• 【發(fā)布單位】上海市
• 【發(fā)布文號(hào)】上海市人民政府令第58號(hào)
• 【發(fā)布日期】2006-05-07
• 【生效日期】2006-07-01
• 【失效日期】--
• 【文件來(lái)源】上海市
• 【所屬類別】地方法規(guī)

上海市公共信息系統(tǒng)安全測(cè)評(píng)管理辦法

上海市公共信息系統(tǒng)安全測(cè)評(píng)管理辦法

(上海市人民政府令第58號(hào))





 《上海市公共信息系統(tǒng)安全測(cè)評(píng)管理辦法》已經(jīng)2006年4月17日市政府第104次常務(wù)會(huì)議通過(guò),，現(xiàn)予公布,，自2006年7月1日起施行。



市長(zhǎng) 韓正

二○○六年五月七日





上海市公共信息系統(tǒng)安全測(cè)評(píng)管理辦法




第一條 （立法目的）



 為了規(guī)范本市公共信息系統(tǒng)安全測(cè)評(píng)活動(dòng),，保障公共信息系統(tǒng)正常運(yùn)行,，制定本辦法。




第二條 （定義）



 本辦法所稱的公共信息系統(tǒng)安全測(cè)評(píng),，是指依據(jù)有關(guān)信息安全標(biāo)準(zhǔn),、規(guī)范，對(duì)本市承擔(dān)公共管理職能的機(jī)構(gòu)（以下簡(jiǎn)稱公共管理機(jī)構(gòu)）以及提供社會(huì)公共服務(wù)的單位（以下簡(jiǎn)稱公共服務(wù)單位）的計(jì)算機(jī)信息系統(tǒng),，進(jìn)行安全保障性能測(cè)試,、評(píng)估的活動(dòng)。




第三條 （適用范圍）



 本市行政區(qū)域內(nèi)的公共信息系統(tǒng)安全測(cè)評(píng)及其管理活動(dòng),，適用本辦法,。法律、法規(guī)另有規(guī)定的,，從其規(guī)定,。




第四條 （管理部門）



 上海市信息化委員會(huì)（以下簡(jiǎn)稱市信息委）負(fù)責(zé)本市公共信息系統(tǒng)安全測(cè)評(píng)的組織協(xié)調(diào)和監(jiān)督管理工作。




第五條 （責(zé)任制度）



 公共管理機(jī)構(gòu),、公共服務(wù)單位的負(fù)責(zé)人應(yīng)當(dāng)承擔(dān)開(kāi)展公共信息系統(tǒng)安全測(cè)評(píng)的管理責(zé)任,。各有關(guān)主管部門應(yīng)當(dāng)督促所屬的公共管理機(jī)構(gòu)、公共服務(wù)單位開(kāi)展公共信息系統(tǒng)安全測(cè)評(píng),。




第六條 （測(cè)評(píng)年度計(jì)劃）



 市信息委應(yīng)當(dāng)會(huì)同各有關(guān)主管部門,，制定公共信息系統(tǒng)安全測(cè)評(píng)年度計(jì)劃，組織公共管理機(jī)構(gòu),、公共服務(wù)單位實(shí)施,，并進(jìn)行指導(dǎo)、監(jiān)督,。




第七條 （新建系統(tǒng)的測(cè)評(píng)）



 新建公共信息系統(tǒng)的,，公共管理機(jī)構(gòu)、公共服務(wù)單位應(yīng)當(dāng)在系統(tǒng)建設(shè)前將安全設(shè)計(jì)方案報(bào)送市信息委審查；市信息委應(yīng)當(dāng)在15日內(nèi)提出審查意見(jiàn),。新建的公共信息系統(tǒng)試運(yùn)行結(jié)束后30日內(nèi),，應(yīng)當(dāng)進(jìn)行安全測(cè)評(píng)。




第八條 （測(cè)評(píng)機(jī)構(gòu)）



 公共信息系統(tǒng)安全測(cè)評(píng),，應(yīng)當(dāng)由國(guó)家有關(guān)部門認(rèn)可的信息安全測(cè)評(píng)機(jī)構(gòu)（以下簡(jiǎn)稱測(cè)評(píng)機(jī)構(gòu)）實(shí)施,。公共管理機(jī)構(gòu)的公共信息系統(tǒng)，由市信息委指定的測(cè)評(píng)機(jī)構(gòu)統(tǒng)一實(shí)施安全測(cè)評(píng),；公共服務(wù)單位的公共信息系統(tǒng),，由該單位委托的測(cè)評(píng)機(jī)構(gòu)實(shí)施安全測(cè)評(píng)。




第九條 （測(cè)評(píng)協(xié)議）



 公共管理機(jī)構(gòu),、公共服務(wù)單位應(yīng)當(dāng)與測(cè)評(píng)機(jī)構(gòu)簽訂公共信息系統(tǒng)安全測(cè)評(píng)協(xié)議,，明確測(cè)評(píng)的范圍、內(nèi)容,、方案,、期限、費(fèi)用和違約責(zé)任等事項(xiàng),。公共信息系統(tǒng)安全測(cè)評(píng)協(xié)議的示范文本,，由市信息委制定。




第十條 （測(cè)評(píng)要求）



 測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)依據(jù)國(guó)家和本市信息技術(shù),、信息系統(tǒng)安全的標(biāo)準(zhǔn),、規(guī)范，實(shí)施公共信息系統(tǒng)安全測(cè)評(píng),，保證測(cè)評(píng)活動(dòng)的客觀,、公正。




