關(guān)于發(fā)布《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估機(jī)構(gòu)管理(暫行)辦法》的公告
時(shí)間:2018-04-08
為貫徹落實(shí)《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》,加強(qiáng)對(duì)工控安全防護(hù)能力評(píng)估機(jī)構(gòu)的監(jiān)督管理,規(guī)范工控安全防護(hù)能力評(píng)估工作,促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展,全國(guó)工控安全防護(hù)能力評(píng)估工作組編制了《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估機(jī)構(gòu)管理(暫行)辦法》,現(xiàn)予以發(fā)布,自發(fā)布之日起施行。
特此公告。
全國(guó)工控安全防護(hù)能力評(píng)估工作組秘書(shū)處
2018年4月8日
第一章 總則
第一條 為規(guī)范工控安全防護(hù)能力評(píng)估機(jī)構(gòu)管理,規(guī)范防護(hù)能力評(píng)估行為,根據(jù)《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》等有關(guān)規(guī)定,制定本辦法。
第二條 工控安全防護(hù)能力評(píng)估,是對(duì)工業(yè)企業(yè)控制系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)等全生命周期各階段開(kāi)展安全防護(hù)能力綜合評(píng)價(jià)。
第三條 評(píng)估機(jī)構(gòu),是指依據(jù)《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》規(guī)定,具備規(guī)定的基本條件,經(jīng)申報(bào)審核通過(guò),在工業(yè)和信息化部指導(dǎo)和監(jiān)督下,從事工控安全防護(hù)能力評(píng)估工作的機(jī)構(gòu)。
第二章 管理職責(zé)
第四條 全國(guó)工控安全防護(hù)能力評(píng)估工作組(以下簡(jiǎn)稱(chēng)評(píng)估工作組)負(fù)責(zé)協(xié)調(diào)推進(jìn)全國(guó)評(píng)估機(jī)構(gòu)的工控安全防護(hù)能力評(píng)估工作,委托符合條件的第三方評(píng)估機(jī)構(gòu)從事工控安全防護(hù)能力評(píng)估工作,管理評(píng)估機(jī)構(gòu)及評(píng)估人員,并對(duì)評(píng)估過(guò)程和評(píng)估報(bào)告進(jìn)行監(jiān)督。
第五條 評(píng)估工作組秘書(shū)處負(fù)責(zé)評(píng)估機(jī)構(gòu)的日常管理,承擔(dān)與評(píng)估機(jī)構(gòu)的溝通協(xié)調(diào)工作,組織開(kāi)展評(píng)估機(jī)構(gòu)的申報(bào)審核、變更審核和復(fù)審等工作,受理并組織處理評(píng)估相關(guān)投訴。
第三章 評(píng)估機(jī)構(gòu)申請(qǐng)及審批
第六條 評(píng)估機(jī)構(gòu)申報(bào)工作遵循“自愿、透明、擇優(yōu)”的原則,堅(jiān)持成熟一批發(fā)展一批,建立一家鞏固一家。評(píng)估工作組每3年向社會(huì)公開(kāi)征集并推選一批評(píng)估機(jī)構(gòu)。
第七條 申請(qǐng)成為工控安全防護(hù)能力評(píng)估機(jī)構(gòu)(以下簡(jiǎn)稱(chēng)申請(qǐng)機(jī)構(gòu))應(yīng)具備以下基本條件:
(一)具有獨(dú)立的事業(yè)單位法人資格,從事工業(yè)控制系統(tǒng)信息安全相關(guān)工作兩年以上,無(wú)違法記錄;
(二)具有不少于25名工控安全防護(hù)能力評(píng)估專(zhuān)職人員,并通過(guò)評(píng)估工作組組織的工業(yè)信息安全專(zhuān)業(yè)技能考試;
(三)評(píng)估人員僅限于中華人民共和國(guó)境內(nèi)的中國(guó)公民,且無(wú)犯罪記錄;
(四)具有工控安全防護(hù)能力評(píng)估所需的工具和設(shè)備;
(五)自覺(jué)接受評(píng)估工作組的監(jiān)督和指導(dǎo),對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成威脅;
(六)具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等管理制度。
