为贯彻落实《工业控制系统信息安全防护能力评估工作管理办法》,加强对工控安全防护能力评估机构的监督管理,规范工控安全防护能力评估工作,促进工业信息安全产业发展,全国工控安全防护能力评估工作组编制了《工业控制系统信息安全防护能力评估机构管理(暂行)办法》,现予以发布,自发布之日起施行。
特此公告。
全国工控安全防护能力评估工作组秘书处
2018年4月8日
第一章 总则
第一条 为规范工控安全防护能力评估机构管理,规范防护能力评估行为,根据《工业控制系统信息安全防护能力评估工作管理办法》等有关规定,制定本办法。
第二条 工控安全防护能力评估,是对工业企业控制系统规划、设计、建设、运行、维护等全生命周期各阶段开展安全防护能力综合评价。
第三条 评估机构,是指依据《工业控制系统信息安全防护能力评估工作管理办法》规定,具备规定的基本条件,经申报审核通过,在工业和信息化部指导和监督下,从事工控安全防护能力评估工作的机构。
第二章 管理职责
第四条 全国工控安全防护能力评估工作组(以下简称评估工作组)负责协调推进全国评估机构的工控安全防护能力评估工作,委托符合条件的第三方评估机构从事工控安全防护能力评估工作,管理评估机构及评估人员,并对评估过程和评估报告进行监督。
第五条 评估工作组秘书处负责评估机构的日常管理,承担与评估机构的沟通协调工作,组织开展评估机构的申报审核、变更审核和复审等工作,受理并组织处理评估相关投诉。
第三章 评估机构申请及审批
第六条 评估机构申报工作遵循“自愿、透明、择优”的原则,坚持成熟一批发展一批,建立一家巩固一家。评估工作组每3年向社会公开征集并推选一批评估机构。
第七条 申请成为工控安全防护能力评估机构(以下简称申请机构)应具备以下基本条件:
(一)具有独立的事业单位法人资格,从事工业控制系统信息安全相关工作两年以上,无违法记录;
(二)具有不少于25名工控安全防护能力评估专职人员,并通过评估工作组组织的工业信息安全专业技能考试;
(三)评估人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(四)具有工控安全防护能力评估所需的工具和设备;
(五)自觉接受评估工作组的监督和指导,对国家安全、社会秩序、公共利益不构成威胁;
(六)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等管理制度。
第八条 申请时,申请机构应向评估工作组提交以下材料:
(一)《工控安全防护能力评估机构申请表》;
(二)具备工业控制系统信息安全相关工作基础;
(三)应提交的其他材料。
评估工作组秘书处负责受理申请,对申请材料的完整性、合规性进行初审,对于材料不符合要求的,由申报机构补充完善。
第九条 评估工作组秘书处组织专家对通过初审的申请机构进行评审,视情况组织现场评审,形成专家评审结果。评估工作组依据专家评审意见及评分结果,结合评估工作实际需要,择优推选评估机构,并进行公示(公示期15天)。对于公示后无异议的机构,由评估工作组颁发《工控安全防护能力评估机构证书》(以下简称评估机构证书)。
第四章 评估机构变更及复审
第十条 下列事项发生变更时,评估机构应在变更后5个工作日内向评估工作组秘书处报告。评估工作组根据实际情况决定是否需要重新审核评估机构,并根据审核结果作出调整或撤销该评估机构的决定:
(一)评估机构名称、地址和场所发生变化的;
(二)评估机构法人、股权结构发生变更的;
(三)其他重大事项发生变更的。
第十一条 评估机构证书有效期为3年。评估机构应在证书期满前60天,向评估工作组申请复审。复审通过的评估机构应换发新证。不提出复审申请或复审未通过的,其评估机构证书到期自动失效。
第十二条 复审时,评估机构应向评估工作组提交以下材料:
(一)《工控安全防护能力评估机构复审表》;
(二)近3年开展工控安全防护能力评估工作情况总结;
(三)应提交的其他材料。
评估工作组秘书处负责受理复审申请,对申请材料的完整性、合规性进行审查,对于材料不符合要求的,由评估机构补充完善。
第十三条 评估工作组秘书处组织专家对通过材料审查的评估机构进行复审,视情况组织现场评审,形成复审结果。对于通过复审的评估机构,由评估工作组向评估机构换发新的评估机构证书;对于未通过复审的评估机构,评估工作组应督促其限期整改,未能按期完成整改并通过复审的取消其评估机构资格。
第五章 评估人员要求
第十四条 评估机构应及时组织相关人员参加评估工作组组织的评估人员专业考试。对于符合条件且考试合格的人员,经评估工作组审核通过后,由评估机构聘用其开展相关工作。
