上海市关于印发《上海市信息系统安全测评管理办法》的通知

上海市关于印发《上海市信息系统安全测评管理办法》的通知

市政府各委、办、局信息化工作机构，各区、县信息委(办)，各有关单位：

现将《上海市信息系统安全测评管理办法》印发给你们，请遵照执行。

上海市信息化办公室

二00三年一月二十二日

上海市信息系统安全测评管理办法

第一条 (制定目的)

为了规范本市信息系统安全测评活动，加强本市信息安全监督管理，保障信息系统正常运行，结合本市实际，制定本办法。

第二条 (定义)

本办法所称的信息系统安全测评，是指依据国家和本市有关信息技术标准，对信息系统的完整性、保密性、可靠性等安全保障性能进行科学、公正的综合评估的活动。

第三条 (适用范围)

本市行政区域内使用财政性资金建设的信息系统和关系到国计民生的社会公共信息系统的安全测评及其管理活动，适用本办法。

第四条 (管理部门)

上海市国民经济和社会信息化领导小组负责统一部署全市信息安全工作。

上海市信息化办公室(以下简称市信息办)负责本市信息系统安全测评的统筹规划和监督管理。

其它相关职能部门按照国家和本市有关规定，在各自职责范围内协同做好信息系统安全测评的管理工作。

第五条 (测评中心)

上海市信息安全测评认证中心(以下简称测评中心)作为本市专门从事信息安全测评认证的机构，受上海市国民经济和社会信息化领导小组委托，具体负责组织实施本市信息系统安全测评工作。

第六条 (测评原则)

信息系统安全测评活动应当遵循科学规范、公正公平、诚实信用的原则。

第七条 (测评标准)

信息系统安全测评活动应当按照《GB/T18336信息技术、安全技术、信息技术安全性评估准则》、GB17859《计算机信息系统安全保护等级划分准则》和DB31/T272《计算机信息系统安全测评通用技术规范》等有关标准进行。

第八条 (测评申请)

新建信息系统承建单位应当在建设前将信息系统应用需求及安全设计方案提交测评中心评审。测评中心应当在收到信息系统应用需求及安全设计方案后的5个工作日内完成评审，并出具评审报告。

系统建设完成后，承建单位应当向测评中心提出安全测评申请。

第九条 (提交资料)

申请安全测评的单位应当向测评中心提交下列资料：

(一)上海市信息系统安全测评申请书;

(二)信息系统应用需求及安全设计方案。

第十条 (测评期限)

测评中心应当在收齐全部资料后的15个工作日内完成信息系统安全测评工作，并出具信息系统安全测评报告。

对通过安全测评的信息系统，测评中心应当发放信息系统安全审定证书。

对未通过安全测评的信息系统，申请单位应当根据安全测评报告的建议，完善信息系统安全建设，并重新提出测评申请。

第十一条 (证书有效期)

信息系统安全审定证书有效期为两年，有效期届满后应当对信息系统进行复测。

第十二条 (限制行为)

新建信息系统安全设计方案未经评审或者未通过评审的，不得进行建设。

信息系统未经安全测评或者未通过安全测评的，不得投入使用。

第十三条 (动态监管)

测评中心应当采取定期检查和不定期抽查相结合的方式，对已经通过安全测评的信息系统实行动态监管。

第十四条 (测评中心质量管理)

测评中心应当按照GB/T15481《检测和校准实验室能力的通用要求》进行建设和管理。

第十五条 (测评中心内部管理)

测评中心应当建立严格的内部业务和人员管理制度。

测评中心应当实行岗位责任制，配备熟悉测评程序及方法的工作人员，并实施有效的监督管理。测评中心应当与从事安全测评的工作人员签订保密协议。

测评中心应当健全培训制度，建立一支稳定的、能满足安全测评持续发展要求的安全测评队伍。

第十六条 (禁止行为)

测评中心不得从事系统集成和信息安全产品开发等影响测评公正的业务。

测评中心不得对外披露受测信息系统的技术数据和业务资料。

未得到受测单位的书面允许，测评中心及其工作人员不得以任何方式将测评和认证的信息提供给第三方。

第十七条 (泄密处理)

测评中心及其工作人员违反有关规定，泄露受测单位信息系统秘密的，由其上级主管部门或者所在单位视情节和后果，予以行政处分;构成犯罪的，依法追究其法律责任。

第十八条 (真实性要求)

受测单位应当对其所提交信息系统资料的真实性负责。

测评中心应当对其出具的信息系统安全设计方案评审报告、安全测评报告的真实性负责。

如果想了解相关法规解析和案例可关注佰佰安全网的安全说法频道。让你的生活更安心。