第八條 申請(qǐng)時(shí),申請(qǐng)機(jī)構(gòu)應(yīng)向評(píng)估工作組提交以下材料:
(一)《工控安全防護(hù)能力評(píng)估機(jī)構(gòu)申請(qǐng)表》;
(二)具備工業(yè)控制系統(tǒng)信息安全相關(guān)工作基礎(chǔ);
(三)應(yīng)提交的其他材料。
評(píng)估工作組秘書(shū)處負(fù)責(zé)受理申請(qǐng),對(duì)申請(qǐng)材料的完整性、合規(guī)性進(jìn)行初審,對(duì)于材料不符合要求的,由申報(bào)機(jī)構(gòu)補(bǔ)充完善。
第九條 評(píng)估工作組秘書(shū)處組織專(zhuān)家對(duì)通過(guò)初審的申請(qǐng)機(jī)構(gòu)進(jìn)行評(píng)審,視情況組織現(xiàn)場(chǎng)評(píng)審,形成專(zhuān)家評(píng)審結(jié)果。評(píng)估工作組依據(jù)專(zhuān)家評(píng)審意見(jiàn)及評(píng)分結(jié)果,結(jié)合評(píng)估工作實(shí)際需要,擇優(yōu)推選評(píng)估機(jī)構(gòu),并進(jìn)行公示(公示期15天)。對(duì)于公示后無(wú)異議的機(jī)構(gòu),由評(píng)估工作組頒發(fā)《工控安全防護(hù)能力評(píng)估機(jī)構(gòu)證書(shū)》(以下簡(jiǎn)稱(chēng)評(píng)估機(jī)構(gòu)證書(shū))。
第四章 評(píng)估機(jī)構(gòu)變更及復(fù)審
第十條 下列事項(xiàng)發(fā)生變更時(shí),評(píng)估機(jī)構(gòu)應(yīng)在變更后5個(gè)工作日內(nèi)向評(píng)估工作組秘書(shū)處報(bào)告。評(píng)估工作組根據(jù)實(shí)際情況決定是否需要重新審核評(píng)估機(jī)構(gòu),并根據(jù)審核結(jié)果作出調(diào)整或撤銷(xiāo)該評(píng)估機(jī)構(gòu)的決定:
(一)評(píng)估機(jī)構(gòu)名稱(chēng)、地址和場(chǎng)所發(fā)生變化的;
(二)評(píng)估機(jī)構(gòu)法人、股權(quán)結(jié)構(gòu)發(fā)生變更的;
(三)其他重大事項(xiàng)發(fā)生變更的。
第十一條 評(píng)估機(jī)構(gòu)證書(shū)有效期為3年。評(píng)估機(jī)構(gòu)應(yīng)在證書(shū)期滿前60天,向評(píng)估工作組申請(qǐng)復(fù)審。復(fù)審?fù)ㄟ^(guò)的評(píng)估機(jī)構(gòu)應(yīng)換發(fā)新證。不提出復(fù)審申請(qǐng)或復(fù)審未通過(guò)的,其評(píng)估機(jī)構(gòu)證書(shū)到期自動(dòng)失效。
第十二條 復(fù)審時(shí),評(píng)估機(jī)構(gòu)應(yīng)向評(píng)估工作組提交以下材料:
(一)《工控安全防護(hù)能力評(píng)估機(jī)構(gòu)復(fù)審表》;
(二)近3年開(kāi)展工控安全防護(hù)能力評(píng)估工作情況總結(jié);
(三)應(yīng)提交的其他材料。
評(píng)估工作組秘書(shū)處負(fù)責(zé)受理復(fù)審申請(qǐng),對(duì)申請(qǐng)材料的完整性、合規(guī)性進(jìn)行審查,對(duì)于材料不符合要求的,由評(píng)估機(jī)構(gòu)補(bǔ)充完善。
第十三條 評(píng)估工作組秘書(shū)處組織專(zhuān)家對(duì)通過(guò)材料審查的評(píng)估機(jī)構(gòu)進(jìn)行復(fù)審,視情況組織現(xiàn)場(chǎng)評(píng)審,形成復(fù)審結(jié)果。對(duì)于通過(guò)復(fù)審的評(píng)估機(jī)構(gòu),由評(píng)估工作組向評(píng)估機(jī)構(gòu)換發(fā)新的評(píng)估機(jī)構(gòu)證書(shū);對(duì)于未通過(guò)復(fù)審的評(píng)估機(jī)構(gòu),評(píng)估工作組應(yīng)督促其限期整改,未能按期完成整改并通過(guò)復(fù)審的取消其評(píng)估機(jī)構(gòu)資格。
第五章 評(píng)估人員要求
第十四條 評(píng)估機(jī)構(gòu)應(yīng)及時(shí)組織相關(guān)人員參加評(píng)估工作組組織的評(píng)估人員專(zhuān)業(yè)考試。對(duì)于符合條件且考試合格的人員,經(jīng)評(píng)估工作組審核通過(guò)后,由評(píng)估機(jī)構(gòu)聘用其開(kāi)展相關(guān)工作。
