上海市公共信息系統測評

上海市公共信息系統測評是一部2006年頒布的上海市人民政府令,簡稱《辦法》。

政策依據

上海市公共信息系統安全測評管理辦法》(上海市人民政府令〔2006〕 第58號
上海市信息化委員會關於做好<上海市公共信息系統安全測評管理辦法>落實工作的通知滬信息委安〔2006〕第188號)

通知原文

市政府各委、辦、局信息化工作機構,各區、縣信息委,各有關單位:
為落實《上海市公共信息系統安全測評管理辦法》(2006年5月7日上海市人民政府令第58號公布,以下簡稱《辦法》),做好本市公共信息系統安全測評工作,現將有關事項通知如下:

一、測評的範圍

(一)公共管理機構的公共信息系統
指本市承擔公共管理職能的黨政機關、司法機關及行政事務執行機構所屬的與公共管理相關的信息系統。
(二)公共服務單位的公共信息系統
指本市提供基礎信息網路傳輸、銀行、證券、保險、供電、供水、供氣、軌道交通、民航、醫療衛生、科技、教育等社會公共服務的單位所屬的與公共服務相關的信息系統。

二、測評年度計畫的制定及公布

市信息委於每年第三季度會同本市各公共管理機構和公共服務單位的主管部門(以下簡稱“主管部門”),或者根據公共管理機構和公共服務單位的要求,制定下一年度的測評計畫。對已建公共信息系統,按照業務依賴程度、對國計民生的影響程度等進行梳理,分批納入每年的測評計畫;對新建公共信息系統,按照系統建設進度納入下一年度的測評計畫。
納入測評年度計畫的機構和單位,須在規定日期前向市信息委報送《上海市公共信息系統安全測評年度計畫確認書》(見附屬檔案1)。市信息委據此於當年第一季度公布年度測評計畫。

三、新建系統測評程式

(一)安全設計方案報審
公共管理機構和公共服務單位應在所屬新建公共信息系統建設(包括已建公共信息系統升級改造)前,填寫《上海市公共信息系統安全設計方案報審申請書》(以下簡稱《報審申請書》,見附屬檔案2),並附安全設計方案一式兩份報送市信息委審查。(安全設計方案內容見附屬檔案3)
(二)安全設計方案審查
安全設計方案的審查,包括符合性審查和內容審查:
1.符合性審查:安全設計方案是否符合有關政策、法規和規劃要求;
2.內容審查:安全設計方案與安全需求的適應性、安全技術實現與安全管理實現機制的合理性與科學性等。
市信息委於收到公共管理機構和公共服務單位的《報審申請書》和安全設計方案之日起15個工作日內組織並完成審查,向報送單位出具《上海市公共信息系統安全設計方案審查意見書》(以下簡稱《審查意見書》),並抄送其主管部門。未通過安全設計方案審查的報送單位,應根據《審查意見書》對原方案進行相應調整,調整後的方案於收到《審查意見書》之日起30日內報送其主管部門,並抄送市信息委。(三)系統安全測評
公共管理機構和公共服務單位應按照通過審查的安全設計方案建設公共信息系統,並於系統試運行結束後30日內,填寫《上海市公共信息系統安全測評基本情況表》(以下簡稱《基本情況表》,見附屬檔案4)送測評機構。測評機構收到《基本情況表》後,應與有關機構和單位約定測評時間,並在約定時間內完成測評流程(見附屬檔案5),出具測評報告。相關主管部門應將測評報告的結論作為是否允許該系統投入運行的重要依據。

四、已建系統測評程式

對納入測評年度計畫的已建公共信息系統,相關公共管理機構和公共服務單位應在當年測評計畫公布後,填寫《基本情況表》送測評機構。測評機構收到《基本情況表》後,應與有關機構和單位約定測評時間,並在約定時間內完成測評流程,出具測評報告。

五、動態管理

本市各公共管理機構和公共服務單位每年應當對所屬公共信息系統進行一次信息安全風險自評估,於當年12月將自評估情況報送其主管部門,並抄送市信息委;市信息委負責提供相應的培訓和技術指導。公共信息系統通過安全測評後每滿兩年應當進行一次複測,公共管理機構和公共服務單位應在兩年屆滿前,向測評機構提交《基本情況表》。系統的網路結構、信息處理流程等發生重大變更的,有關機構和單位應當及時申請複測。市信息委每年匯總分析公共信息系統的安全設計方案審查情況、風險自評估情況、安全測評情況和安全整改情況,作為對本市公共信息系統安全監管的重要依據。

六、測評對象監督

市信息委於每年第四季度,組織相關主管部門對列入當年測評計畫的公共信息系統進行安全檢查。對未按照要求進行公共信息系統安全測評或者採取安全整改措施的公共管理機構或公共服務單位,市信息委發出《上海市公共信息系統安全測評情況抄告單》要求其改正,並將情況抄報相關主管部門;因未開展公共信息系統安全測評或者採取安全整改措施,導致系統發生安全故障的,依法追究有關負責人的行政責任。

七、測評機構管理

(一)測評機構要求
市信息委指定上海市信息安全測評認證中心統一實施本市公共管理機構的公共信息系統安全測評。(上海市信息安全測評認證中心地址:延安西路1228弄2號2樓,電話:62815560)
承擔公共服務單位公共信息系統安全測評的機構,應當獲得國家相關信息安全主管部門的業務授權,通過中國合格評定國家認可委員會(CNAS)有關信息系統安全檢測能力的資質認可,並有穩定、可靠的專業測評隊伍。
(二)測評協定
測評機構開展測評活動前,須到市信息委領取統一的《上海市公共信息系統安全測評協定示範文本》,並嚴格按照文本內容與測評對象簽訂測評協定。
(三)定期核查
市信息委按照《辦法》的規定,定期對測評機構的測評活動、相關義務的履行情況、每季度測評實施情況報告等進行核實、檢查。對未實行每季度測評實施情況報告、未履行相關義務、從事《辦法》禁止的行為活動的測評機構,市信息委發出《上海市公共信息系統測評機構整改單》責令其改正,並處罰款。

檢測機構

名稱:上海市信息安全測評認證中心
地址:上海市黃浦區陸家浜路1308號

相關詞條

相關搜尋

熱門詞條

聯絡我們