测评机构

是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。

等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

（一）在中华人民共和国境内注册成立（港澳台地区除外）；

（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；

（三）产权关系明晰，注册资金100万元以上；

（四）从事信息系统检测评估相关工作两年以上，无违法记录；

（五）工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；

（六）具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人；

（七）具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求；

（八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；

（九）对国家安全、社会秩序、公共利益不构成威胁;

（十）应当具备的其他条件。

申请成为等级测评机构的单位（以下简称“申请单位”）应当向省级以上等保办申请。

国家信息安全等级保护工作协调小组办公室负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请。省级等保办负责受理本省（区、直辖市）申请单位提出的申请。

申请单位申请时，等保办应当告知测评机构的条件、从事的业务范围以及禁止行为等内容，使申请单位清楚了解测评机构的责任和义务。

知悉有关规定并愿意成为测评机构的申请单位，可以向省级以上等保办提出书面申请，如实填写《信息安全等级保护测评机构申请表》。

申请单位的人员应当如实填写人员基本情况表，并承诺对信息的真实性和有效性负责。

省级以上等保办对申请单位进行初审，初审通过的，应当告知申请单位到评估中心进行测评能力评估。

评估中心按照有关标准规范，在30个工作日内完成对申请单位的材料审查和现场核查工作。

测评人员参加由评估中心举办的专门培训、考试并取得评估中心颁发的《等级测评师证书》（等级测评师分为初级、中级和高级）。等级测评人员需持等级测评师证上岗。

评估中心综合评估申请单位的测评能力，测评能力评估合格的，出具评估报告。

省级以上等保办组织专家对测评能力评估合格的申请单位及其测评人员进行审核。

通过审核的，由省级以上等保办向申请单位颁发信息安全等级保护测评机构推荐证书，并向社会公布测评机构推荐目录。

省级等保办将测评机构推荐目录报国家信息安全等级保护工作协调小组办公室，国家信息安全等级保护工作协调小组办公室汇总公布《全国信息安全等级保护测评机构推荐目录》。

（一）影响被测评信息系统正常运行，危害被测评信息系统安全；

（二）泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密；

（三）故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假，未如实出具等级测评报告；

（四）未按规定格式出具等级测评报告；

（五）非授权占有、使用等级测评相关资料及数据文件；

（六）分包或转包等级测评项目；

（七）信息安全产品开发、销售和信息系统安全集成；

（八）限定被测评单位购买、使用其指定的信息安全产品；

（九）其他可能影响测评客观、公正和安全的活动。

测评机构除从事等级测评活动以外，还可以从事信息系统安全等级保护定级、等级保护安全建设整改、信息安全等级保护宣传教育等工作的技术支持，以及风险评估、信息安全培训、信息安全咨询和信息安全工程监理等工作。

从事等级测评工作的机构及其人员应当遵守国家有关法律法规，依据国家有关技术标准和本规范的相关规定，开展客观、公正、安全的测评服务，不得从事危害国家安全、社会秩序、公共利益以及被测单位利益的活动。

从事第二级信息系统等级测评工作的测评机构至少应具有6名以上等级测评师，其中中级测评师不少于2名；第三级（含）以上信息系统等级测评工作的测评机构至少应具有10名以上等级测评师，其中中级测评师不少于4名，高级测评师不少于2名。