• 首 页
  • 重点科研
  • 研究成果
  • 热点专题
  • 研究机构
  • 党群工作
  • 招纳贤士
  • 关于我们
    • 所在位置:首页 > 通知公告

    关于发布《工业信息安全测试评估机构管理办法(试行)》的通知

    时间:2019-01-23

    为贯彻落实《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》和《工业控制系统信息安全行动计划(2018-2020 年)》,推动工业信息安全产业发展联盟成员单位规范有序开展测试评估工作,联盟编制了《工业信息安全测试评估机构管理办法(试行)》,现予以发布,自发布之日起施行。

    特此通知。

                                                                                                                     工业信息安全产业发展联盟
                                                                                                                             2019年1月18日



    工业信息安全测试评估机构管理办法(试行)


    第一条   为促进工业信息安全健康快速发展,加强工业信息安全测试评估机构核心技术能力,提升我国工业信息安全保障水平,依据《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》和《工业控制系统信息安全行动计划(2018-2020年)》,推动联盟成员单位规范有序开展测试评估工作,制定本办法。
          第二条   本办法所指测试评估包括国家、地方、行业、联盟组织的面向各类工业控制系统、工业互联网及相关系统和产品开展的安全技术测试、系统评估、产品检测、能力比对测试等工作。
          第三条   测试评估机构负责开展第二条所述相关工作,根据机构规模、技术能力、服务水平等划分为三级。
          第四条   工业信息安全产业发展联盟(以下简称“联盟”)负责测试评估机构的认定、管理和监督。
          第五条   经联盟成员单位自主申报,联盟定期开展遴选、认定工作,对认定合格的机构颁发《工业信息安全测试评估机构等级证书》。
          第六条   申请单位应具备以下基本条件:
          (一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
          (二)成为工业信息安全产业发展联盟成员单位不少于3个月,自觉接受联盟监督和指导;
          (三)产权关系明晰,独立经营核算,5年内无违法违规记录,对国家安全、社会秩序、公共利益不构成威胁;
          (四)具有国家认定的网络安全测试评估机构相关资质;
          (五)从事工业信息安全相关工作2年以上,具备必要的工业互联网和工控安全测试评估能力;
          (六)法人、主要负责人、评估人员无犯罪记录;
          (七)具有固定的办公场所,配备工业信息安全相关测试工具、设备、环境等;
          (八)应具备有效的测试评估工作管理体系。
          第七条   满足基本条件及下述条件的申请单位可认定为三级测试评估机构。
         (一)具有不少于6名承担过工业信息安全测试评估工作的技术人员;
         (二)2年内从事工业互联网、工控安全测试评估相关项目数量不少于2个。
          第八条   满足基本条件及下述条件的申请单位可认定为二级测试评估机构。
         (一)成为联盟理事单位满1年或成员单位满2年;
         (二)具有不少于20名承担过工业信息安全测试评估工作的技术人员。2年内曾取得联盟认定的工业信息安全相关比赛前30名,或参加联盟组织的各类技术活动不少于30人次;
         (三)2年内向联盟备案工业互联网、工控安全测试评估相关项目数量不少于10个;
         (四)2年内工业信息安全相关测试评估技术工具、设备投入不少于100万元,具有工业信息安全仿真测试平台不少于2套。
         第九条   满足基本条件及下述条件的申请单位可认定为一级测试评估机构。
         (一)成为二级测试评估机构满2年;
         (二)具有不少于60名承担过工业信息安全测试评估工作的技术人员,且具备不少于15名精通工业信息安全测试评估技术的专职人员;
         (三)2年内向联盟备案工业互联网、工控安全测试评估相关项目数量不少于30个;
         (四)2年内工业信息安全相关测试评估技术工具、设备等投入不少于600万元,具有工业信息安全仿真测试平台不少于6套;
         (五)2年内取得联盟认定的工业信息安全相关比赛前10名名次不少于1次,或参加联盟组织的各类技术活动不少于50人次/年。
          第十条   参加联盟认定的工业信息安全测试评估相关活动,并获得优异成绩的,根据有关条件可直接授予三级测试评估机构资格。
          第十一条   下列事项发生变更时,测试评估机构应在变更后30个工作日内向联盟备案:
         (一)测试评估机构名称、地址和场所发生变化的;
         (二)测试评估机构法人、股权结构发生变更的;
         (三)其他重大事项发生变更的。
          第十二条   测试评估机构证书有效期2年,证书到期自动失效。
          第十三条   联盟定期组织专家对测试评估机构运行、项目开展、能力建设、人员水平等情况进行监督核查,对负责工业信息安全的主要技术人员进行能力验证。
          第十四条   联盟负责对测试评估机构进行监督。测试评估机构有下列情形之一的,联盟责令其限期整改;情形严重的,取消其测试评估等级证书。
         (一)未按照有关标准规范开展测试评估或未按规定出具工业信息安全测试评估报告的;
         (二)影响被测试评估企业系统或平台正常运行,危害被测试评估企业系统或平台安全的;
         (三)非授权占有、使用,未妥善保管测试评估相关资料及数据文件,造成被测试单位重要数据泄露的;
         (四)扰乱测试评估市场秩序,出现违法犯罪记录的;
         (五)限定被测试评估单位购买、使用指定安全产品和服务的;
         (六)其他违反工业互联网和工控安全测试评估管理相关规定的行为。
          第十五条   联盟接受任何单位和个人针对测试评估机构、人员违法违规行为的举报投诉。
          第十六   本办法由联盟负责解释。
          第十七条   本办法于发布之日起实施。