• 【發(fā)布單位】上海市
• 【發(fā)布文號】上海市人民政府令第58號
• 【發(fā)布日期】2006-05-07
• 【生效日期】2006-07-01
• 【失效日期】--
• 【文件來源】上海市
• 【所屬類別】地方法規(guī)

上海市公共信息系統安全測評管理辦法

上海市公共信息系統安全測評管理辦法

(上海市人民政府令第58號)





 《上海市公共信息系統安全測評管理辦法》已經2006年4月17日市政府第104次常務會議通過,，現予公布，自2006年7月1日起施行,。



市長 韓正

二○○六年五月七日





上海市公共信息系統安全測評管理辦法




第一條 （立法目的）



 為了規(guī)范本市公共信息系統安全測評活動,，保障公共信息系統正常運行，制定本辦法,。




第二條 （定義）



 本辦法所稱的公共信息系統安全測評,，是指依據有關信息安全標準、規(guī)范,，對本市承擔公共管理職能的機構（以下簡稱公共管理機構）以及提供社會公共服務的單位（以下簡稱公共服務單位）的計算機信息系統,，進行安全保障性能測試、評估的活動。




第三條 （適用范圍）



 本市行政區(qū)域內的公共信息系統安全測評及其管理活動,，適用本辦法,。法律、法規(guī)另有規(guī)定的,，從其規(guī)定,。




第四條 （管理部門）



 上海市信息化委員會（以下簡稱市信息委）負責本市公共信息系統安全測評的組織協調和監(jiān)督管理工作。




第五條 （責任制度）



 公共管理機構,、公共服務單位的負責人應當承擔開展公共信息系統安全測評的管理責任,。各有關主管部門應當督促所屬的公共管理機構、公共服務單位開展公共信息系統安全測評,。




第六條 （測評年度計劃）



 市信息委應當會同各有關主管部門,，制定公共信息系統安全測評年度計劃，組織公共管理機構,、公共服務單位實施,，并進行指導、監(jiān)督,。




第七條 （新建系統的測評）



 新建公共信息系統的,，公共管理機構、公共服務單位應當在系統建設前將安全設計方案報送市信息委審查,；市信息委應當在15日內提出審查意見,。新建的公共信息系統試運行結束后30日內，應當進行安全測評,。




第八條 （測評機構）



 公共信息系統安全測評,，應當由國家有關部門認可的信息安全測評機構（以下簡稱測評機構）實施,。公共管理機構的公共信息系統,，由市信息委指定的測評機構統一實施安全測評；公共服務單位的公共信息系統,，由該單位委托的測評機構實施安全測評,。




第九條 （測評協議）



 公共管理機構、公共服務單位應當與測評機構簽訂公共信息系統安全測評協議,，明確測評的范圍,、內容、方案,、期限,、費用和違約責任等事項。公共信息系統安全測評協議的示范文本,，由市信息委制定,。




第十條 （測評要求）



 測評機構應當依據國家和本市信息技術、信息系統安全的標準、規(guī)范,，實施公共信息系統安全測評,，保證測評活動的客觀、公正,。




第十一條 （安全事項告知與協助義務）



 安全測評的實施過程可能影響公共信息系統正常運行的,，測評機構應當事先告知公共管理機構、公共服務單位,，并協助其采取相應的預防措施,。




第十二條 （測評報告）



 測評機構實施公共信息系統安全測評后，應當出具包括以下內容的測評報告：



 （一）測評范圍,、內容,；



 （二）測評所依據的相關標準、規(guī)范,；



 （三）系統安全的評估結論,、整改建議。測評報告應當由測評機構負責人簽署,。




第十三條 （安全整改）



 公共管理機構,、公共服務單位應當根據測評報告的整改建議，對公共信息系統采取安全整改措施,；測評機構應當給予協助和指導,。公共管理機構完成安全整改后15日內，應當將整改情況報送市信息委備案,；公共服務單位完成安全整改后15日內,，應當將整改情況報送其主管部門備案。




第十四條 （測評實施情況的報告）



 測評機構應當每季度將實施公共信息系統安全測評的匯總情況向市信息委報告,；發(fā)現公共信息系統存在重大安全問題時,，應當立即向市信息委報告。




第十五條 （動態(tài)復測）



 公共信息系統安全測評后,，應當每兩年進行一次復測,；系統的網絡結構、信息處理流程等發(fā)生重大變更的,，應當及時進行復測,。公共信息系統的復測應當包括以下內容：



 （一）系統前次測評時發(fā)現的主要問題；



 （二）核心網絡設備,、服務器,、安全防護設施、應用軟件等系統關鍵部分發(fā)生變更,，可能出現的安全隱患,；



 （三）新的信息技術可能對系統安全造成的影響,。




第十六條 （測評機構的保密義務）



 測評機構對公共信息系統安全測評過程中取得的技術數據、業(yè)務資料等信息負有保密義務,，不得以任何方式將相關信息提供給第三方,。




第十七條 （測評機構的行為禁止）



 禁止測評機構從事下列活動：



 （一）信息安全產品開發(fā)、營銷和信息系統集成活動,；



 （二）限定公共管理機構,、公共服務單位購買、使用其指定的信息安全產品,；



 （三）其他可能影響測評客觀,、公正的活動。




第十八條 （未進行測評或者整改的處理）



 公共管理機構,、公共服務單位未按照本辦法的規(guī)定開展公共信息系統安全測評或者采取安全整改措施的,，由市信息委或者相關主管部門責令其改正；因未開展公共信息系統安全測評或者采取安全整改措施,，導致系統發(fā)生安全故障的,，依法追究有關負責人的行政責任。




第十九條 （對測評機構違法行為的處理）



 對測評機構違反本辦法的行為,，由市信息委按照下列規(guī)定進行處理：



 （一）違反本辦法第十四條規(guī)定,，未報告公共信息系統安全測評情況或者重大安全問題的，責令改正,，并處1萬元以下罰款,；



 （二）違反本辦法第十六條規(guī)定，向第三方提供公共信息系統安全測評相關信息的,，或者違反本辦法第十七條規(guī)定,，從事可能影響測評客觀、公正的活動的,，責令改正,，并處3萬元以下罰款。




第二十條 （施行日期）



 本辦法自2006年7月1日起施行,。