上海市信息系统安全测评管理办法
(2003年1月22日 上海市信息化办公室沪信息办法〔2003〕19号发布 根据2004年10月28日第12次委主任办公会议通过的《上海市信息化委员会关于修改〈上海市信息系统安全测评管理办法〉的决定》修正)
第一条 【制定目的】为了规范本市信息系统安全测评活动,加强本市信息安全监督管理,保障信息系统正常运行,结合本市实际,制定本办法。
第二条 【定义】本办法所称的信息系统安全测评,是指依据国家和本市有关信息技术标准,对信息系统的完整性、保密性、可靠性等安全保障性能进行科学、公正的综合评估的活动。
第三条 【适用范围】本市行政区域内使用财政性资金建设的信息系统和关系到国计民生的社会公共信息系统的安全测评及其管理活动,适用本办法。
第四条 【管理部门】上海市网络与信息安全协调小组负责统一部署全市信息安全工作。
上海市信息化委员会(以下简称市信息委)负责本市信息系统安全测评的统筹规划和监督管理。
其他相关职能部门按照国家和本市有关规定,在各自职责范围内协同做好信息系统安全测评的管理工作。
第五条 【测评中心】上海市信息安全测评认证中心(以下简称测评中心)作为本市专门从事信息安全测评认证的机构,受上海市网络与信息安全协调小组委托,具体负责组织实施本市信息系统安全测评工作。
第六条 【测评原则】信息系统安全测评活动应当遵循科学规范、公正公平、诚实信用的原则。
第七条 【测评标准】信息系统安全测评活动应当按照GB/T18336《信息技术安全技术信息技术安全性评估准则》、GB17859《计算机信息系统安全保护等级划分准则》、DB31/T272《计算机信息系统安全测评通用技术规范》和由相关行业主管部门依据上述标准制定并认可的标准进行。
第八条 【测评申请】新建信息系统承建单位应当在建设前将信息系统应用需求及安全设计方案提交测评中心评审。测评中心应当在收到信息系统应用需求及安全设计方案后的5个工作日内完成评审,并出具评审报告。
