江西等级保护测评机构，网络安全等级测评机构管理办法

第一章总则

第一条为加强对网络安全等级测评活动(以下简称“测评活动”)的管理，规范我省测评质量，提高测评服务水平，进一步推进网络安全等级保护工作，根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》、《关键信息基础设施安全保护条例》、《数据安全法》等有关规定，制定本意见。

第二条本意见适用于在江西省开展的所有网络安全等级评估活动的管理。

第三条江西省信息安全等级保护协调小组办公室(以下简称“江西安办”)负责对全省范围内开展的评估活动进行管理、监督、检查和指导。评估项目实施期间，应接受受测网络备案地公安机关的监督、检查和指导。

第二章评估活动的登记管理

第四条非现场测评机构在我省开展测评活动，应当于每年1月1日至31日在江西省等保监办书面申报，并提交《网络安全等级保护测评活动登记表》和机构认证证书复印件(复印件加盖单位公章)。省保办出具意见，向全省公布名单。未列入公布名单的，今年不得在我省开展评价活动。

第五条在我省开展测评活动前，项目应于测评活动实施前5个工作日在公安部“网络安全等级保护测评项目登记管理系统”(以下简称“项目登记管理系统”)中申报，并填写项目相关信息以备审核。未通过评审的，不得在全省开展评审活动，评审项目完成后不得进行补充备案。

第六条被中关村测评联盟通知进行整改的测评机构，整改期间不得在我省开展测评活动。

第三章评价活动的管理

第七条评估机构应当严格按照《网络安全等级保护基本要求》、《网络安全等级保护评估要求》、《网络安全等级保护评估流程指南》等相关技术标准，客观、公正、科学地进行评估，客观、准确地反映被评估对象的安全保护状况。

评估报告应当作出评估结论，分析网络安全形势、威胁、风险、影响、整改建议和风险控制措施，为网络运营和使用单位提供安全指导。

为三级以上网络提供等级评价服务，评价员人数不得少于4人，其中高级评价员和中级评价员各不少于1人。

第八条在开展评估活动前，所有参加现场评估活动的评估人员应携带以下项目备案材料到评估系统已备案的公安机关进行面对面审查，通过面对面审查的评估机构方可正式开展评估活动。审查时应当提交下列材料:

(一)等级评价项目基本情况表；

(2)鉴定人身份证原件及复印件；

(3)贴有上一年度年审合格标签的等级保护鉴定师证书原件和网络安全等级保护鉴定师证书复印件；

(四)被评估师面对面考核前三个月内的社会保险人身保险证明材料:

(5)《XX评估服务合同》(复印件)。具体情况下，可提供相关主管部门或被测试单位出具的评估委托委托书。

第九条鉴定人在现场鉴定活动中到达和离开现场时，应携带本人鉴定人证件，在被测单位标识前签名，并将所有签到照片交被测系统公安机关备案(提交方式另行通知)。用于鉴定的签到照片必须符合以下要求:

(a)鉴定人看起来清楚；

(2)鉴定人证书照片清晰；

(3)被测单位有明确标记(若被测单位无标记或敏感，不允许拍照，应在备注中说明)。

第十条测评机构在测评活动中发现重大安全事件、重大网络安全隐患、高危漏洞和重大网络安全威胁，应当及时向受测系统的公安机关备案。

第十一条评估机构出具评估报告后，应当在30日内主动将评估报告报送被评估单位和被评估系统公安机关备案。

第十二条评价机构应每季度向省保监办报送评价活动开展情况和评价项目成果数据。根据评估工作的开展，评估机构应于每年12月20日前编制并向省保监局提交本地区本年度网络安全状况分析报告。

第四章评价活动的监督检查

第十三条省级及其他保监局和各设区市保监局应根据监管要求，及时开展等级保护评价项目的监督检查(以下简称“监督检查”)。检查内容包括评价过程控制、评价记录描述、评价指标理解、评价过程跟踪、评价报告、评价质量控制、渗透测试和风险分析。

第十四条省保监局和设区市保监局开展监督检查时，可以聘请相关专家提供支持。检查方式包括查阅评价项目文件、组织专家组进行专项抽查、访谈、现场监督检查等。

第十五条评估机构应当积极配合评估活动的监督检查，如实提供完整的评估项目文件，包括被测系统研究表、评估方案、工作计划、现场手册记录、工具测试记录、质量评估记录、评估报告等。，涵盖评价活动的所有关键环节。

第十六条省等保监局和设区市等保监局每季度对评价活动进行监督检查。其中，三级体系评价活动的抽查比例不低于30%，抽查可采取以下方式:

(一)查阅评价委托书或合同、作业指导书、评价工作计划、评价记录、评价报告及其他相关文件；

(二)检查相关技术系统并查阅相关使用记录；

(三)实地采访评估机构、被评估单位的经营者及其他相关人员；

(四)组织专家对被评估单位的被测系统进行抽查，并与评估报告的内容进行比较；

(五)来自攻防演练、网络安全风险、网络安全事件。

第十七条省等保监局和设区市等保监局每半年至少开展一次现场监督检查评估活动。其中，三级体系评价活动的现场检查比例不低于50%，重点检查以下内容:

(一)评估机构的基本情况；

(二)鉴定人的行为规范；

(三)评估项目实施情况；

(4)服务评价；

(5)评估报告及相关数据文件的管理；

(六)其他需要监督检查的事项。

第十八条各省及其他保监办每年年底组织评价机构在全省开展评价活动，召开年度评价机构监督检查工作总结会议，通报本年度评价活动的开展情况。

第十九条经省保监办核实，评估机构评估过程或结果存在严重问题的，可要求评估机构免费重新开展评估服务。

第二十条评估机构违反本办法有关规定的，由省保监办约谈评估机构法定代表人和主要负责人，通报中关村评估联盟并责令限期整改；拒不整改或情况严重的，省安办应责令暂停在我省的评审活动，并在全省通报批评违规行为；对屡次违规或情节特别严重的，省等保办应书面通知全国等保办和中关村测评联盟；各设区市及其他保监办可对辖区内评估机构违规开展评估服务的情况进行梳理并上报省级保监办，同时参照本办法的管理办法对辖区内评估活动进行监督检查。

第二十一条测评机构及其测评人员在我省开展测评活动时，应当自觉遵守本办法的相关规定和网络安全等级测评测试测评机构的自律规范。违反本办法有关规定，给网络运营者造成严重危害和损失，构成犯罪的，由有关部门依照有关法律法规予以处理。

第二十二条任何单位和个人发现评估活动中有违法违规行为的，可以向省国家安全办举报和投诉。

第五章附则

第二十三条本意见由江西省等保办负责解释，自发布之日起施行。

附件:网络安全等级保护测评活动登记表

网络安全等级保护评估活动登记表。文件