(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。
第二十二条 第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
(一) 在中华人民共和国境内注册成立(港澳台地区除外);
(二) 由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三) 从事相关检测评估工作两年以上,无违法记录;
(四) 工作人员仅限于中国公民;
(五) 法人及主要业务、技术人员无犯罪记录;
(六) 使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(七) 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(八) 对国家安全、社会秩序、公共利益不构成威胁。
第二十三条 从事信息系统安全等级测评的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第四章 涉及国家秘密信息系统的分级保护管理
第二十四条 涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
非涉密信息系统不得处理国家秘密信息。
第二十五条 涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。
涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。
保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。
