（2006年5月7日上海市人民政府令第58號(hào)公布，根據(jù)2010年12月20日上海市人民政府令第52號(hào)公布的《上海市人民政府關(guān)于修改?上海市農(nóng)機(jī)事故處理暫行規(guī)定?等148件市政府規(guī)章的決定》修正并重新發(fā)布）

第一條 （立法目的）

為了規(guī)范本市公共信息系統(tǒng)安全測(cè)評(píng)活動(dòng)，保障公共信息系統(tǒng)正常運(yùn)行，制定本辦法。

第二條 （定義）

本辦法所稱的公共信息系統(tǒng)安全測(cè)評(píng)，是指依據(jù)有關(guān)信息安全標(biāo)準(zhǔn)、規(guī)范，對(duì)本市承擔(dān)公共管理職能的機(jī)構(gòu)（以下簡(jiǎn)稱公共管理機(jī)構(gòu)）以及提供社會(huì)公共服務(wù)的單位（以下簡(jiǎn)稱公共服務(wù)單位）的計(jì)算機(jī)信息系統(tǒng)，進(jìn)行安全保障性能測(cè)試、評(píng)估的活動(dòng)。

第三條 （適用范圍）

本市行政區(qū)域內(nèi)的公共信息系統(tǒng)安全測(cè)評(píng)及其管理活動(dòng)，適用本辦法。法律、法規(guī)另有規(guī)定的，從其規(guī)定。

第四條 （管理部門）

上海市經(jīng)濟(jì)和信息化委員會(huì)（以下簡(jiǎn)稱市經(jīng)濟(jì)信息化委）負(fù)責(zé)本市公共信息系統(tǒng)安全測(cè)評(píng)的組織協(xié)調(diào)和監(jiān)督管理工作。

第五條 （責(zé)任制度）

公共管理機(jī)構(gòu)、公共服務(wù)單位的負(fù)責(zé)人應(yīng)當(dāng)承擔(dān)開(kāi)展公共信息系統(tǒng)安全測(cè)評(píng)的管理責(zé)任。

各有關(guān)主管部門應(yīng)當(dāng)督促所屬的公共管理機(jī)構(gòu)、公共服務(wù)單位開(kāi)展公共信息系統(tǒng)安全測(cè)評(píng)。

第六條 （測(cè)評(píng)年度計(jì)劃）

市經(jīng)濟(jì)信息化委應(yīng)當(dāng)會(huì)同各有關(guān)主管部門，制定公共信息系統(tǒng)安全測(cè)評(píng)年度計(jì)劃，組織公共管理機(jī)構(gòu)、公共服務(wù)單位實(shí)施，并進(jìn)行指導(dǎo)、監(jiān)督。

第七條 （新建系統(tǒng)的測(cè)評(píng)）

新建公共信息系統(tǒng)的，公共管理機(jī)構(gòu)、公共服務(wù)單位應(yīng)當(dāng)在系統(tǒng)建設(shè)前將安全設(shè)計(jì)方案報(bào)送市經(jīng)濟(jì)信息化委審查；市經(jīng)濟(jì)信息化委應(yīng)當(dāng)在15日內(nèi)提出審查意見(jiàn)。

新建的公共信息系統(tǒng)試運(yùn)行結(jié)束后30日內(nèi)，應(yīng)當(dāng)進(jìn)行安全測(cè)評(píng)。

第八條 （測(cè)評(píng)機(jī)構(gòu)）

公共信息系統(tǒng)安全測(cè)評(píng)，應(yīng)當(dāng)由國(guó)家有關(guān)部門認(rèn)可的信息安全測(cè)評(píng)機(jī)構(gòu)（以下簡(jiǎn)稱測(cè)評(píng)機(jī)構(gòu)）實(shí)施。

公共管理機(jī)構(gòu)的公共信息系統(tǒng)，由市經(jīng)濟(jì)信息化委指定的測(cè)評(píng)機(jī)構(gòu)統(tǒng)一實(shí)施安全測(cè)評(píng)；公共服務(wù)單位的公共信息系統(tǒng)，由該單位委托的測(cè)評(píng)機(jī)構(gòu)實(shí)施安全測(cè)評(píng)。

第九條 （測(cè)評(píng)協(xié)議）

公共管理機(jī)構(gòu)、公共服務(wù)單位應(yīng)當(dāng)與測(cè)評(píng)機(jī)構(gòu)簽訂公共信息系統(tǒng)安全測(cè)評(píng)協(xié)議，明確測(cè)評(píng)的范圍、內(nèi)容、方案、期限、費(fèi)用和違約責(zé)任等事項(xiàng)。

公共信息系統(tǒng)安全測(cè)評(píng)協(xié)議的示范文本，由市經(jīng)濟(jì)信息化委制定。

第十條 （測(cè)評(píng)要求）

測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)依據(jù)國(guó)家和本市信息技術(shù)、信息系統(tǒng)安全的標(biāo)準(zhǔn)、規(guī)范，實(shí)施公共信息系統(tǒng)安全測(cè)評(píng)，保證測(cè)評(píng)活動(dòng)的客觀、公正。

第十一條 （安全事項(xiàng)告知與協(xié)助義務(wù)）

安全測(cè)評(píng)的實(shí)施過(guò)程可能影響公共信息系統(tǒng)正常運(yùn)行的，測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)事先告知公共管理機(jī)構(gòu)、公共服務(wù)單位，并協(xié)助其采取相應(yīng)的預(yù)防措施。

