信息安全等级保护管理办法（2007年） 第二十二条

第二十二条 第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评：

在中华人民共和国境内注册成立（港澳台地区除外）；

由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；

从事相关检测评估工作两年以上，无违法记录；

工作人员仅限于中国公民；

法人及主要业务、技术人员无犯罪记录；

使用的技术装备、设施应当符合本办法对信息安全产品的要求；

具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；

对国家安全、社会秩序、公共利益不构成威胁。