承担公共服务单位公共信息系统安全测评的机构,应当获得国家相关信息安全主管部门的业务授权,通过中国合格评定国家认可委员会(CNAS)有关信息系统安全检测能力的资质认可,并有稳定、可靠的专业测评队伍。
(二)测评协议
测评机构开展测评活动前,须到市信息委领取统一的《上海市公共信息系统安全测评协议示范文本》,并严格按照文本内容与测评对象签订测评协议。
(三)定期核查
市信息委按照《办法》的规定,定期对测评机构的测评活动、相关义务的履行情况、每季度测评实施情况报告等进行核实、检查。对未实行每季度测评实施情况报告、未履行相关义务、从事《办法》禁止的行为活动的测评机构,市信息委发出《上海市公共信息系统测评机构整改单》责令其改正,并处罚款。
八、测评标准的执行
测评机构应当依据国家和本市以及相关行业主管部门制订或认可的安全标准或技术规范开展安全测评。目前本市公共信息系统安全测评执行的标准如下:
1.GB/T 18336-2001《信息技术安全技术信息技术安全性评估准则》;
2.DB31/T 272-2002《计算机信息系统安全测评通用技术规范》;
3.GB/T 19716-2005《信息技术信息安全管理实用规则》。
市信息委将根据国际、国内安全测评标准的发展,及时公布最新的执行标准。
附件:1.上海市公共信息系统安全测评年度计划确认书
2.上海市公共信息系统安全设计方案报审申请书
3.上海市公共信息系统安全设计方案基本要求
4.上海市公共信息系统安全测评基本情况表
5.上海市公共信息系统安全测评基本流程(略)
上海市信息化委员会
二○○六年七月十二日
附件1:
上海市公共信息系统安全测评年度计划确认书
上海市信息化委员会:
根据《
上海市公共信息系统安全测评管理办法》(2006年5月7日上海市人民政府令第58号公布),为落实本市公共信息系统安全测评年度计划要求,本单位同意将下列所属公共信息系统纳入年度上海市公共信息系统安全测评计划,并认真做好该系统安全测评前期准备工作,确保测评年度计划的顺利完成。
系统名称:
