《上海市公共信息系统安全测评管理办法》已经2006年4月17日市政府第104次常务会议通过，现予公布，自2006年7月1日起施行。

市长 韩正
二○○六年五月七日

上海市公共信息系统安全测评管理办法
（2006年5月7日上海市人民政府令第58号公布）

    第一条（立法目的）

    为了规范本市公共信息系统安全测评活动，保障公共信息系统正常运行，制定本办法。

    第二条（定义）

    本办法所称的公共信息系统安全测评，是指依据有关信息安全标准、规范，对本市承担公共管理职能的机构（以下简称公共管理机构）以及提供社会公共服务的单位（以下简称公共服务单位）的计算机信息系统，进行安全保障性能测试、评估的活动。

    第三条（适用范围）

    本市行政区域内的公共信息系统安全测评及其管理活动，适用本办法。法律、法规另有规定的，从其规定。

    第四条（管理部门）

    上海市信息化委员会（以下简称市信息委）负责本市公共信息系统安全测评的组织协调和监督管理工作。

    第五条（责任制度）

    公共管理机构、公共服务单位的负责人应当承担开展公共信息系统安全测评的管理责任。

    各有关主管部门应当督促所属的公共管理机构、公共服务单位开展公共信息系统安全测评。

    第六条（测评年度计划）

    市信息委应当会同各有关主管部门，制定公共信息系统安全测评年度计划，组织公共管理机构、公共服务单位实施，并进行指导、监督。

    第七条（新建系统的测评）

    新建公共信息系统的，公共管理机构、公共服务单位应当在系统建设前将安全设计方案报送市信息委审查；市信息委应当在15日内提出审查意见。

    新建的公共信息系统试运行结束后30日内，应当进行安全测评。

    第八条（测评机构）

    公共信息系统安全测评，应当由国家有关部门认可的信息安全测评机构（以下简称测评机构）实施。

    公共管理机构的公共信息系统，由市信息委指定的测评机构统一实施安全测评；公共服务单位的公共信息系统，由该单位委托的测评机构实施安全测评。

    第九条（测评协议）

    公共管理机构、公共服务单位应当与测评机构签订公共信息系统安全测评协议，明确测评的范围、内容、方案、期限、费用和违约责任等事项。

    公共信息系统安全测评协议的示范文本，由市信息委制定。

    第十条（测评要求）

    测评机构应当依据国家和本市信息技术、信息系统安全的标准、规范，实施公共信息系统安全测评，保证测评活动的客观、公正。

    第十一条（安全事项告知与协助义务）

    安全测评的实施过程可能影响公共信息系统正常运行的，测评机构应当事先告知公共管理机构、公共服务单位，并协助其采取相应的预防措施。

    第十二条（测评报告）

    测评机构实施公共信息系统安全测评后，应当出具包括以下内容的测评报告：

    （一）测评范围、内容；

    （二）测评所依据的相关标准、规范；

    （三）系统安全的评估结论、整改建议。

    测评报告应当由测评机构负责人签署。

    第十三条（安全整改）

    公共管理机构、公共服务单位应当根据测评报告的整改建议，对公共信息系统采取安全整改措施；测评机构应当给予协助和指导。

    公共管理机构完成安全整改后15日内，应当将整改情况报送市信息委备案；公共服务单位完成安全整改后15日内，应当将整改情况报送其主管部门备案。

    第十四条（测评实施情况的报告）

    测评机构应当每季度将实施公共信息系统安全测评的汇总情况向市信息委报告；发现公共信息系统存在重大安全问题时，应当立即向市信息委报告。

    第十五条（动态复测）

    公共信息系统安全测评后，应当每两年进行一次复测；系统的网络结构、信息处理流程等发生重大变更的，应当及时进行复测。

    公共信息系统的复测应当包括以下内容：

    （一）系统前次测评时发现的主要问题；

    （二）核心网络设备、服务器、安全防护设施、应用软件等系统关键部分发生变更，可能出现的安全隐患；

    （三）新的信息技术可能对系统安全造成的影响。

    第十六条（测评机构的保密义务）

    测评机构对公共信息系统安全测评过程中取得的技术数据、业务资料等信息负有保密义务，不得以任何方式将相关信息提供给第三方。

    第十七条（测评机构的行为禁止）

    禁止测评机构从事下列活动：

    （一）信息安全产品开发、营销和信息系统集成活动；

    （二）限定公共管理机构、公共服务单位购买、使用其指定的信息安全产品；

    （三）其他可能影响测评客观、公正的活动。

    第十八条（未进行测评或者整改的处理）

    公共管理机构、公共服务单位未按照本办法的规定开展公共信息系统安全测评或者采取安全整改措施的，由市信息委或者相关主管部门责令其改正；因未开展公共信息系统安全测评或者采取安全整改措施，导致系统发生安全故障的，依法追究有关负责人的行政责任。

    第十九条（对测评机构违法行为的处理）

    对测评机构违反本办法的行为，由市信息委按照下列规定进行处理：

    （一）违反本办法第十四条规定，未报告公共信息系统安全测评情况或者重大安全问题的，责令改正，并处1万元以下罚款；

    （二）违反本办法第十六条规定，向第三方提供公共信息系统安全测评相关信息的，或者违反本办法第十七条规定，从事可能影响测评客观、公正的活动的，责令改正，并处3万元以下罚款。

    第二十条（施行日期）

    本办法自2006年7月1日起施行。