第十五條 評(píng)估人員的基本條件如下:
(一)通過(guò)評(píng)估工作組組織的專(zhuān)業(yè)考試;
(二)獲得評(píng)估人員資格后每年至少參加1次工控安全防護(hù)能力評(píng)估工作或重新通過(guò)專(zhuān)業(yè)考試;
(三)擁有3年及以上從事企業(yè)信息化、自動(dòng)化、信息安全等相關(guān)工作的經(jīng)驗(yàn),或具有相關(guān)領(lǐng)域3年工作經(jīng)驗(yàn)的專(zhuān)業(yè)水平。
第十六條 評(píng)估人員須遵守相關(guān)的法律、法規(guī)和規(guī)章,按照所執(zhí)業(yè)評(píng)估機(jī)構(gòu)確定的工作程序和作業(yè)指導(dǎo)從事評(píng)估活動(dòng),對(duì)評(píng)估報(bào)告的真實(shí)性承擔(dān)相應(yīng)責(zé)任。
第十七條 評(píng)估人員不得同時(shí)在2個(gè)或2個(gè)以上評(píng)估機(jī)構(gòu)執(zhí)業(yè)。
第十八條 評(píng)估機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)本機(jī)構(gòu)評(píng)估人員的監(jiān)督管理,定期組織開(kāi)展安全保密教育和業(yè)務(wù)培訓(xùn)。評(píng)估人員離職前,評(píng)估機(jī)構(gòu)應(yīng)與其簽訂離職保密承諾書(shū)。
第六章 評(píng)估工作要求
第十九條 評(píng)估機(jī)構(gòu)應(yīng)建立并有效運(yùn)行評(píng)估工作體系,完善評(píng)估監(jiān)督和責(zé)任機(jī)制,以確保從事的工控安全防護(hù)能力評(píng)估活動(dòng)符合《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》和本辦法的規(guī)定。
第二十條 評(píng)估機(jī)構(gòu)須規(guī)范、公正、獨(dú)立的開(kāi)展評(píng)估工作,堅(jiān)持咨詢(xún)與評(píng)估分離原則,禁止評(píng)估機(jī)構(gòu)為其利益相關(guān)方提供評(píng)估服務(wù)。評(píng)估機(jī)構(gòu)應(yīng)對(duì)其出具的評(píng)估報(bào)告負(fù)責(zé),報(bào)告須全面、客觀、真實(shí)反映被評(píng)估工業(yè)控制系統(tǒng)的安全防護(hù)能力水平。
第二十一條 評(píng)估機(jī)構(gòu)應(yīng)對(duì)評(píng)估活動(dòng)全過(guò)程進(jìn)行記錄并妥善保存,記錄應(yīng)當(dāng)真實(shí)、準(zhǔn)確。
第二十二條 評(píng)估機(jī)構(gòu)的工控安全防護(hù)能力評(píng)估活動(dòng)全過(guò)程應(yīng)接受評(píng)估工作組的監(jiān)督、檢查和指導(dǎo)。
第二十三條 評(píng)估機(jī)構(gòu)應(yīng)按照評(píng)估工作組要求定期報(bào)送評(píng)估工作開(kāi)展情況,每年底報(bào)送年度工作總結(jié)。
第七章 監(jiān)督與管理
第二十四條 評(píng)估工作組負(fù)責(zé)對(duì)評(píng)估機(jī)構(gòu)的運(yùn)營(yíng)進(jìn)行監(jiān)管,依托國(guó)家工控安全防護(hù)能力評(píng)估工作管理平臺(tái)公示評(píng)估機(jī)構(gòu)和評(píng)估人員基本信息,對(duì)評(píng)估機(jī)構(gòu)進(jìn)行信用和能力綜合評(píng)價(jià),并進(jìn)行動(dòng)態(tài)管理。
第二十五條 評(píng)估工作組負(fù)責(zé)對(duì)評(píng)估機(jī)構(gòu)的評(píng)估活動(dòng)及評(píng)估報(bào)告進(jìn)行檢查,不定期委托評(píng)估專(zhuān)家委員會(huì)對(duì)評(píng)估機(jī)構(gòu)的評(píng)估報(bào)告開(kāi)展抽查和復(fù)核,經(jīng)抽查和復(fù)核發(fā)現(xiàn)評(píng)估報(bào)告不符合規(guī)定的,應(yīng)當(dāng)要求評(píng)估機(jī)構(gòu)限期改正或者重新評(píng)估,并在30日內(nèi)提交評(píng)估材料。
第二十六條 評(píng)估工作組應(yīng)組織每年對(duì)評(píng)估機(jī)構(gòu)進(jìn)行年審。年審時(shí),評(píng)估機(jī)構(gòu)應(yīng)提交以下材料:
