宁夏网络安全等级保护测评活动管理办法

　　第一章 总则

　　第一条为深入贯彻落实国家网络安全等级保护制度，加强网络安全等级保护测评机构（以下简称“测评机构”）管理，规范网络安全等级保护测评活动（以下简称“测评活动”），提高网络安全等级测评能力和服务水平，切实提升全区网络安全保护能力，根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》、《宁夏回族自治区计算机信息系统安全保护条例》、国家等保办《网络安全等级保护测评机构管理办法》等有关法律法规、规定，制订本办法。

　　第二条等级保护测评工作，是指测评机构依据国家网络安全等级保护制度，按照有关管理规范和技术标准，对已定级备案的非涉及国家秘密的网络（含信息系统、数据资源等）的安全保护状况进行检测评估的活动。

　　本规范所称等级保护测评机构，是指依据国家网络安全等级保护制度规定，具备国家等保办《网络安全等级保护测评机构管理办法》要求的基本条件，由国家或省级网络安全等级保护工作领导（协调）小组办公室（以下简称“等保办”）审核推荐，通过公安部信息安全等级保护评估中心培训考核和能力评估，从事等级测评工作的机构。

　　第三条测评活动坚持实是求事、客观公正的原则，保证测评活动的独立性和测评结论的准确性。

　　第四条宁夏回族自治区行政区域内的网络（含信息系统、数据资源等）安全等级保护测评活动及其等级保护测评机构，适用本办法。

　　第二章 测评机构

　　第五条测评机构以提供网络安全等级测评服务为主，也可提供知识咨询、应急保障、攻防支持和风险评估等安全服务。

　　第六条测评机构应当具有省级等保办颁发的《网络安全等级保护测评机构推荐证书》，并公告在《中国网络安全等级保护网》的《全国网络安全等级保护测评机构推荐目录》中。

　　第七条测评机构至少应当具有15名以上初级、中级和高级等级测评师，其中高、中级等级测评师占40%。等级测评师上岗前，等级保护测评机构应当组织岗前培训。培训合格的，由等级保护测评机构配发上岗证，上岗证发放情况应于发放后5个工作日报自治区等保办。

　　第八条测评机构应当配备满足等级保护测评工作需要的测评设备和工具，包括3大类9种工具：

　　安全问题发现类（网络和主机的漏洞扫描、WEB安全检测、恶意行为检测、数据库管理系统安全检测）；

　　安全问题分析与定位类工具（网络协议分析、源代码安全审计）；

　　安全问题验证类工具（渗透测试和性能压力测试）。

　　所使用的设备和工具应当符合《信息安全等级保护管理办法》对信息安全产品的要求。

　　第九条测评机构应当制定保密管理、项目管理、质量管理、人员管理、培训教育等内容的制度管理体系，保证日常管理和等级测评活动的顺利进行。

　　第三章 登记报备

　　第十条等级保护测评机构的名称、地址、等级保护测评师、法人、主要负责人、经营范围、性质、股权结构、联系人等重要事项发生变更的，应当在5个工作日内向自治区等保办书面报告，并提交变更材料。其中法人、股权结构及其他重大事项变更需自治区等保办重新组织推荐审查出具审查意见。测评机构不得假借变更名义转让推荐证书。

　　第十一条网络安全等级保护测评机构推荐证书有效期为3年。等级保护测评机构应当在推荐证书期满前30日内，向自治区等保办提交复审材料，逾期不予受理。复审采取测评项目现场检查核验、被测评单位回访、材料审核及现场评估等四种形式，形成复审情况报国家等保办。

　　本年度因违规行为被自治区等保办书面通报整改的，延期3个月复审。延迟期不得开展任何测评活动。

　　第十二条等级保护测评项目完成后，被测评单位在30日内向受理网络备案的公安机关提交测评报告。

　　测评报告由测评机构按照国家等保办《网络安全等级测评报告模版》规定的格式编制，由测评项目负责人（中级测评师以上）作为第一编制人，技术主管（高级测评师）负责审核，机构法人或其授权人员签发或批准。等级保护测评报告加盖等级保护测评机构能力合格专用标识。

　　第十三条测评项目采取登记管理。测评机构在实施测评项目之前，须将测评项目信息及时、准确地填报到网络安全等级保护测评项目登记管理系统（以下简称“项目管理系统”）。

　　测评机构应于测评项目合同签订后或测评活动实施前5个工作日内，通过项目管理系统填报测评项目基本情况，不得于测评项目完成后进行补录。由于项目实施变更导致已登记信息与实际情况不符的，应及时修改并说明理由。

　　第十四条测评机构具有下列情形之一的，项目登记审核不予通过。

　　（一）处于暂停测评业务期间；

　　（二）因违规被通报后，未反馈整改情况的；

　　（三）其他不符合本办法规定情形的。

　　第十五条属于异地测评项目的，测评机构应从项目管理系统中生成测评项目基本情况表，并于测评项目实施前报送或传至被测评网络备案公安机关。首次来宁异地等级保护测评机构应当在开展业务前在自治区等保办书面报备，提交《网络安全等级保护测评机构登记表》、推荐证书副本（复印件加盖单位公章）等相关材料。