第十二條 （測(cè)評(píng)報(bào)告）

測(cè)評(píng)機(jī)構(gòu)實(shí)施公共信息系統(tǒng)安全測(cè)評(píng)后，應(yīng)當(dāng)出具包括以下內(nèi)容的測(cè)評(píng)報(bào)告：

（一）測(cè)評(píng)范圍、內(nèi)容；

（二）測(cè)評(píng)所依據(jù)的相關(guān)標(biāo)準(zhǔn)、規(guī)范；

（三）系統(tǒng)安全的評(píng)估結(jié)論、整改建議。

測(cè)評(píng)報(bào)告應(yīng)當(dāng)由測(cè)評(píng)機(jī)構(gòu)負(fù)責(zé)人簽署。

第十三條 （安全整改）

公共管理機(jī)構(gòu)、公共服務(wù)單位應(yīng)當(dāng)根據(jù)測(cè)評(píng)報(bào)告的整改建議，對(duì)公共信息系統(tǒng)采取安全整改措施；測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)給予協(xié)助和指導(dǎo)。

公共管理機(jī)構(gòu)完成安全整改后15日內(nèi)，應(yīng)當(dāng)將整改情況報(bào)送市經(jīng)濟(jì)信息化委備案；公共服務(wù)單位完成安全整改后15日內(nèi)，應(yīng)當(dāng)將整改情況報(bào)送其主管部門備案。

第十四條 （測(cè)評(píng)實(shí)施情況的報(bào)告）

測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)每季度將實(shí)施公共信息系統(tǒng)安全測(cè)評(píng)的匯總情況向市經(jīng)濟(jì)信息化委報(bào)告；發(fā)現(xiàn)公共信息系統(tǒng)存在重大安全問(wèn)題時(shí)，應(yīng)當(dāng)立即向市經(jīng)濟(jì)信息化委報(bào)告。

第十五條 （動(dòng)態(tài)復(fù)測(cè)）

公共信息系統(tǒng)安全測(cè)評(píng)后，應(yīng)當(dāng)每?jī)赡赀M(jìn)行一次復(fù)測(cè)；系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、信息處理流程等發(fā)生重大變更的，應(yīng)當(dāng)及時(shí)進(jìn)行復(fù)測(cè)。

公共信息系統(tǒng)的復(fù)測(cè)應(yīng)當(dāng)包括以下內(nèi)容：

（一）系統(tǒng)前次測(cè)評(píng)時(shí)發(fā)現(xiàn)的主要問(wèn)題；

（二）核心網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全防護(hù)設(shè)施、應(yīng)用軟件等系統(tǒng)關(guān)鍵部分發(fā)生變更，可能出現(xiàn)的安全隱患；

（三）新的信息技術(shù)可能對(duì)系統(tǒng)安全造成的影響。

第十六條 （測(cè)評(píng)機(jī)構(gòu)的保密義務(wù)）

測(cè)評(píng)機(jī)構(gòu)對(duì)公共信息系統(tǒng)安全測(cè)評(píng)過(guò)程中取得的技術(shù)數(shù)據(jù)、業(yè)務(wù)資料等信息負(fù)有保密義務(wù)，不得以任何方式將相關(guān)信息提供給第三方。

第十七條 （測(cè)評(píng)機(jī)構(gòu)的行為禁止）

禁止測(cè)評(píng)機(jī)構(gòu)從事下列活動(dòng)：

（一）信息安全產(chǎn)品開(kāi)發(fā)、營(yíng)銷和信息系統(tǒng)集成活動(dòng)；

（二）限定公共管理機(jī)構(gòu)、公共服務(wù)單位購(gòu)買、使用其指定的信息安全產(chǎn)品；

（三）其他可能影響測(cè)評(píng)客觀、公正的活動(dòng)。

第十八條 （未進(jìn)行測(cè)評(píng)或者整改的處理）

公共管理機(jī)構(gòu)、公共服務(wù)單位未按照本辦法的規(guī)定開(kāi)展公共信息系統(tǒng)安全測(cè)評(píng)或者采取安全整改措施的，由市經(jīng)濟(jì)信息化委或者相關(guān)主管部門責(zé)令其改正；因未開(kāi)展公共信息系統(tǒng)安全測(cè)評(píng)或者采取安全整改措施，導(dǎo)致系統(tǒng)發(fā)生安全故障的，依法追究有關(guān)負(fù)責(zé)人的行政責(zé)任。

第十九條 （對(duì)測(cè)評(píng)機(jī)構(gòu)違法行為的處理）

對(duì)測(cè)評(píng)機(jī)構(gòu)違反本辦法的行為，由市經(jīng)濟(jì)信息化委按照下列規(guī)定進(jìn)行處理：

（一）違反本辦法第十四條規(guī)定，未報(bào)告公共信息系統(tǒng)安全測(cè)評(píng)情況或者重大安全問(wèn)題的，責(zé)令改正，并處1萬(wàn)元以下罰款；

（二）違反本辦法第十六條規(guī)定，向第三方提供公共信息系統(tǒng)安全測(cè)評(píng)相關(guān)信息的，或者違反本辦法第十七條規(guī)定，從事可能影響測(cè)評(píng)客觀、公正的活動(dòng)的，責(zé)令改正，并處3萬(wàn)元以下罰款。

第二十條 （施行日期）

本辦法自2006年7月1日起施行。