第三章 计算机信息系统安全检测
第十三条 计算机信息系统安全保障体系检测应包括以下内容:
(一)计算机安全管理责任人和安全技术人员;
(二)安全管理制度和安全稽核制度;
(三)计算机硬件性能和机房环境;
(四)计算机系统软件、应用软件和数据库的安全性;
(五)技术安全措施;
(六)技术测试情况。
各行业计算机信息系统安全保障体系的安全要求,由市主管部门会同市有关行业主管部门制定后发布。
第十四条 专业检测机构在检测时应当保障计算机应用单位生产、教学、科研和经营等活动的正常进行,并保守其商业秘密。
计算机应用单位对专业检测机构检测结论有异议的,可要求市主管部门组织复检。
第十五条 计算机应用单位对计算机信息系统进行设备更新或改造时,对安全保障体系产生直接影响的,应当由专业检测机构对受影响的部分进行检测,确保其不低于最低安全要求。
第十六条 市主管部门认为计算机应用单位存在安全隐患时,可委托专业检测机构对其安全保障体系进行检测。发现问题的,由市主管部门责令应用单位限期按照计算机安全管理行业技术规范要求进行改进。
第十七条 依本规定进行的计算机信息系统安全保障体系检测、计算机信息系统安全专用产品最低安全要求检测,由市主管部门核准的具有检测资格的专业检测机构承担。
专业检测机构应按照计算机安全管理行业技术规范进行检测,其出具的检测报告应真实、客观、公正、完整。
计算机信息系统安全保障体系检测报告副本由专业检测机构报市主管部门备案。
第四章 计算机信息安全和有害数据管理
第十八条 计算机应用单位应当制订信息安全管理制度,并对信息进行安全稽核,防止信息被非法增加、删除、修改或复制。
第十九条 计算机应用单位管理和发布的信息应当具有真实性、完整性和可靠性。
第二十条 计算机应用单位应建立计算机信息系统数据备份制度,按照计算机安全管理行业技术规范要求对备份数据进行保存。