第十五条 评估人员的基本条件如下:
(一)通过评估工作组组织的专业考试;
(二)获得评估人员资格后每年至少参加1次工控安全防护能力评估工作或重新通过专业考试;
(三)拥有3年及以上从事企业信息化、自动化、信息安全等相关工作的经验,或具有相关领域3年工作经验的专业水平。
第十六条 评估人员须遵守相关的法律、法规和规章,按照所执业评估机构确定的工作程序和作业指导从事评估活动,对评估报告的真实性承担相应责任。
第十七条 评估人员不得同时在2个或2个以上评估机构执业。
第十八条 评估机构应加强对本机构评估人员的监督管理,定期组织开展安全保密教育和业务培训。评估人员离职前,评估机构应与其签订离职保密承诺书。
第六章 评估工作要求
第十九条 评估机构应建立并有效运行评估工作体系,完善评估监督和责任机制,以确保从事的工控安全防护能力评估活动符合《工业控制系统信息安全防护能力评估工作管理办法》和本办法的规定。
第二十条 评估机构须规范、公正、独立的开展评估工作,坚持咨询与评估分离原则,禁止评估机构为其利益相关方提供评估服务。评估机构应对其出具的评估报告负责,报告须全面、客观、真实反映被评估工业控制系统的安全防护能力水平。
第二十一条 评估机构应对评估活动全过程进行记录并妥善保存,记录应当真实、准确。
第二十二条 评估机构的工控安全防护能力评估活动全过程应接受评估工作组的监督、检查和指导。
第二十三条 评估机构应按照评估工作组要求定期报送评估工作开展情况,每年底报送年度工作总结。
第七章 监督与管理
第二十四条 评估工作组负责对评估机构的运营进行监管,依托国家工控安全防护能力评估工作管理平台公示评估机构和评估人员基本信息,对评估机构进行信用和能力综合评价,并进行动态管理。
第二十五条 评估工作组负责对评估机构的评估活动及评估报告进行检查,不定期委托评估专家委员会对评估机构的评估报告开展抽查和复核,经抽查和复核发现评估报告不符合规定的,应当要求评估机构限期改正或者重新评估,并在30日内提交评估材料。
第二十六条 评估工作组应组织每年对评估机构进行年审。年审时,评估机构应提交以下材料:
(一)《工控安全防护能力评估机构年审表》;
(二)年度评估工作总结;
(三)其他所需材料。
第二十七条 评估机构有下列情形之一的,评估工作组应责令其限期整改;情形严重的,予以通报。
(一)未按照有关标准规范开展评估或未按规定出具工控安全防护能力评估报告的;
(二)影响被评估工业控制系统正常运行,危害被评估工业控制系统安全的;
(三)非授权占有、使用,未妥善保管评估相关资料及数据文件的;
(四)分包或转包评估项目,以及扰乱评估市场秩序的;
(五)限定被评估单位购买、使用指定安全产品和服务的;
(六)评估人员未通过评估工作组组织的专业考试而从事评估活动的;
(七)未按本办法规定向评估工作组提交材料、报告情况或弄虚作假的;
(八)其他违反工控安全防护能力评估有关规定的行为。
第二十八条 评估机构有下列情形之一的,评估工作组撤销其评估机构证书,并向社会公告。被撤销证书的评估机构,5年内不得重新申请。
(一)因单位股权、人员等情况发生变动,不符合评估机构基本条件的;
(二)故意泄露被评估单位工作秘密、重要工业控制系统数据信息的;
(三)故意隐瞒评估过程和发现的安全问题,或者在评估过程中弄虚作假未如实出具评估报告的;
(四)一年内未开展工控安全防护能力评估工作或自愿退出工控安全防护能力评估机构的;
(五)年审不合格且未通过复审的;
(六)违反本办法第二十九条规定,情节特别严重的。
第二十九条 评估人员有以下行为之一的,评估工作组应责令评估机构督促其限期整改;情节严重的,责令评估机构暂停其参与评估工作;情形特别严重的,应取消评估人员资格,并对其所在评估机构进行通报。被取消资格的人员,5年内不得重新申请。
(一)未经允许擅自使用或泄露、出售评估工作中收集的数据信息、资料或工控系统安全防护能力评估报告的;
(二)评估行为失误或不当,影响工业控制系统安全或造成被评估单位利益损失的;
(三)其他违反工控安全防护能力评估有关规定的行为。
第三十条 评估机构及其评估人员违反本办法的相关规定,给被评估工业控制系统运营使用单位造成严重危害和损失的,由相关部门依照有关法律、法规予以处理。
第三十一条 任何单位和个人如发现评估机构、评估人员有违法、违规行为的,可向评估工作组举报、投诉。
第八章 附则
第三十二条 本办法由全国工控安全防护能力评估工作组负责解释。
第三十三条 本办法于发布之日起实施。
附件:
相关链接:工业和信息化部关于印发《工业控制系统信息安全防护能力评估工作管理办法》的通知