关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知.pdfVIP

关于推动信息安全等级保护测评体系建设

和开展等级测评工作的通知

信安[2010]303号

各省、自治区、直辖市安厅、局网络安全保卫（共信息

网络安全监察、网络警察）总队（处）、新疆生产建设兵团

安局共信息网络安全监察处：

为进一步贯彻落实公安部《关于开展信息安全等级保护

安全建设整改工作的指导意见》（信安[2009]1429号）精神，

加快信息安全等级保护测评体系建设，提高测评机构能力，

规范测评活动，确保信息安全等级保护安全建设整改工作顺

利进行，满足信息安全等级保护工作的迫切需要，我局决定

在全国部署开展信息安全等级保护测评体系建设和等级测

评工作。现将有关事项通知如下：

一、工作目标

（一）通过广泛宣传和正确引导，鼓励更多的有关企事

业单位从事信息安全等级保护测评工作，满足信息安全等级

保护测评工作的迫切需要。

（二）通过对测评机构进行统一的能力评估和严格审

核，保证测评机构的水平和能力达到有关标准规范要求。

（三）加强对测评机构的安全监督，规范其测评活动，

保证为备案单位提供客观、正和安全的测评服务。

（四）督促备案单位开展等级测评工作，为开展等级保

护安全建设整改工作奠定基础，使信息系统安全保护状况逐

步达到等级保护要求。

二、工作内容

各地要按照《关于开展信息安全等级保护安全建设整改

工作的指导意见》要求，结合本地实际组织开展以下工作：

（一）统筹规划，正确引导，积极稳妥地推动等级测评

机构建设。结合本地已定级备案信息系统数量和分布情况，

从满足等级测评工作的实际需要出发，统筹规划、合理布局

测评机构的规模和数量，积极引导本地符合规定条件、有良

信誉的企事业单位从事等级测评工作，按照成熟一个发展

一个的原则，有计划、积极稳妥地推动测评机构建设。

（二）规范流程，严格把，确保测评机构的水平和能

力符合测评工作要求。依据《信息安全等级保护测评工作管

理规范（试行）》（见附件一），对申请成为测评机构的单位

严格把关，按照申请受理、测评能力评估、审核、推荐的流

程，认真开展测评机构评审和推荐工作。同时，要加强对等

级测评机构的监督管理和指导，确保测评机构的水平和能力

符合要求以及测评活动客观、正和安全。

（三）督促备案单位开展信息系统等级测评工作，确保

安全建设整改工作的顺利开展。督促信息系统备案单位尽快

委托测评机构开展等级测评，2010年底前完成测评体系建

-2-

设，并完成30%第三级（含）以上信息系统的测评工作，2011

年底前完成第三级（含）以上信息系统的测评工作，2012年

底之前完成第三级（含）以上信息系统的安全建设整改工作。

三、工作要求

（一）高度重视，落实责任。要充分认识开展等级测评

体系建设和等级测评工作的重要性，加强组织领导，落实责

任。确定主管领导，落实专门管理人员，负责受理申请、审

核、监督管理以及其他日常对测评机构、测评人员的管理工

作。

（二）制定计划，加强监督。要尽快确定本地等级测评

体系建设和测评工作的计划，制定贯彻实施意见和方案。要

督促、检查本地测评机构依据有关标准开展等级测评活动，

按照《信息系统安全等级测评报告模版（试行）》（信安

[2009]1487号）编制测评报告。

（三）加强指导，积极宣传。要加强对本地备案单位和

测评机构等级测评工作的指导，指导测评机构对测评人员开

展教育培训，不断提高测评人员的安全意识和业务能力。要

充分利用会议、网站和其他媒体，加大对等级测评工作有关

政策和相关标准的宣传力度，推动等级测评工作的顺利开

展。

各地开展等级保护测评体系建设和测评工作的情况要

及时上报。工作中有何问题，请及时报我局。

-3-

附：1、《信息安全等级保护测评工作管理规范（试行）》

2、信息安全等级保护测评体系建设常见问题解答

3、等级测评机构管理流程图

二〇一〇年三月十二日