上海市地方法规

　　第一条（制定目的）

　　为了规范本市公共信息系统的安全测评活动，保障公共信息系统正常运行，提高公共管理和公共服务水平，结合本市实际，制定本办法。

　　第二条（定义）

　　本办法所称的公共信息系统，是指与国计民生具有密切关联性的，在全市或者一定区域范围内用于公共管理公共服务的计算机网络系统。

　　本办法所称的安全测评，是指依据有关信息技术标准，对公共信息系统的物理环境、网络平台、系统平台、应用平台及其系统运行管理的安全保障性能进行综合评估的活动。

　　第三条（适用范围）

　　本市行政区域内的公共信息系统的安全测评及其管理活动，适用本办法。

　　中央在沪机构的公共信息系统的安全测评，按照国家有关规定办理。

　　公共信息系统安全测评涉及国家秘密的，按照国家有关法律法规办理，并接受相关部门的指导监督。

　　第四条（管理部门）

　　上海市信息化委员会（以下简称市信息委）负责本市公共信息系统安全测评的指导、监督和协调。

　　市公安、安全、保密和机要等部门按照各自职责对公共信息系统安全测评工作进行监管。

　　本市有关行业主管部门应当督促其所属的公共信息系统运行单位，按照规定开展公共信息系统安全测评工作。

　　第五条（测评机构）

　　上海市信息安全测评认证中心（以下简称“测评中心”）是专门从事信息技术安全测评的非营利机构，负责承担本市公共信息系统的安全测评工作。

　　第六条（责任人制度）

　　公共信息系统运行单位的行政负责人应当对本单位公共信息系统的安全测评承担主要责任，督促本单位按照规定开展公共信息系统安全测评工作。

　　第七条（已建公共信息系统测评）

　　对已建的公共信息系统，市信息委应当于每年第一季度编制本年度公共信息系统安全测评计划，并组织纳入计划的单位开展安全测评工作。

　　第八条（新建公共信息系统测评）

　　新建公共信息系统建设前，其建设或者运行单位应当将公共信息系统安全设计方案提交测评中心进行方案评审，并由测评中心出具方案评审报告。

　　新建公共信息系统建设完成并试运行结束后的1个月内，其建设或者运行单位应当向测评中心提出安全测评申请。

　　通过安全测评的公共信息系统，其建设或者运行单位应当将安全测评报告提交相关部门，作为验收的依据。

　　未通过安全测评的公共信息系统，其建设或者运行单位应当根据安全测评报告完善公共信息系统安全建设，并重新接受安全测评。

　　第九条（限制行为）

　　未经或者未通过安全设计方案评审的公共信息系统不得擅自投入建设。

　　未经或者未通过安全测评的公共信息系统不得擅自投入运行。

　　第十条（测评协议）

　　测评中心对公共信息系统进行测评前，应当与其建设或者运行单位签订测评协议。测评协议应当明确测评范围、测评内容、双方权利义务、保密要求、测评期限、测评费用等内容。

　　第十一条（测评标准）

　　测评中心对公共信息系统进行安全测评，应当根据下列标准和规范，制定针对性测评方案并组织实施：

　　（一）《信息技术安全性评估准则》（GB/T 18336）；

　　（二）《计算机信息系统安全保护等级划分准则》（GB17859）；

　　（三）《计算机信息系统安全测评通用技术规范》（DB31/T 272）；

　　（四）《信息技术－信息安全管理实用准则》（ISO/IEC 17799）；

　　（五）其他适用于相关行业、系统的技术标准和规范。

　　第十二条（告知义务）

　　测评中心对公共信息系统进行安全测评时，应当将可能影响系统正常运行的情形事先告知受测单位，并协助受测单位采取相应的安全措施。

　　第十三条（测评方式）

　　测评中心对公共信息系统进行的安全测评，以技术配置核查、技术案例验证、脆弱性测试（扫描）、渗透性测试等现场技术测试为主，同时对相关技术文档进行必要的核查。

　　第十四条（测评报告）

　　测评中心对公共信息系统进行安全测评后，应当出具安全测评报告。

　　安全测评报告应当包含以下内容：

　　（一）测评范围与测评内容；

　　（二）测评所依据的相关标准和技术规范；

　　（三）对公共信息系统安全保障性能是否符合标准的结论性意见；

　　（四）公共信息系统当前的安全隐患及相应的安全整改建议。

　　安全测评报告应当由测评中心相关负责人签字后，送达受测单位的行政负责人。

　　第十五条（受测单位责任）

　　安全测评报告是对受测单位信息系统安全状况的技术性评估结论。受测单位应当依据安全测评报告的意见和建议对系统进行维护并采取相应整改措施。

　　受测单位行政责任人未按照测评报告进行整改，导致公共信息系统重大安全事故的，应当承担相应责任。

　　第十六条（测评中心责任）

　　测评中心应当对其出具的公共信息系统安全设计方案评审报告和安全测评报告的真实性负责。

　　因为测评中心明显过失使检测结果不实，导致公共信息系统重大安全事故的，测评中心应当承担相应的法律责任。

　　第十七条（周期测评和应急测评）

　　公共信息系统应当至少每两年进行一次安全测评。

　　公共信息系统的网络结构、业务处理流程发生重大变更时，应当及时对变更涉及的内容进行安全测评。

　　公共信息系统的外部安全环境发生重大变更时，应当根据市信息委统一部署，统一进行安全测评。

　　第十八条（测评费用）

　　新建公共信息系统的项目建设总费用和已建公共信息系统的运行维护费中应当包括安全测评费用。

　　第十九条（工作报告）

　　测评中心应当每半年将开展安全测评工作的情况向市信息委报告。

　　测评中心在测评过程中发现公共信息系统存在具有普遍性的安全问题，应当及时向市信息委报告，并抄送相关监管部门备案。

　　第二十条（禁止行为）

　　未经受测单位同意，测评中心不得以任何方式将受测单位的技术数据、业务资料和测评信息提供给第三方。

　　测评中心不得从事信息系统集成、信息安全产品开发或者其他可能影响测评客观、公正的业务。

　　第二十一条（泄密处理）

　　测评中心不当泄露受测单位的技术数据、业务资料和测评信息，导致受测单位受损的，应当承担相应的法律责任。

　　第二十二条（施行日期）

　　本办法自2005年  月  日起施行。