(2006年5月7日上海市人民政府令第58號公布,根據2010年12月20日上海市人民政府令第52號公布的《上海市人民政府關于修改?上海市農機事故處理暫行規(guī)定?等148件市政府規(guī)章的決定》修正并重新發(fā)布)
第一條 (立法目的)
為了規(guī)范本市公共信息系統(tǒng)安全測評活動,保障公共信息系統(tǒng)正常運行,制定本辦法。
第二條 (定義)
本辦法所稱的公共信息系統(tǒng)安全測評,是指依據有關信息安全標準、規(guī)范,對本市承擔公共管理職能的機構(以下簡稱公共管理機構)以及提供社會公共服務的單位(以下簡稱公共服務單位)的計算機信息系統(tǒng),進行安全保障性能測試、評估的活動。
第三條 (適用范圍)
本市行政區(qū)域內的公共信息系統(tǒng)安全測評及其管理活動,適用本辦法。法律、法規(guī)另有規(guī)定的,從其規(guī)定。
第四條 (管理部門)
上海市經濟和信息化委員會(以下簡稱市經濟信息化委)負責本市公共信息系統(tǒng)安全測評的組織協(xié)調和監(jiān)督管理工作。
第五條 (責任制度)
公共管理機構、公共服務單位的負責人應當承擔開展公共信息系統(tǒng)安全測評的管理責任。
各有關主管部門應當督促所屬的公共管理機構、公共服務單位開展公共信息系統(tǒng)安全測評。
第六條 (測評年度計劃)
市經濟信息化委應當會同各有關主管部門,制定公共信息系統(tǒng)安全測評年度計劃,組織公共管理機構、公共服務單位實施,并進行指導、監(jiān)督。
第七條 (新建系統(tǒng)的測評)
新建公共信息系統(tǒng)的,公共管理機構、公共服務單位應當在系統(tǒng)建設前將安全設計方案報送市經濟信息化委審查;市經濟信息化委應當在15日內提出審查意見。
新建的公共信息系統(tǒng)試運行結束后30日內,應當進行安全測評。
第八條 (測評機構)
公共信息系統(tǒng)安全測評,應當由國家有關部門認可的信息安全測評機構(以下簡稱測評機構)實施。
公共管理機構的公共信息系統(tǒng),由市經濟信息化委指定的測評機構統(tǒng)一實施安全測評;公共服務單位的公共信息系統(tǒng),由該單位委托的測評機構實施安全測評。
第九條 (測評協(xié)議)
公共管理機構、公共服務單位應當與測評機構簽訂公共信息系統(tǒng)安全測評協(xié)議,明確測評的范圍、內容、方案、期限、費用和違約責任等事項。
公共信息系統(tǒng)安全測評協(xié)議的示范文本,由市經濟信息化委制定。
第十條 (測評要求)
測評機構應當依據國家和本市信息技術、信息系統(tǒng)安全的標準、規(guī)范,實施公共信息系統(tǒng)安全測評,保證測評活動的客觀、公正。
第十一條 (安全事項告知與協(xié)助義務)
安全測評的實施過程可能影響公共信息系統(tǒng)正常運行的,測評機構應當事先告知公共管理機構、公共服務單位,并協(xié)助其采取相應的預防措施。
第十二條 (測評報告)
測評機構實施公共信息系統(tǒng)安全測評后,應當出具包括以下內容的測評報告:
(一)測評范圍、內容;
(二)測評所依據的相關標準、規(guī)范;
(三)系統(tǒng)安全的評估結論、整改建議。
測評報告應當由測評機構負責人簽署。
第十三條 (安全整改)
公共管理機構、公共服務單位應當根據測評報告的整改建議,對公共信息系統(tǒng)采取安全整改措施;測評機構應當給予協(xié)助和指導。
公共管理機構完成安全整改后15日內,應當將整改情況報送市經濟信息化委備案;公共服務單位完成安全整改后15日內,應當將整改情況報送其主管部門備案。
第十四條 (測評實施情況的報告)
測評機構應當每季度將實施公共信息系統(tǒng)安全測評的匯總情況向市經濟信息化委報告;發(fā)現公共信息系統(tǒng)存在重大安全問題時,應當立即向市經濟信息化委報告。
第十五條 (動態(tài)復測)
公共信息系統(tǒng)安全測評后,應當每兩年進行一次復測;系統(tǒng)的網絡結構、信息處理流程等發(fā)生重大變更的,應當及時進行復測。
公共信息系統(tǒng)的復測應當包括以下內容:
(一)系統(tǒng)前次測評時發(fā)現的主要問題;
(二)核心網絡設備、服務器、安全防護設施、應用軟件等系統(tǒng)關鍵部分發(fā)生變更,可能出現的安全隱患;
(三)新的信息技術可能對系統(tǒng)安全造成的影響。
第十六條 (測評機構的保密義務)
測評機構對公共信息系統(tǒng)安全測評過程中取得的技術數據、業(yè)務資料等信息負有保密義務,不得以任何方式將相關信息提供給第三方。
第十七條 (測評機構的行為禁止)
禁止測評機構從事下列活動:
(一)信息安全產品開發(fā)、營銷和信息系統(tǒng)集成活動;
(二)限定公共管理機構、公共服務單位購買、使用其指定的信息安全產品;
(三)其他可能影響測評客觀、公正的活動。
第十八條 (未進行測評或者整改的處理)
公共管理機構、公共服務單位未按照本辦法的規(guī)定開展公共信息系統(tǒng)安全測評或者采取安全整改措施的,由市經濟信息化委或者相關主管部門責令其改正;因未開展公共信息系統(tǒng)安全測評或者采取安全整改措施,導致系統(tǒng)發(fā)生安全故障的,依法追究有關負責人的行政責任。
第十九條 (對測評機構違法行為的處理)
對測評機構違反本辦法的行為,由市經濟信息化委按照下列規(guī)定進行處理:
(一)違反本辦法第十四條規(guī)定,未報告公共信息系統(tǒng)安全測評情況或者重大安全問題的,責令改正,并處1萬元以下罰款;
(二)違反本辦法第十六條規(guī)定,向第三方提供公共信息系統(tǒng)安全測評相關信息的,或者違反本辦法第十七條規(guī)定,從事可能影響測評客觀、公正的活動的,責令改正,并處3萬元以下罰款。
第二十條 (施行日期)
本辦法自2006年7月1日起施行。