第八条 (测评机构)
公共信息系统安全测评,应当由国家有关部门认可的信息安全测评机构(以下简称测评机构)实施。公共管理机构的公共信息系统,由市信息委指定的测评机构统一实施安全测评;公共服务单位的公共信息系统,由该单位委托的测评机构实施安全测评。
第九条 (测评协议)
公共管理机构、公共服务单位应当与测评机构签订公共信息系统安全测评协议,明确测评的范围、内容、方案、期限、费用和违约责任等事项。公共信息系统安全测评协议的示范文本,由市信息委制定。
第十条 (测评要求)
测评机构应当依据国家和本市信息技术、信息系统安全的标准、规范,实施公共信息系统安全测评,保证测评活动的客观、公正。
第十一条 (安全事项告知与协助义务)
安全测评的实施过程可能影响公共信息系统正常运行的,测评机构应当事先告知公共管理机构、公共服务单位,并协助其采取相应的预防措施。
第十二条 (测评报告)
测评机构实施公共信息系统安全测评后,应当出具包括以下内容的测评报告:
(一)测评范围、内容;
(二)测评所依据的相关标准、规范;
(三)系统安全的评估结论、整改建议。测评报告应当由测评机构负责人签署。
第十三条 (安全整改)
公共管理机构、公共服务单位应当根据测评报告的整改建议,对公共信息系统采取安全整改措施;测评机构应当给予协助和指导。公共管理机构完成安全整改后15日内,应当将整改情况报送市信息委备案;公共服务单位完成安全整改后15日内,应当将整改情况报送其主管部门备案。
第十四条 (测评实施情况的报告)
测评机构应当每季度将实施公共信息系统安全测评的汇总情况向市信息委报告;发现公共信息系统存在重大安全问题时,应当立即向市信息委报告。
第十五条 (动态复测)
公共信息系统安全测评后,应当每两年进行一次复测;系统的网络结构、信息处理流程等发生重大变更的,应当及时进行复测。公共信息系统的复测应当包括以下内容:
