上海市信息化委员会决定对《上海市信息系统安全测评管理办法》作如下修改：

一、第七条修改为：“信息系统安全测评活动应当按照GB/T18336《信息技术安全技术信息技术安全性评估准则》、GB17859《计算机信息系统安全保护等级划分准则》、DB31/T272《计算机信息系统安全测评通用技术规范》和由相关行业主管部门依据上述标准制定并认可的标准进行。”

二、第十条第一款修改为：“测评中心应当在收齐全部资料后的15个工作日内或者测评申请方认可的时间期限内完成信息系统安全测评工作，并出具信息系统安全测评报告。”

三、第十一条增加一款作为第二款：“在有效期内，信息系统发生网络结构、应用信息处理流程等方面的重大变化，应当重新申请安全测评。信息系统安全审定证书有效期从测评通过之日起重新计算。”

四、第十二条增加一款作为第一款：“市信息委认可测评中心按照相关安全测评标准进行的信息系统安全评审、测评结果。”

第十二条第一款调整为第二款，并修改为：“财政性资金投资新建信息系统安全设计方案未经评审或者未通过评审的，不得进行建设，已建设的信息系统未经安全测评或者未通过安全测评的，不得投入使用。”

第十二条第二款调整为第三款，并修改为：“关系到国计民生的社会公共信息系统应当进行安全测评，未通过安全测评的，市信息委可以予以通报批评，并要求其进行整改。”

五、第十三条修改为：“测评中心应当采取定期检查和不定期抽查相结合的方式，对已经通过安全测评的信息系统实行动态监测，并将监测结果及时向市信息委报告。”

六、有关条文中的“上海市国民经济和社会信息化领导小组”修改为“上海市网络与信息安全协调小组”，“上海市信息化办公室”修改为“上海市信息化委员会”。

本决定自2004年12月12日起施行。《上海市信息系统安全测评管理办法》根据本决定作相应修正后重新发布。
 

上海市信息化委员会
2004年11月12日