第十一條 （安全事項(xiàng)告知與協(xié)助義務(wù)）



 安全測(cè)評(píng)的實(shí)施過(guò)程可能影響公共信息系統(tǒng)正常運(yùn)行的,，測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)事先告知公共管理機(jī)構(gòu),、公共服務(wù)單位，并協(xié)助其采取相應(yīng)的預(yù)防措施,。




第十二條 （測(cè)評(píng)報(bào)告）



 測(cè)評(píng)機(jī)構(gòu)實(shí)施公共信息系統(tǒng)安全測(cè)評(píng)后,，應(yīng)當(dāng)出具包括以下內(nèi)容的測(cè)評(píng)報(bào)告：



 （一）測(cè)評(píng)范圍、內(nèi)容,；



 （二）測(cè)評(píng)所依據(jù)的相關(guān)標(biāo)準(zhǔn),、規(guī)范；



 （三）系統(tǒng)安全的評(píng)估結(jié)論,、整改建議,。測(cè)評(píng)報(bào)告應(yīng)當(dāng)由測(cè)評(píng)機(jī)構(gòu)負(fù)責(zé)人簽署。




第十三條 （安全整改）



 公共管理機(jī)構(gòu),、公共服務(wù)單位應(yīng)當(dāng)根據(jù)測(cè)評(píng)報(bào)告的整改建議,，對(duì)公共信息系統(tǒng)采取安全整改措施,；測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)給予協(xié)助和指導(dǎo)。公共管理機(jī)構(gòu)完成安全整改后15日內(nèi),，應(yīng)當(dāng)將整改情況報(bào)送市信息委備案,；公共服務(wù)單位完成安全整改后15日內(nèi)，應(yīng)當(dāng)將整改情況報(bào)送其主管部門備案,。




第十四條 （測(cè)評(píng)實(shí)施情況的報(bào)告）



 測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)每季度將實(shí)施公共信息系統(tǒng)安全測(cè)評(píng)的匯總情況向市信息委報(bào)告,；發(fā)現(xiàn)公共信息系統(tǒng)存在重大安全問(wèn)題時(shí),，應(yīng)當(dāng)立即向市信息委報(bào)告,。




第十五條 （動(dòng)態(tài)復(fù)測(cè)）



 公共信息系統(tǒng)安全測(cè)評(píng)后，應(yīng)當(dāng)每?jī)赡赀M(jìn)行一次復(fù)測(cè),；系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu),、信息處理流程等發(fā)生重大變更的，應(yīng)當(dāng)及時(shí)進(jìn)行復(fù)測(cè),。公共信息系統(tǒng)的復(fù)測(cè)應(yīng)當(dāng)包括以下內(nèi)容：



 （一）系統(tǒng)前次測(cè)評(píng)時(shí)發(fā)現(xiàn)的主要問(wèn)題,；



 （二）核心網(wǎng)絡(luò)設(shè)備、服務(wù)器,、安全防護(hù)設(shè)施,、應(yīng)用軟件等系統(tǒng)關(guān)鍵部分發(fā)生變更，可能出現(xiàn)的安全隱患,；



 （三）新的信息技術(shù)可能對(duì)系統(tǒng)安全造成的影響,。




第十六條 （測(cè)評(píng)機(jī)構(gòu)的保密義務(wù)）



 測(cè)評(píng)機(jī)構(gòu)對(duì)公共信息系統(tǒng)安全測(cè)評(píng)過(guò)程中取得的技術(shù)數(shù)據(jù)、業(yè)務(wù)資料等信息負(fù)有保密義務(wù),，不得以任何方式將相關(guān)信息提供給第三方,。




第十七條 （測(cè)評(píng)機(jī)構(gòu)的行為禁止）



 禁止測(cè)評(píng)機(jī)構(gòu)從事下列活動(dòng)：



 （一）信息安全產(chǎn)品開(kāi)發(fā)、營(yíng)銷和信息系統(tǒng)集成活動(dòng),；



 （二）限定公共管理機(jī)構(gòu),、公共服務(wù)單位購(gòu)買、使用其指定的信息安全產(chǎn)品,；



 （三）其他可能影響測(cè)評(píng)客觀,、公正的活動(dòng)。




第十八條 （未進(jìn)行測(cè)評(píng)或者整改的處理）



 公共管理機(jī)構(gòu),、公共服務(wù)單位未按照本辦法的規(guī)定開(kāi)展公共信息系統(tǒng)安全測(cè)評(píng)或者采取安全整改措施的,，由市信息委或者相關(guān)主管部門責(zé)令其改正；因未開(kāi)展公共信息系統(tǒng)安全測(cè)評(píng)或者采取安全整改措施,，導(dǎo)致系統(tǒng)發(fā)生安全故障的,，依法追究有關(guān)負(fù)責(zé)人的行政責(zé)任。




第十九條 （對(duì)測(cè)評(píng)機(jī)構(gòu)違法行為的處理）



 對(duì)測(cè)評(píng)機(jī)構(gòu)違反本辦法的行為,，由市信息委按照下列規(guī)定進(jìn)行處理：



 （一）違反本辦法第十四條規(guī)定,，未報(bào)告公共信息系統(tǒng)安全測(cè)評(píng)情況或者重大安全問(wèn)題的,，責(zé)令改正，并處1萬(wàn)元以下罰款,；



 （二）違反本辦法第十六條規(guī)定,，向第三方提供公共信息系統(tǒng)安全測(cè)評(píng)相關(guān)信息的，或者違反本辦法第十七條規(guī)定,，從事可能影響測(cè)評(píng)客觀,、公正的活動(dòng)的，責(zé)令改正,，并處3萬(wàn)元以下罰款,。




第二十條 （施行日期）



 本辦法自2006年7月1日起施行。