|
《上海市公共信息系统安全测评管理办法》(简称《办法》)将于2006年7月1日起正式施行。为帮助各有关单位深入理解《办法》,5月30日,上海市信息委和市政府法制办联合召开《上海市公共信息系统安全测评管理办法》宣贯会,介绍了该《办法》的起草和审议过程,并对《办法》的内容进行了解读。
该《办法》所称的公共信息系统安全测评,是指依据有关信息安全标准、规范,对本市承担公共管理职能的机构以及提供社会公共服务的单位的计算机信息系统,进行安全保障性能测试、评估的活动。
该《办法》规定,由市信息委负责相关的组织协调和监督管理工作,会同各有关主管部门制定安全测评年度计划,组织公共管理机构、公共服务单位实施,并进行指导监督。
该《办法》分三个层面明确了安全测评的责任制度:
一是根据“谁主管谁负责、谁运营谁负责”的原则,明确了公共管理机构、公共服务单位的负责人应当承担公共信息系统安全测评的管理责任,各有关主管部门所属的公共管理机构、公共服务单位开展安全测评。
二是明确公共管理机构、公共服务单位承担安全测评工作的具体职责。如按照年度计划开展安全测评;根据测评整改建议,对系统采取安全整改措施;每两年对公共信息系统进行一次复测,并在系统网络结构、信息处理流程等发生重大变更时,及时进行复测。
三是明确责任追究机制,对未按规定开展安全测评或者采取安全整改措施的情形,由市信息委或者相关主管部门责令改正,因未开展公共信息系统安全测评或者采取安全整改措施,导致系统发生安全故障的,依法追究负责人的行政责任。
该《办法》明确,公共信息系统安全测评应当由国家有关部门认可的信息安全测评机构实施。同时,对不同性质公共信息系统的安全测评实施机构作了区别规定:
一是对公共管理机构的公共信息系统,为避免重复投资、多头建设,明确由市信息委指定的测评机构统一实施。目前,市信息委已正式指定由市信息安全测评认证中心承担本市公共管理机构的公共信息系统测评工作。
二是对公共服务单位的公共信息系统,考虑到其中相当部分单位的投资主体多元化,且一般为企业化运作,因此明确由其自主选择测评机构,既可以委托市信息安全测评认证中心,也可以委托经认可的其他测评机构。
为保障安全测评活动公正、有序地开展,该《办法》对测评行为进行了规范:
一是在测评协议的签订、测评标准的执行、测评报告的出具、公共信息系统正常运行的协助等方面明确了测评机构相应义务。
二是确立了测评实施情况报告制度。要求测评机构每季度将测评汇总情况报送市信息委;发现公共信息系统存在重大安全问题时,立即向市信息委报告。
三是从信息安全和测评行为客观、公正的角度出发,明确测评机构不得将测评过程中取得的技术数据、业务资料等信息提供给第三方,并禁止从事信息安全产品开发、信息系统集成等活动。同时,对上述违法行为设定了处罚措施。
该《办法》还对新建信息系统安全测评的具体时限和内容予以明确要求:对新建公共信息系统,明确在其建设前要将安全设计方案报送市信息委审查,系统试运行结束后30日内,应当进行安全测评。
上海市各信息安全重点单位出席会议。
| 
