.1等级保护测评服务。
根据《GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南》等标准,及各个信息系统保护等级需求,协助采购人对现有的信息系统进行等级保护备案,编写信息系统定级备案表和信息系统定级报告,并协助向公安局提交定级备案材料,取得信息系统定级备案证明。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
管理系统。
2 、等级测评机构应具备满足等级测评工作需要的工具,
如漏洞扫描器、协议分析仪、性能测试仪和渗透测试工具 等。
3 、等级测评机构应具备符合相关要求的机房以及必要的
软、硬件设备,用于满足信息系统仿真、技术培训和模拟 测试的需要。
内容
1 2 3 4 5
2、测评机构资质-注册资金,营业执照
2、测评机构资质-测评机构能力评估报告
2、测评机构资质-测评机构能力评估合格证书
2、测评机构资质-测评机构推荐证书
2、测评机构资质-测评机构推荐证书
2、测评机构资质-测评人员认证证书
2、测评机构资质-测评机构ISO9000证书
2、测评机构资质-测评机构计量认证证书
1、测评机构要求-业务范围
地方测评机构在本地开展测评业务,行业测评机构在行
业内开展测评业务。行业测评机构在地方开展测评业务前,应与本地 等级保护协调(领导)小组办公室协调;
承担有关部门委托的安全测评专项任务; 配合当地公安网安部门对信息系统进行监督、检查; 开展风险评估、信息安全培训、咨询服务和信息安全工程监理; 为当地信息安全等级保护工作提供技术支持和服务; 其他有关文件规定的职责任务。
1、测评机构要求-禁止开展的活动
承担信息系统安全建设整改工作; 将等级测评任务分包、外包; 信息安全产品开发、营销和信息系统集成活动; 限定被测评单位购买、使用其指定的信息安全产品; 未经许可占有、使用有关测评信息、资料及数据文件; 其他可能影响测评客观、公正的活动。
1、测评机构要求-设施与设备
(如操作系统、数据库系统、网络设备等)的弱点进行分析,或实施基 于弱点的攻击。此类工具又可进一步细分为脆弱性扫描工具、渗透测试 工具和静态分析工具;
2)等级测评辅助工具:主要实现对数据的采集、现状分析和趋
势分析等单项功能;
3)等级测评管理工具:主要用于规范等级测评的过程和操作方
法;或者是用于收集测评所需要的数据和资料,并根据测评知识库和推 理专家知识库辅助测评人员进行测评结果判断。
等级测评活动是确保信息安全等级保护工作的关键环节,通过测评 能够了解系统的安全现状与等级保护要求之间的差距,明确安全整 改的目标与方向。工具测试作为一种高灵活性的辅助测试手段,在 测评活动中发挥着重要作用。
3、测评工具-分类
根据在等级测评过程中任务的不同,等级测评工具可以分成如下三大类:
1)等级测评安全测试工具:主要用于对信息系统的主要部件
2、测评机构资质-测评机构税务登记证
2、测评机构资质1 2 3 4 5
要求 资质 工具 收费 等级测评管理工具
3、测评工具
等级测评最主要的手段是访谈,因此主观因素的干扰不可避免。自 动化、规范化的等级测评工具必不可少。优秀的测评工具应能够清 晰的梳理测评流程;合理分配测评项目到各个专业技术团队;通过 丰富的测评知识库有效降低等级测评难度,提高等级测评效率;测 评案例的模板化(如:门户网站、数据库等);对测评结果自动进行 分析,提取出不符合项,进行风险分析;安全趋势分析(对历年的自 查与等级测评结果进行关联分析)。
当前比较流行的扫描工具有:天镜脆弱性扫描与管理系统、绿盟极光远程安全评估系统、 明鉴数据库/WEB应用弱点扫描器、ISS Internet Scanner、Appscan、Nessus 等。
中国公民,且无犯罪记录;
(六)具有胜任等级测评工作的专业技术人员和管理人员,大
学本科(含)以上学历所占比例不低于80%。其中测评技术人员不少 于10人;
(七)具备必要的办公环境、设备、设施及完备的安全管理制
度;
(八)对国家安全、社会秩序、公共利益不构成威胁; (九)应当具备的其他条件。
1、测评机构要求-申请材料
3、测评工具-安全测试工具
包括脆弱性扫描工具、渗透性测试工具和静态分析工具。
脆弱性扫描工具又称为安全扫描器或漏洞扫描仪,是目前应用比较广泛的测评工具之一, 主要用于识别网络、操作系统、数据库系统的脆弱性。通常情况下,这些工具能够发现 软件和硬件中已知的弱点,以决定系统是否易受已知攻击的影响。目前常见的脆弱性扫 描工具有以下几种类型: 1)基于网络的扫描器:在网络中运行,能够检测如防火墙的错误配置或连接到网络上 的易受攻击的网络服务器的关键漏洞; 2)基于主机的扫描器:发现主机的操作系统、特殊服务和配置的细节,发现潜在的用 户行为风险,如密码强度不够,也可实施对文件系统的检查; 3)分布式网络扫描器:由远程扫描代理、对这些代理的即插即用更新机制、中心管理 点三部分构成,用于分布式网络的脆弱性扫描; 4)数据库脆弱性扫描器:对数据库的授权、认证和完整性进行详细的分析,也可以识 别数据库系统中潜在的弱点。
信息系统安全等级保护 要求、资质、工具和收费
内容
1 2 3 4 5
要求 资质 工具 收费 等级测评管理工具
1、测评机构要求-基本条件
(一)在中华人民共和国境内注册成立(港澳台地区除外); (二)由中国公民投资、中国法人投资或者国家投资的企事业
单位(港澳台地区除外);
(三)产权关系明晰,注册资金100万元以上; (四)从事信息系统检测评估相关工作两年以上; (五)单位法人及主要工作人员仅限于中华人民共和国境内的
要求 资质 工具 收费 等级测评管理工具
2、测评机构资质
(1)注册资金最好在1000万元,营业执照。 (2)测评机构能力评估报告。 (3)测评机构能力评估合格证书。 (4)测评机构推荐证书。 (5)测评机构ISO9000质量管理体系证书。 (6)测评机构计量认证证书。 (7)测评机构税务登记证。 (8)测评机构组织机构代码证。
(一)《信息安全等级保护测评机构申请书》; (二)当地公安网安部门的推荐意见; (三)营业执照及其他注册证明文件; (四)《内设组织机构与岗位设置情况表》; (五)《工作人员基本情况表》、证明材料和声明; (六)《办公场地、设备与设施情况表》; (七)《安全测评设备、工具配备情况表》; (八)信息系统安全测评能力报告; (九)保密管理、项目管理、质量管理、人员管理和培训教育等相关管理文件; (十)需要提供的其他材料。