互聯網新技術新業務安全評估第三方服務自律公約

（2019年7月11日發布）

第一章　總　則

第一條  為規范互聯網新技術新業務安全評估（以下簡稱“安全評估”）第三方服務機構行為，遵照“鼓勵發展、示范引導、效果監督、信用評價”的原則，建立安全評估第三方服務自律機制，確保安全評估第三方服務專業、公正、中立、客觀，依法推動和保障電信和互聯網行業網絡和數據安全措施能力健全完善。

第二條  本公約所稱互聯網新技術新業務安全評估第三方服務是指受電信和互聯網業務經營者的委托，對其擬上線運營或在線經營的業務開展安全評估，識別發現其存在的安全風險，評價是否具備健全、完備、必要的安全保障措施能力，并有針對性的提出整改建議的安全咨詢服務活動。

第三條  根據《互聯網新技術新業務安全評估服務機構認定準則》（2017-0934T-YD）（以下簡稱《認定準則》）、《互聯網新技術新業務安全評估指南》（YD/T2016-3169），制定本公約。倡議安全評估第三方服務機構加入本公約，從維護國家安全、社會公益和公民個人權益的高度出發，積極推進行業自律，創造良好的行業發展環境。

第四條  中國互聯網協會作為本公約的執行機構，負責組織實施本公約。安全評估第三方服務機構簽署本公約后成為公約成員機構，受本公約約束，遵守執行本公約內容。

第二章　自律條款

第五條  安全評估第三方服務機構應參照《認定準則》，持續進行能力建設。機構應配備具有安全評估必要技能經驗的專業人員和工作團隊，滿足具備可靠可信評估技術能力和配套實驗環境的條件，具有完備的安全保密管理、項目管理、質量管理、人員管理、檔案管理和培訓教育等規章制度，依據有關法律法規和技術標準要求，嚴格嚴謹、客觀公正、獨立組織實施安全評估活動，出具安全評估報告，確保評估質量，全面、客觀地反應業務網絡和數據安全保障措施及能力配套情況。

第六條  安全評估第三方服務機構應保證不分包或轉包安全評估項目，不從事能影響評估結果公正性的業務；公平合法、誠實守信，不擾亂評估市場秩序，不采用不正當手段進行競爭。

第七條  安全評估第三方服務機構應自覺接受社會監督，加強溝通協作和工作交流，積極參與安全評估有關標準及問題研討，共同營造行業發展良好環境。

第八條  安全評估第三方服務機構應在每年3月15日前向公約執行機構主動報告前一年度安全評估服務開展情況、機構和人員資質能力情況、機構重大事項調整、服務投訴舉報處理情況等。

第九條  安全評估第三方服務機構，針對在業界已形成一定規模的互聯網新技術新業務主體或新型業態，宜結合自身實踐優勢向執行機構積極建言新技術標準或安全評估方法，便于推動自律工作適應產業發展需要。

第十條  安全評估第三方服務機構及其從業人員應自覺遵守國家有關網絡和數據安全的法律、法規和政策，大力弘揚中華民族優秀文化傳統和社會主義精神文明的道德準則，積極推動安全評估職業道德建設。

第十一條  安全評估第三方服務機構及其從業人員應按照法律法規及合同約定，根據授權查閱、使用并妥善保管有關工作資料及數據文件，遵守保密義務和工作紀律；不得將工作中獲得的數據信息用于非評估必要用途。

第十二條  安全評估第三方服務機構及其從業人員應保證不利用工作便利，徇私舞弊、弄虛作假，出具與真實情況不一致的評估報告，謀取不正當利益。

第十三條  安全評估第三方服務機構及其從業人員應自覺接受安全評估有關政策法規、專業技能、職業道德規范等內容的教育培訓，每年每人保證不少于30學時。

第三章　公約執行

第十四條  公約執行機構負責宣貫傳達安全評估法規、政策及自律信息，維護公約成員機構的正當利益，組織實施行業自律。

第十五條  公約執行機構每年組織開展安全評估第三方機構服務信用監督工作，按照規范有序的工作流程和監督方案，結合機構主動報告、服務投訴反饋、質量巡檢監測、安全責任考核與專項檢查、重大安全風險預警排查、重要活動保障等信息，對公約成員機構的專業能力、服務質量、人員經驗、技術實力、項目管理等抽檢，開展綜合信用監督管理，并對監督結果進行公示。

第十六條  公約成員機構違反本公約，造成權益損害結果或不良影響的，由公約執行機構核實后視情況內部通報或向社會公示；情節嚴重的，取消公約成員資格。公約成員機構可對其他成員機構違反公約情況進行舉報，公約執行機構應組織進行查證核實，公布查實情況并依本公約處理。

第十七條  公約成員機構之間發生爭議和糾紛時，應當本著互諒互讓、團結協作的原則，爭取以協商方式解決，也可以提請公約執行機構進行調解。公約執行機構有義務通過合理合規的方式盡快組織相關調解工作，并通報調解結果。

第十八條  公約執行機構根據互聯網新技術新業務發展形勢，每年組織不少于一次安全評估相關政策法規、技術標準、職業道德規范等內容的教育培訓。

第十九條  本公約執行機構及成員機構在實施和履行本公約過程中必須遵守國家有關法律、法規。

第四章　附　則

第二十條  本公約旨在鼓勵、敦促公約成員提升安全評估服務的質量及規范性。簽訂本公約不等同于新技術新業務安全評估服務能力和資質已獲認可。嚴禁任何公約簽訂單位借以本公約名義進行不恰當宣傳。

第二十一條  本公約自公約成員機構法定代表人或其委托代表簽字并加蓋單位公章后生效并施行，并在生效后的30日內進行公示。

第二十二條  本公約生效期間，遵循“動態修訂、逐步完善”的原則，經公約執行機構或本公約三分之一以上成員機構提議，并經三分之二以上成員機構同意，可以對本公約進行修改。

第二十三條  本公約由中國互聯網協會負責解釋。

首批簽約單位（19家，排名不分先后）：

廣東省信息安全測評中心、廣州競遠、中國電信上海研究院、中國電信集團系統集成有限責任公司、中國信通院、中國聯通研究院、中通服咨詢設計研究院、天融信、安天、北京在信恒通、啟明星辰、通和實益電信科學技術研究所、江蘇君立華域、華信咨詢設計研究院、杭州世平、奇安信、河南信安世紀、國家計算機網絡應急技術處理協調中心、重慶市信息通信咨詢設計院