系统建设完成后,承建单位应当向测评中心提出安全测评申请。
第九条 【提交资料】申请安全测评的单位应当向测评中心提交下列资料:
(一)上海市信息系统安全测评申请书;
(二)信息系统应用需求及安全设计方案。
第十条 【测评期限】测评中心应当在收齐全部资料后的15个工作日内或者测评申请方认可的时间期限内完成信息系统安全测评工作,并出具信息系统安全测评报告。
对通过安全测评的信息系统,测评中心应当发放信息系统安全审定证书。
对未通过安全测评的信息系统,申请单位应当根据安全测评报告的建议,完善信息系统安全建设,并重新提出测评申请。
第十一条 【证书有效期】信息系统安全审定证书有效期为两年,有效期届满后应当对信息系统进行复测。
在有效期内,信息系统发生网络结构、应用信息处理流程等方面的重大变化,应当重新申请安全测评。信息系统安全审定证书有效期从测评通过之日起重新计算。
第十二条 【限制行为】市信息委认可测评中心按照相关安全测评标准进行的信息系统安全评审、测评结果。
财政性资金投资新建信息系统安全设计方案未经评审或者未通过评审的,不得进行建设,已建设的信息系统未经安全测评或者未通过安全测评的,不得投入使用。
关系到国计民生的社会公共信息系统应当进行安全测评,未通过安全测评的,市信息委可以予以通报批评,并要求其进行整改。
第十三条 【动态监测】测评中心应当采取定期检查和不定期抽查相结合的方式,对已经通过安全测评的信息系统实行动态监测,并将监测结果及时向市信息委报告。
第十四条 【测评中心质量管理】测评中心应当按照GB/T15481《检测和校准实验室能力的通用要求》进行建设和管理。
第十五条 【测评中心内部管理】测评中心应当建立严格的内部业务和人员管理制度。
测评中心应当实行岗位责任制,配备熟悉测评程序及方法的工作人员,并实施有效的监督管理。
测评中心应当与从事安全测评的工作人员签订保密协议。测评中心应当健全培训制度,建立一支稳定的、能满足安全测评持续发展要求的安全测评队伍。
