《上海市公共信息系统安全测评管理办法》（简称《办法》）将于2006年7月1日起正式施行。为帮助各有关单位深入理解《办法》，5月30日，上海市信息委和市政府法制办联合召开《上海市公共信息系统安全测评管理办法》宣贯会，介绍了该《办法》的起草和审议过程，并对《办法》的内容进行了解读。

　　该《办法》所称的公共信息系统安全测评，是指依据有关信息安全标准、规范，对本市承担公共管理职能的机构以及提供社会公共服务的单位的计算机信息系统，进行安全保障性能测试、评估的活动。

　　该《办法》规定，由市信息委负责相关的组织协调和监督管理工作，会同各有关主管部门制定安全测评年度计划，组织公共管理机构、公共服务单位实施，并进行指导监督。

　　该《办法》分三个层面明确了安全测评的责任制度：

　　一是根据“谁主管谁负责、谁运营谁负责”的原则，明确了公共管理机构、公共服务单位的负责人应当承担公共信息系统安全测评的管理责任，各有关主管部门所属的公共管理机构、公共服务单位开展安全测评。

　　二是明确公共管理机构、公共服务单位承担安全测评工作的具体职责。如按照年度计划开展安全测评；根据测评整改建议，对系统采取安全整改措施；每两年对公共信息系统进行一次复测，并在系统网络结构、信息处理流程等发生重大变更时，及时进行复测。

　　三是明确责任追究机制，对未按规定开展安全测评或者采取安全整改措施的情形，由市信息委或者相关主管部门责令改正，因未开展公共信息系统安全测评或者采取安全整改措施，导致系统发生安全故障的，依法追究负责人的行政责任。

　　该《办法》明确，公共信息系统安全测评应当由国家有关部门认可的信息安全测评机构实施。同时，对不同性质公共信息系统的安全测评实施机构作了区别规定：

　　一是对公共管理机构的公共信息系统，为避免重复投资、多头建设，明确由市信息委指定的测评机构统一实施。目前，市信息委已正式指定由市信息安全测评认证中心承担本市公共管理机构的公共信息系统测评工作。

　　二是对公共服务单位的公共信息系统，考虑到其中相当部分单位的投资主体多元化，且一般为企业化运作，因此明确由其自主选择测评机构，既可以委托市信息安全测评认证中心，也可以委托经认可的其他测评机构。

　　为保障安全测评活动公正、有序地开展，该《办法》对测评行为进行了规范：

　　一是在测评协议的签订、测评标准的执行、测评报告的出具、公共信息系统正常运行的协助等方面明确了测评机构相应义务。

　　二是确立了测评实施情况报告制度。要求测评机构每季度将测评汇总情况报送市信息委；发现公共信息系统存在重大安全问题时，立即向市信息委报告。

　　三是从信息安全和测评行为客观、公正的角度出发，明确测评机构不得将测评过程中取得的技术数据、业务资料等信息提供给第三方，并禁止从事信息安全产品开发、信息系统集成等活动。同时，对上述违法行为设定了处罚措施。

　　该《办法》还对新建信息系统安全测评的具体时限和内容予以明确要求：对新建公共信息系统，明确在其建设前要将安全设计方案报送市信息委审查，系统试运行结束后30日内，应当进行安全测评。

　　上海市各信息安全重点单位出席会议。

　　上海市公共信息系统安全测评管理办法

　　（2006年5月7日上海市人民政府令第58号公布）

　　第一条（立法目的）

　　为了规范本市公共信息系统安全测评活动，保障公共信息系统正常运行，制定本办法。

　　第二条（定义）

　　本办法所称的公共信息系统安全测评，是指依据有关信息安全标准、规范，对本市承担公共管理职能的机构（以下简称公共管理机构）以及提供社会公共服务的单位（以下简称公共服务单位）的计算机信息系统，进行安全保障性能测试、评估的活动。