　　第十六条测评机构应每季度向等保办报送测评业务开展情况和测评数据。根据测评实践，测评机构每年底编制并向自治区等保办报送网络安全状况分析报告。

　　第四章 测评活动

　　第十七条全区各网络运营单位应当选择符合条件的等级保护测评机构，依法定期对网络开展等级测评。

　　第三级（含）以上网络每年至少进行一次等级保护测评。涉及生产、调度、管理等功能的第二级网络，应当至少每2年开展一次等级保护测评。

　　第十八条测评机构参照国家信息化工程建设项目人工计费标准，合理收取等级保护测评服务费用。网络运营单位属于财政预算拨款单位的，其安全等级保护测评费用纳入各级财政年度信息化运行维护经费。

　　第十九条被测评单位应当依据第六条、第七条、第八条、第二十四条的规定，在测评项目招投标、商谈时要对等级保护测评机构具备的条件进行查验，并核对《网络安全等级保护测评机构推荐证书》（副本）、《网络安全等级测评师证书》、《网络安全等级保护测评机构登记表》、《网络安全等级保护测评机构年度检查表》等文件。

　　第二十条被测评单位应当与等级保护测评机构签订测评项目合同、保密协议、现场测评授权书，以规范测评活动。

　　第二十一条等级保护测评项目启动后，等级保护测评机构必须保证足够的现场等级测评师，投入满足等级保护测评需要的检测设备和工具。

　　第三级（含）以上网络测评项目测评师人数不得少于4名，其中高级测评师、中级测评师应各不少于1名。

　　第二十二条等级保护测评机构要充分估计测评活动可能给被测评系统带来的影响，并事先告知被测评单位，协助其采取相应的预防措施，防范测评风险。

　　第二十三条网络安全等级保护测评活动包括测评准备、方案编制、现场测评、报告编制四个基本阶段。

　　测评准备阶段：测评机构通过调查访问，了解被测评单位的基本情况，以及整个网络的构成和保护情况，准备测试工具。

　　方案编制阶段：测评机构整理测评准备活动中获取的网络相关资料，根据《网络安全等级保护测评要求》（GB 28448-2019）、《网络安全等级保护测评过程指南》（GB 28449-2018）等国家标准及行业标准确定测评对象、测评指标及测评内容，形成测评方案和测评指导书，为现场测评活动提供指导。

　　现场测评阶段：测评机构按照测评指导书实施等级测评，并规范、准确、完整记录测评数据。现场测评主要包括单元测评和整体测评两部分。每个单元测评包括测评指标、测评实施和结果判定三个部分。整体测评主要包括安全控制点测评、安全控制点间测评、区域间测评。现场测评一般包括访谈、核查和测试三种测评方式。

　　报告编制阶段：等级保护测评机构在对现场测评获得的测评结果进行汇总、风险分析和评价的基础上，找出网络保护现状与等级保护基本要求之间的差距，形成等级保护测评结论，提出整改建议，并编制测评报告。

　　第二十四条电子政务工程建设项目在建设完成后，建设单位应当在网络试运行期间开展等级测评，测评合格后方可投入使用。

　　建设单位提出工程建设项目验收申请时应当向原审批部门提交《信息系统安全等级保护备案证明》、等级测评报告等材料。

　　第二十五条被测评网络运营单位应当根据测评报告提出的整改建议，对网络进行安全建设整改，并在完成整改后30日内，将整改方案和工作情况报送受理网络备案的公安机关。

　　第五章 监督管理

　　第二十六条自治区、各市等保办及各县（区）公安机关通过对辖区测评活动100%现场检查、测评报告抽检、等级保护测评师抽考等形式对测评活动实施过程、等级保护测评人员情况及各项管理制度落实情况进行日常监管。

　　第二十七条测评机构年度检查时间为每年12月份。本地测评机构向自治区等保办提交以下材料：

　　（一）网络安全等级保护测评机构年审表；

　　（二）网络安全等级保护测评机构推荐证书副本；

　　（三）年度等级保护测评工作总结；

　　（四）测评师年度注册表；

　　（五）其他所需材料。

　　自治区等保办采取材料审核、项目回访、测评项目质量抽检和现场检查等方式实施年审。测评机构存在未及时准确地填报测评项目信息的、测评师培训时长不足、未定期报送测评业务开展情况和测评数据、能力验证未通过且整改方案落实不到位以及其他有关情形的，年审不予通过。年审未通过的，等保办责令测评机构限期整改。拒不整改或整改不符合要求的，应暂停测评机构开展等级测评业务。年审通过的等保办在推荐证书副本上加盖等级保护专用章或等保办印章，发放测评师注册标识。