(一)《工控安全防護(hù)能力評(píng)估機(jī)構(gòu)年審表》;
(二)年度評(píng)估工作總結(jié);
(三)其他所需材料。
第二十七條 評(píng)估機(jī)構(gòu)有下列情形之一的,評(píng)估工作組應(yīng)責(zé)令其限期整改;情形嚴(yán)重的,予以通報(bào)。
(一)未按照有關(guān)標(biāo)準(zhǔn)規(guī)范開(kāi)展評(píng)估或未按規(guī)定出具工控安全防護(hù)能力評(píng)估報(bào)告的;
(二)影響被評(píng)估工業(yè)控制系統(tǒng)正常運(yùn)行,危害被評(píng)估工業(yè)控制系統(tǒng)安全的;
(三)非授權(quán)占有、使用,未妥善保管評(píng)估相關(guān)資料及數(shù)據(jù)文件的;
(四)分包或轉(zhuǎn)包評(píng)估項(xiàng)目,以及擾亂評(píng)估市場(chǎng)秩序的;
(五)限定被評(píng)估單位購(gòu)買(mǎi)、使用指定安全產(chǎn)品和服務(wù)的;
(六)評(píng)估人員未通過(guò)評(píng)估工作組組織的專(zhuān)業(yè)考試而從事評(píng)估活動(dòng)的;
(七)未按本辦法規(guī)定向評(píng)估工作組提交材料、報(bào)告情況或弄虛作假的;
(八)其他違反工控安全防護(hù)能力評(píng)估有關(guān)規(guī)定的行為。
第二十八條 評(píng)估機(jī)構(gòu)有下列情形之一的,評(píng)估工作組撤銷(xiāo)其評(píng)估機(jī)構(gòu)證書(shū),并向社會(huì)公告。被撤銷(xiāo)證書(shū)的評(píng)估機(jī)構(gòu),5年內(nèi)不得重新申請(qǐng)。
(一)因單位股權(quán)、人員等情況發(fā)生變動(dòng),不符合評(píng)估機(jī)構(gòu)基本條件的;
(二)故意泄露被評(píng)估單位工作秘密、重要工業(yè)控制系統(tǒng)數(shù)據(jù)信息的;
(三)故意隱瞞評(píng)估過(guò)程和發(fā)現(xiàn)的安全問(wèn)題,或者在評(píng)估過(guò)程中弄虛作假未如實(shí)出具評(píng)估報(bào)告的;
(四)一年內(nèi)未開(kāi)展工控安全防護(hù)能力評(píng)估工作或自愿退出工控安全防護(hù)能力評(píng)估機(jī)構(gòu)的;
(五)年審不合格且未通過(guò)復(fù)審的;
(六)違反本辦法第二十九條規(guī)定,情節(jié)特別嚴(yán)重的。
第二十九條 評(píng)估人員有以下行為之一的,評(píng)估工作組應(yīng)責(zé)令評(píng)估機(jī)構(gòu)督促其限期整改;情節(jié)嚴(yán)重的,責(zé)令評(píng)估機(jī)構(gòu)暫停其參與評(píng)估工作;情形特別嚴(yán)重的,應(yīng)取消評(píng)估人員資格,并對(duì)其所在評(píng)估機(jī)構(gòu)進(jìn)行通報(bào)。被取消資格的人員,5年內(nèi)不得重新申請(qǐng)。
(一)未經(jīng)允許擅自使用或泄露、出售評(píng)估工作中收集的數(shù)據(jù)信息、資料或工控系統(tǒng)安全防護(hù)能力評(píng)估報(bào)告的;
(二)評(píng)估行為失誤或不當(dāng),影響工業(yè)控制系統(tǒng)安全或造成被評(píng)估單位利益損失的;
(三)其他違反工控安全防護(hù)能力評(píng)估有關(guān)規(guī)定的行為。
第三十條 評(píng)估機(jī)構(gòu)及其評(píng)估人員違反本辦法的相關(guān)規(guī)定,給被評(píng)估工業(yè)控制系統(tǒng)運(yùn)營(yíng)使用單位造成嚴(yán)重危害和損失的,由相關(guān)部門(mén)依照有關(guān)法律、法規(guī)予以處理。
第三十一條 任何單位和個(gè)人如發(fā)現(xiàn)評(píng)估機(jī)構(gòu)、評(píng)估人員有違法、違規(guī)行為的,可向評(píng)估工作組舉報(bào)、投訴。
第八章 附則
第三十二條 本辦法由全國(guó)工控安全防護(hù)能力評(píng)估工作組負(fù)責(zé)解釋。
第三十三條 本辦法于發(fā)布之日起實(shí)施。
附件:
1. 工控安全防護(hù)能力評(píng)估機(jī)構(gòu)申請(qǐng)表
2. 工控安全防護(hù)能力評(píng)估機(jī)構(gòu)復(fù)審表
3. 工控安全防護(hù)能力評(píng)估機(jī)構(gòu)年審表
相關(guān)鏈接:工業(yè)和信息化部關(guān)于印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》的通知