上海市信息化办公室关于印发《上海市信息系统安全测评管理办法》的通知

上海市信息化办公室关于印发《上海市信息系统安全
测评管理办法》的通知
文章属性
•【制定机关】上海市信息化办公室
•【公布日期】2003.01.22
•【字号】沪信息办法[2003]19号
•【施行日期】2003.03.01
•【效力等级】地方规范性文件
•【时效性】已被修订
•【主题分类】通信业
正文
上海市信息化办公室关于印发《上海市信息系统安全测评管
理办法》的通知
（沪信息办法[2003]19号）
市政府各委、办、局信息化工作机构，各区、县信息委（办），各有关单位：现将《上海市信息系统安全测评管理办法》印发给你们，请遵照执行。

上海市信息化办公室
二00三年一月二十二日
上海市信息系统安全测评管理办法
第一条（制定目的）
为了规范本市信息系统安全测评活动，加强本市信息安全监督管理，保障信息系统正常运行，结合本市实际，制定本办法。

第二条（定义）
本办法所称的信息系统安全测评，是指依据国家和本市有关信息技术标准，对信息系统的完整性、保密性、可靠性等安全保障性能进行科学、公正的综合评估的活动。

第三条（适用范围）
本市行政区域内使用财政性资金建设的信息系统和关系到国计民生的社会公共信息系统的安全测评及其管理活动，适用本办法。

第四条（管理部门）
上海市国民经济和社会信息化领导小组负责统一部署全市信息安全工作。

上海市信息化办公室（以下简称市信息办）负责本市信息系统安全测评的统筹规划和监督管理。

其它相关职能部门按照国家和本市有关规定，在各自职责范围内协同做好信息系统安全测评的管理工作。

第五条（测评中心）
上海市信息安全测评认证中心（以下简称测评中心）作为本市专门从事信息安全测评认证的机构，受上海市国民经济和社会信息化领导小组委托，具体负责组织实施本市信息系统安全测评工作。

第六条（测评原则）
信息系统安全测评活动应当遵循科学规范、公正公平、诚实信用的原则。

第七条（测评标准）
信息系统安全测评活动应当按照《GB／T18336信息技术、安全技术、信息技术安全性评估准则》、GB17859《计算机信息系统安全保护等级划分准则》和DB31／T272《计算机信息系统安全测评通用技术规范》等有关标准进行。

第八条（测评申请）
新建信息系统承建单位应当在建设前将信息系统应用需求及安全设计方案提交测评中心评审。

测评中心应当在收到信息系统应用需求及安全设计方案后的5个工作日内完成评审，并出具评审报告。

系统建设完成后，承建单位应当向测评中心提出安全测评申请。

第九条（提交资料）
申请安全测评的单位应当向测评中心提交下列资料：
（一）上海市信息系统安全测评申请书；
（二）信息系统应用需求及安全设计方案。

第十条（测评期限）
测评中心应当在收齐全部资料后的15个工作日内完成信息系统安全测评工作，并出具信息系统安全测评报告。

对通过安全测评的信息系统，测评中心应当发放信息系统安全审定证书。

对未通过安全测评的信息系统，申请单位应当根据安全测评报告的建议，完善信息系统安全建设，并重新提出测评申请。

第十一条（证书有效期）
信息系统安全审定证书有效期为两年，有效期届满后应当对信息系统进行复测。

第十二条（限制行为）
新建信息系统安全设计方案未经评审或者未通过评审的，不得进行建设。

信息系统未经安全测评或者未通过安全测评的，不得投入使用。

第十三条（动态监管）
测评中心应当采取定期检查和不定期抽查相结合的方式，对已经通过安全测评的信息系统实行动态监管。

第十四条（测评中心质量管理）
测评中心应当按照GB／T15481《检测和校准实验室能力的通用要求》进行建设和管理。

第十五条（测评中心内部管理）
测评中心应当建立严格的内部业务和人员管理制度。

测评中心应当实行岗位责任制，配备熟悉测评程序及方法的工作人员，并实施有效的监督管理。

测评中心应当与从事安全测评的工作人员签订保密协议。

测评中心应当健全培训制度，建立一支稳定的、能满足安全测评持续发展要求的安全测评队伍。

第十六条（禁止行为）
测评中心不得从事系统集成和信息安全产品开发等影响测评公正的业务。

测评中心不得对外披露受测信息系统的技术数据和业务资料。

未得到受测单位的书面允许，测评中心及其工作人员不得以任何方式将测评和认证的信息提供给第三方。

第十七条（泄密处理）
测评中心及其工作人员违反有关规定，泄露受测单位信息系统秘密的，由其上级主管部门或者所在单位视情节和后果，予以行政处分；构成犯罪的，依法追究其法律责任。

第十八条（真实性要求）
受测单位应当对其所提交信息系统资料的真实性负责。

测评中心应当对其出具的信息系统安全设计方案评审报告、安全测评报告的真实性负责。

第十九条（法律责任）
市信息办应当对测评中心的运作、测评结果等进行抽查。

有下列情形之一的，应当给予测评中心及其有关人员相应的行政处分，并建议有关部门撤销其安全测评资质：
（一）测评中心弄虚作假或者严重违反程序规则；
（二）测评中心及其工作人员在工作中存在严重失职、有严重违法违纪行为；
（三）测评中心不能满足安全测评持续发展的要求。

第二十条（异议申诉制度）
受测单位对测评结果有异议的，可以向市信息办提出申诉，并提交异议申诉书及有关证明材料。

市信息办应当在收到申诉后5日内答复是否受理该申诉；决定受理后30日内作出异议处理决定。

第二十一条（补测申请）
本办法实施以前已建的信息系统未经安全测评的，建设单位应当在本办法实施后6个月内向测评中心提出补测申请。

第二十二条（涉密规定）
涉及国家秘密的信息系统安全测评工作，按照有关法律法规规定，另行制定。

第二十三条（解释部门）
本办法由上海市信息化办公室负责解释。

第二十四条（施行日期）
本办法自2003年3月1日起施行。