公共管理机构和公共服务单位应按照通过审查的安全设计方案建设公共信息系统,并于系统试运行结束后30日内,填写《上海市公共信息系统安全测评基本情况表》(以下简称《基本情况表》,见附件4)送测评机构。测评机构收到《基本情况表》后,应与有关机构和单位约定测评时间,并在约定时间内完成测评流程(见附件5),出具测评报告。相关主管部门应将测评报告的结论作为是否允许该系统投入运行的重要依据。
四、已建系统测评程序
对纳入测评年度计划的已建公共信息系统,相关公共管理机构和公共服务单位应在当年测评计划公布后,填写《基本情况表》送测评机构。测评机构收到《基本情况表》后,应与有关机构和单位约定测评时间,并在约定时间内完成测评流程,出具测评报告。
五、动态管理
本市各公共管理机构和公共服务单位每年应当对所属公共信息系统进行一次信息安全风险自评估,于当年12月将自评估情况报送其主管部门,并抄送市信息委;市信息委负责提供相应的培训和技术指导。公共信息系统通过安全测评后每满两年应当进行一次复测,公共管理机构和公共服务单位应在两年届满前,向测评机构提交《基本情况表》。系统的网络结构、信息处理流程等发生重大变更的,有关机构和单位应当及时申请复测。市信息委每年汇总分析公共信息系统的安全设计方案审查情况、风险自评估情况、安全测评情况和安全整改情况,作为对本市公共信息系统安全监管的重要依据。
六、测评对象监督
市信息委于每年第四季度,组织相关主管部门对列入当年测评计划的公共信息系统进行安全检查。对未按照要求进行公共信息系统安全测评或者采取安全整改措施的公共管理机构或公共服务单位,市信息委发出《上海市公共信息系统安全测评情况抄告单》要求其改正,并将情况抄报相关主管部门;因未开展公共信息系统安全测评或者采取安全整改措施,导致系统发生安全故障的,依法追究有关负责人的行政责任。
七、测评机构管理
(一)测评机构要求
市信息委指定上海市信息安全测评认证中心统一实施本市公共管理机构的公共信息系统安全测评。(上海市信息安全测评认证中心地址:延安西路1228弄2号2楼,电话:62815560)
