2不得泄露信息系统信息。

3不得收受贿赂。

4不得暗示被测评单位，如果提供某种利益就可以修改测评结果。

5遵从被测评信息系统的机房管理制度。

6使用测评专用的电脑和工具，并由有资格的测评人员使用。

7不该看的不看，不该问的不问。

8不得将测评结果复制给非测评人员。

9不即时擅自评价测评结果。

5公安机关对测评机构和测评人员的监督管理

（1）定期检查

省级以上等保办每年对所推荐的测评机构进行检查，测评机构应提交《信息安全等级测机构检查表》。

（2）变更

测评机构的名称、法人等事项发生变化，或者其等级测评师有变动，测评机构应在三十日内向受理申请的省级以上等保办办理变更手续。

（3）申诉处理

测评机构应当严格遵循申诉、投诉及争议处理制度，妥善处理争议事件，及时采取纠正和改进措施。

（4）违规处理

测评机构、测评人员违法或年度检查未通过的，由省级以上等保办责令其限期整改；逾期不改正的，给予警告，直至取消测评机构的推荐证书或等级测评证书，并向社会公告；造成严重损害的，由相关部门依照有关法律、法规予以处理。

测评机构或测评人员违反《信息安全等级保护测评工作管理规范》的规定，给被测单位造成损失的，应当依法承担民事责任。

646如何规避测评风险

信息安全测评行业是一个极具挑战性的行业，整个测评流程不单单局限于技术层面，还涉及单位的管理层面，整个测评工作的生命周期内会出现各种各样的问题，如何管理和规避测评工作中的风险，成为测评工作是否取得成功的关键。

1常见风险

等级测评实施过程中，可能出现以下几方面的情况。

（1）验证测试影响系统正常运行

在现场测评时，需要对设备和系统进行一定的验证测试工作，部分测试内容需要上机查看一些信息，这就可能对系统的运行造成一定的影响，甚至存在误操作的可能。

（2）工具测试影响系统正常运行

在现场测评时，会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响，漏洞扫描测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。

（3）敏感信息泄露

泄露被测系统状态信息，如网络拓扑、ip地址、业务流程、安全机制、安全隐患和有关文档信息。

（4）测评工作进度风险

由于测评涉及范围广，测评进度的控制绝非易事，不仅取决公司的技术能力，服务水平，同时在很大程度上受到对范围控制是否有效、对测评投入（包括人员时间的投入和资金等的投入）是否足够等方面的影响。在实际实施过程中，并非所有用户对本次安全等级测评测评实施理解与认同，因此，在测评实施时，可能一味在测评进度计划时求快，甚或刻意追求某个具有特殊意义的日期作为测评里程碑，将对测评进度控制造成很大压力。当然，可能由于种种原因，如测评环境不具备、人员没有到位，测评工具问题等，造成测评进度拖延。

（5）测评工作中人力资源的风险

测评工作主要由不同岗位的测评人员对单位网路产品、安全产品、系统产品及管理进行的安全合规性检查活动。人力资源是测评实施过程中最为关键的资源。保证合适的人员以足够的精力参与到测评中来，是测评成功实施的基本保证。

（6）测评范围风险

合同中测评范围与实际实施过程中项目的结构规模有误而造成的。

（7）测评质量风险

由于在项目建设过程中未确立标准的质量考核体系以及对质量指标监控不严造成的。

（8）对测评认识不正确的风险

测评实施过程中，被测系统单位人员往往对测评本身不够重视，没有详尽地描述系统的基本安全状况，现场测评的访谈环节没有对测评人员的需求给予明确的解答，这样导致在测评过程中访谈和工具测试结果不吻合，使得测评结果不能反映系统存在的问题，甚至被测评单位不认可最后的测评报告。

（9）对实际环境不熟悉的风险

由于用户的网络环境及应用会由一定的差别，而且大部分网络应用是由软件开发商开发，不同的开发商所使用的开发工具、数据库、协议等都不相同，并且网络设备如交换机、路由器也不尽相同，这就对测评的实施提出了很高的要求，各类设备的配置不可能千篇一律，要按实际环境而调整。

2风险规避

风险规避，是指针对信息安全测评工作中可能出现的风险，对风险进行应对和规划，降低威胁的方法和行动。不论什么风险，最后都是降低消极风险，提高积极风险，才能使工作顺利有序进行。针对测评过程可以采取以下措施进行规避风险。

（1）制定测评计划书

充分考虑各种潜在因素，适当留有余地；任务分解详细度适中，便于考核；在执行过程中，强调测评按进度执行的重要性，在考虑任何问题时，都将保持进度作为先决条件；同时，合理利用赶工及快速跟进等方法，充分利用资源。

（2）制定质量管理计划

定义出项目各子系统需要满足的质量标准，对测评各阶段的输出文档、测评记录数据几方面进行控制，记录备案并以文件的形式下达，降低风险发生的概率。