　　第二十八条自治区等保办根据工作需求，每季度至少召开1次等级保护测评机构联席工作会议，邀请在宁开展业务的测评机构参会。

　　第二十九条等级保护测评机构在宁有下列情形之一的，由自治区等保办责令限期改正；情形严重的，责令整改期间暂停测评业务，并予通报。

　　（一）未按照有关标准规范开展测评，或未按规定出具测评报告的；

　　（二）分包、转包、代理测评项目，或恶意竞争，扰乱测评工作正常开展的；

　　（三）擅自简化测评工作环节，或未按测评流程要求开展测评工作的；

　　（四）监督检查或抽查中发现问题突出的；

　　（五）影响被测评网络正常运行，或因测评不到位，未发现网络中存在相关漏洞隐患，导致被测评网络发生重大网络安全事件的；

　　（六）非授权占有、使用，以及未妥善保管等级测评相关资料及数据文件的；

　　（七）限定被测评单位购买、使用指定网络安全产品，或与产品和服务商存在利益勾结行为的；

　　（八）非本机构测评师或测评人员未取得等级测评师证书和上岗证从事等级测评活动的；

　　（九）未通过测评项目管理系统及时填报项目登记信息或未通过审核开展等级测评项目的；

　　（十）未按规定向自治区等保办和受理网络备案的公安机关提交材料或弄虚作假的；

　　（十一）开展网络安全建设整改工作的；

　　（十二）其他违反本规范有关规定行为的。

　　第三十条等级保护测评机构在宁有下列情形之一的，由自治区等保办取消其网络安全等级保护测评机构推荐证书，异地来宁测评机构通报推荐地等保办，并向社会公告，三年内不得再次申请。

　　（一）运营管理不规范，屡次被责令整改，严重影响测评服务质量的；

　　（二）因单位股权、人员等情况发生变动，不符合测评机构基本条件的；

　　（三）有网络安全产品开发、销售或系统安全集成等影响测评结果公正性行为；与产品提供商、服务商或被测评方存在利益勾结，扰乱测评业务正常开展的；

　　（四）泄露被测评单位工作秘密、重要数据信息的；

　　（五）隐瞒测评过程中发现的重大安全问题，或者在测评过程中弄虚作假未如实出具等级测评报告的；

　　（六）一年内未开展测评业务（被暂停开展测评业务的情况除外）或自愿放弃测评机构推荐资格的；

　　（七）连续两年年审未通过或未通过期满复审的；在整改期间从事等级保护测评活动或整改后仍未通过的；

　　（八）测评实施期间，导致被测评网络发生宕机等严重网络安全事件的；

　　（九）有第二十九条情形，造成特别严重后果或影响特别恶劣的；

　　（十）全年累计被责令整改2次或通报2次的；

　　（十一）其他违反法律法规或严重违反本办法规定情形的。

　　第三十一条测评师有下列行为之一的，等保办责令测评机构督促其限期改正；情节严重的，责令测评机构暂停其参与测评业务；情形特别严重的，应注销其测评师证书，责令其所在测评机构进行限期整改。

　　（一）未经允许擅自使用、泄露或出售等级测评活动中收集的数据信息、资料或测评报告的；

　　（二）违反本办法规定，有涂改、出借、出租和转让测评师证书、上岗证等行为的；

　　（三）测评行为失误或不当，严重影响网络安全或造成被测评单位利益重大损失的；

　　（四）其他违反本办法有关规定行为的。

　　第三十二条异地在宁测评机构实行“年度黑名单”失信监管机制。有下列行为之一的，自治区等保办将收回《网络安全等级保护测评机构登记表》，纳入在宁测评机构“黑名单”，一年内暂停在宁开展等级测评活动，同时将相关违规情形函至推荐地等保办。累计3次进入黑名单的测评机构，不得来宁开展测评活动。

　　（一）违反本《办法》第二十九条、三十条、三十一条相关规定的；

　　（二）年度监督检查评分低于70分（《测评机构监督检查评分表》满分100）。

　　第三十三条测评机构及其等级保护测评师违反相关规定，给被测评网络运营单位造成严重危害和损失的，构成违法犯罪的，依法追究法律责任。

　　第三十四条公安机关有关工作人员不得利用职权索贿、受贿，不得滥用职权干预测评活动。

　　第六章 附则

　　第三十五条本办法由宁夏网络安全等级保护工作领导小组办公室负责解释。

　　第三十六条本办法自发布之日起施行。

　　第三十七条自本办法实施之日起，《宁夏信息安全等级保护测评活动管理规范》(宁公通〔2017〕65号)予以废止。

　　附件：1.网络安全等级保护测评机构登记表

　　2.网络安全等级保护测评机构年审表

　　3.网络安全等级保护测评机构变更报告表

　　4.网络安全等级保护测评机构推荐期满复审申请表

　　5.网络安全等级保护测评机构推荐期满复审表

　　6.网络安全等级保护测评服务情况评价表

　　7.网络安全等级保护测评机构工作情况季度汇总表

　　8.测评机构监督检查评分表

　　9.承诺书

　　《宁夏网络安全等级保护测评活动管理办法》解读

　　http://gat.nx.gov.cn/info/1948/34243.htm