信息系统安全测评活动应当遵循科学规范、公正公平、诚实信用的原则。
第七条 (测评标准)
信息系统安全测评活动应当按照《GB/T18336信息技术、安全技术、信息技术安全性评估准则》、GB17859《计算机信息系统安全保护等级划分准则》和DB31/T272《计算机信息系统安全测评通用技术规范》等有关标准进行。
第八条 (测评申请)
新建信息系统承建单位应当在建设前将信息系统应用需求及安全设计方案提交测评中心评审。测评中心应当在收到信息系统应用需求及安全设计方案后的5个工作日内完成评审,并出具评审报告。
系统建设完成后,承建单位应当向测评中心提出安全测评申请。
第九条 (提交资料)
申请安全测评的单位应当向测评中心提交下列资料:
(一)上海市信息系统安全测评申请书;
(二)信息系统应用需求及安全设计方案。
第十条 (测评期限)
测评中心应当在收齐全部资料后的15个工作日内完成信息系统安全测评工作,并出具信息系统安全测评报告。
对通过安全测评的信息系统,测评中心应当发放信息系统安全审定证书。
对未通过安全测评的信息系统,申请单位应当根据安全测评报告的建议,完善信息系统安全建设,并重新提出测评申请。
第十一条 (证书有效期)
信息系统安全审定证书有效期为两年,有效期届满后应当对信息系统进行复测。
第十二条 (限制行为)
新建信息系统安全设计方案未经评审或者未通过评审的,不得进行建设。
信息系统未经安全测评或者未通过安全测评的,不得投入使用。
第十三条 (动态监管)
测评中心应当采取定期检查和不定期抽查相结合的方式,对已经通过安全测评的信息系统实行动态监管。
第十四条 (测评中心质量管理)
