上海市信息化委员会关于做好
《上海市公共信息系统安全测评管理办法》落实工作的通知
市政府各委、办、局信息化工作机构,各区、县信息委,各有关单位:
为落实《上海市公共信息系统安全测评管理办法》(2006年5月7日上海市人民政府令第58号公布,以下简称《办法》),做好本市公共信息系统安全测评工作,现将有关事项通知如下:
一、测评的范围
(一)公共管理机构的公共信息系统
指本市承担公共管理职能的党政机关、司法机关及行政事务执行机构所属的与公共管理相关的信息系统。
(二)公共服务单位的公共信息系统
指本市提供基础信息网络传输、银行、证券、保险、供电、供水、供气、轨道交通、民航、医疗卫生、科技、教育等社会公共服务的单位所属的与公共服务相关的信息系统。
二、测评年度计划的制定及公布
市信息委于每年第三季度会同本市各公共管理机构和公共服务单位的主管部门(以下简称“主管部门”),或者根据公共管理机构和公共服务单位的要求,制定下一年度的测评计划。对已建公共信息系统,按照业务依赖程度、对国计民生的影响程度等进行梳理,分批纳入每年的测评计划;对新建公共信息系统,按照系统建设进度纳入下一年度的测评计划。
纳入测评年度计划的机构和单位,须在规定日期前向市信息委报送《上海市公共信息系统安全测评年度计划确认书》(见附件1)。市信息委据此于当年第一季度公布年度测评计划。
三、新建系统测评程序
(一)安全设计方案报审
公共管理机构和公共服务单位应在所属新建公共信息系统建设(包括已建公共信息系统升级改造)前,填写《上海市公共信息系统安全设计方案报审申请书》(以下简称《报审申请书》,见附件2),并附安全设计方案一式两份报送市信息委审查。(安全设计方案内容见附件3)
(二)安全设计方案审查
安全设计方案的审查,包括符合性审查和内容审查:
1.符合性审查:安全设计方案是否符合有关政策、法规和规划要求;
2.内容审查:安全设计方案与安全需求的适应性、安全技术实现与安全管理实现机制的合理性与科学性等。
市信息委于收到公共管理机构和公共服务单位的《报审申请书》和安全设计方案之日起15个工作日内组织并完成审查,向报送单位出具《上海市公共信息系统安全设计方案审查意见书》(以下简称《审查意见书》),并抄送其主管部门。未通过安全设计方案审查的报送单位,应根据《审查意见书》对原方案进行相应调整,调整后的方案于收到《审查意见书》之日起30日内报送其主管部门,并抄送市信息委。 (三)系统安全测评
公共管理机构和公共服务单位应按照通过审查的安全设计方案建设公共信息系统,并于系统试运行结束后30日内,填写《上海市公共信息系统安全测评基本情况表》(以下简称《基本情况表》,见附件4)送测评机构。测评机构收到《基本情况表》后,应与有关机构和单位约定测评时间,并在约定时间内完成测评流程(见附件5),出具测评报告。相关主管部门应将测评报告的结论作为是否允许该系统投入运行的重要依据。
四、已建系统测评程序
对纳入测评年度计划的已建公共信息系统,相关公共管理机构和公共服务单位应在当年测评计划公布后,填写《基本情况表》送测评机构。测评机构收到《基本情况表》后,应与有关机构和单位约定测评时间,并在约定时间内完成测评流程,出具测评报告。
五、动态管理
本市各公共管理机构和公共服务单位每年应当对所属公共信息系统进行一次信息安全风险自评估,于当年12月将自评估情况报送其主管部门,并抄送市信息委;市信息委负责提供相应的培训和技术指导。公共信息系统通过安全测评后每满两年应当进行一次复测,公共管理机构和公共服务单位应在两年届满前,向测评机构提交《基本情况表》。系统的网络结构、信息处理流程等发生重大变更的,有关机构和单位应当及时申请复测。市信息委每年汇总分析公共信息系统的安全设计方案审查情况、风险自评估情况、安全测评情况和安全整改情况,作为对本市公共信息系统安全监管的重要依据。
六、测评对象监督
市信息委于每年第四季度,组织相关主管部门对列入当年测评计划的公共信息系统进行安全检查。对未按照要求进行公共信息系统安全测评或者采取安全整改措施的公共管理机构或公共服务单位,市信息委发出《上海市公共信息系统安全测评情况抄告单》要求其改正,并将情况抄报相关主管部门;因未开展公共信息系统安全测评或者采取安全整改措施,导致系统发生安全故障的,依法追究有关负责人的行政责任。
七、测评机构管理
(一)测评机构要求
市信息委指定上海市信息安全测评认证中心统一实施本市公共管理机构的公共信息系统安全测评。(上海市信息安全测评认证中心地址:延安西路1228弄2号2楼,电话:62815560)
承担公共服务单位公共信息系统安全测评的机构,应当获得国家相关信息安全主管部门的业务授权,通过中国合格评定国家认可委员会(CNAS)有关信息系统安全检测能力的资质认可,并有稳定、可靠的专业测评队伍。
(二)测评协议
测评机构开展测评活动前,须到市信息委领取统一的《上海市公共信息系统安全测评协议示范文本》,并严格按照文本内容与测评对象签订测评协议。
(三)定期核查
市信息委按照《办法》的规定,定期对测评机构的测评活动、相关义务的履行情况、每季度测评实施情况报告等进行核实、检查。对未实行每季度测评实施情况报告、未履行相关义务、从事《办法》禁止的行为活动的测评机构,市信息委发出《上海市公共信息系统测评机构整改单》责令其改正,并处罚款。
八、测评标准的执行
测评机构应当依据国家和本市以及相关行业主管部门制订或认可的安全标准或技术规范开展安全测评。目前本市公共信息系统安全测评执行的标准如下:
1.GB/T 18336-2001 《信息技术 安全技术 信息技术安全性评估准则》;
2.DB31/T 272-2002 《计算机信息系统安全测评通用技术规范》;
3.GB/T 19716-2005 《信息技术 信息安全管理实用规则》。
市信息委将根据国际、国内安全测评标准的发展,及时公布最新的执行标准。
附件:1.上海市公共信息系统安全测评年度计划确认书
2.上海市公共信息系统安全设计方案报审申请书
3.上海市公共信息系统安全设计方案基本要求
4.上海市公共信息系统安全测评基本情况表
5.上海市公共信息系统安全测评基本流程
上海市信息化委员会
二○○六年七月十二日