　　第三条（适用范围）

　　本市行政区域内的公共信息系统安全测评及其管理活动，适用本办法。法律、法规另有规定的，从其规定。

　　第四条（管理部门）

　　上海市信息化委员会（以下简称市信息委）负责本市公共信息系统安全测评的组织协调和监督管理工作。

　　第五条（责任制度）

　　公共管理机构、公共服务单位的负责人应当承担开展公共信息系统安全测评的管理责任。各有关主管部门应当督促所属的公共管理机构、公共服务单位开展公共信息系统安全测评。

　　第六条（测评年度计划）

　　市信息委应当会同各有关主管部门，制定公共信息系统安全测评年度计划，组织公共管理机构、公共服务单位实施，并进行指导、监督。

　　第七条（新建系统的测评）

　　新建公共信息系统的，公共管理机构、公共服务单位应当在系统建设前将安全设计方案报送市信息委审查；市信息委应当在15日内提出审查意见。新建的公共信息系统试运行结束后30日内，应当进行安全测评。

　　第八条（测评机构）

　　公共信息系统安全测评，应当由国家有关部门认可的信息安全测评机构（以下简称测评机构）实施。公共管理机构的公共信息系统，由市信息委指定的测评机构统一实施安全测评；公共服务单位的公共信息系统，由该单位委托的测评机构实施安全测评。

　　第九条（测评协议）

　　公共管理机构、公共服务单位应当与测评机构签订公共信息系统安全测评协议，明确测评的范围、内容、方案、期限、费用和违约责任等事项。公共信息系统安全测评协议的示范文本，由市信息委制定。

　　第十条（测评要求）

　　测评机构应当依据国家和本市信息技术、信息系统安全的标准、规范，实施公共信息系统安全测评，保证测评活动的客观、公正。

　　第十一条（安全事项告知与协助义务）

　　安全测评的实施过程可能影响公共信息系统正常运行的，测评机构应当事先告知公共管理机构、公共服务单位，并协助其采取相应的预防措施。

　　第十二条（测评报告）

　　测评机构实施公共信息系统安全测评后，应当出具包括以下内容的测评报告：

　　（一）测评范围、内容；

　　（二）测评所依据的相关标准、规范；

　　（三）系统安全的评估结论、整改建议。测评报告应当由测评机构负责人签署。

　　第十三条（安全整改）

　　公共管理机构、公共服务单位应当根据测评报告的整改建议，对公共信息系统采取安全整改措施；测评机构应当给予协助和指导。公共管理机构完成安全整改后15日内，应当将整改情况报送市信息委备案；公共服务单位完成安全整改后15日内，应当将整改情况报送其主管部门备案。

　　第十四条（测评实施情况的报告）

　　测评机构应当每季度将实施公共信息系统安全测评的汇总情况向市信息委报告；发现公共信息系统存在重大安全问题时，应当立即向市信息委报告。

　　第十五条（动态复测）

　　公共信息系统安全测评后，应当每两年进行一次复测；系统的网络结构、信息处理流程等发生重大变更的，应当及时进行复测。公共信息系统的复测应当包括以下内容：

　　（一）系统前次测评时发现的主要问题；

　　（二）核心网络设备、服务器、安全防护设施、应用软件等系统关键部分发生变更，可能出现的安全隐患；

　　（三）新的信息技术可能对系统安全造成的影响。

　　第十六条（测评机构的保密义务）

　　测评机构对公共信息系统安全测评过程中取得的技术数据、业务资料等信息负有保密义务，不得以任何方式将相关信息提供给第三方。

　　第十七条（测评机构的行为禁止）

　　禁止测评机构从事下列活动：

　　（一）信息安全产品开发、营销和信息系统集成活动；

　　（二）限定公共管理机构、公共服务单位购买、使用其指定的信息安全产品；

　　（三）其他可能影响测评客观、公正的活动。

　　第十八条（未进行测评或者整改的处理）

　　公共管理机构、公共服务单位未按照本办法的规定开展公共信息系统安全测评或者采取安全整改措施的，由市信息委或者相关主管部门责令其改正；因未开展公共信息系统安全测评或者采取安全整改措施，导致系统发生安全故障的，依法追究有关负责人的行政责任。

　　第十九条（对测评机构违法行为的处理）

　　对测评机构违反本办法的行为，由市信息委按照下列规定进行处理：

　　（一）违反本办法第十四条规定，未报告公共信息系统安全测评情况或者重大安全问题的，责令改正，并处1万元以下罚款；

　　（二）违反本办法第十六条规定，向第三方提供公共信息系统安全测评相关信息的，或者违反本办法第十七条规定，从事可能影响测评客观、公正的活动的，责令改正，并处3万元以下罚款。

　　第二十条（施行日期）