各轄市、區(qū)工信局(經(jīng)發(fā)局),常州經(jīng)開區(qū)經(jīng)發(fā)局,各工業(yè)信息安全服務商:
為進一步加強我市工業(yè)信息安全服務商的管理,更好地服務工業(yè)信息安全保障工作,推動本地工業(yè)信息安全產(chǎn)業(yè)高質量發(fā)展,依據(jù)《中華人民共和國網(wǎng)絡安全法》、《江蘇信息化條例》、《江蘇省信息安全風險評估管理辦法》等有關法規(guī)文件,我局制定了《常州市工業(yè)信息安全服務商管理辦法(試行)》?,F(xiàn)予印發(fā),請遵照執(zhí)行。
常州市工業(yè)和信息化局
2022年2月15日
(此件主動公開)
常州市工業(yè)信息安全服務商管理辦法(試行)
第一章 總則
第一條 為健全常州市范圍內(nèi)工業(yè)信息安全管理工作,更好地保障本地工業(yè)企業(yè)網(wǎng)絡安全,推動本地網(wǎng)絡安全產(chǎn)業(yè)高質量發(fā)展,進一步規(guī)范工業(yè)信息安全服務商的管理,依據(jù)《中華人民共和國網(wǎng)絡安全法》、《江蘇信息化條例》、《江蘇省信息安全風險評估管理辦法》等有關法規(guī)文件,制定本辦法。
第二條 本辦法所稱工業(yè)信息安全服務商(以下簡稱“服務商”),是指為保障工業(yè)信息安全工作提供技術服務的非外資企事業(yè)單位及機構。
第三條 本辦法適用于在常州市開展工業(yè)信息安全保障工作的服務商。
第二章 評估認定
第五條 信息安全企事業(yè)單位自愿提出申請,并提交相關材料。市工信局組織評估,對符合條件的單位授予“工業(yè)信息安全服務商”資質證書。
第六條 申請服務商的機構應滿足以下基本條件:
(一)在本區(qū)域注冊或設有分支機構,并具有營業(yè)執(zhí)照、固定的辦公場所和必要的信息安全相關技術裝備,能夠為工業(yè)信息安全工作提供技術和服務的非外資企事業(yè)單位。
(二)遵守中華人民共和國現(xiàn)行法律法規(guī)和相關規(guī)定,在國家企業(yè)信用信息公示系統(tǒng)中無不良記錄。
(三)注冊資金在100萬元以上,組織管理結構和監(jiān)管體系清晰明確,業(yè)績良好。承擔過工業(yè)信息安全、網(wǎng)絡安全相關評估、測試等工作,具備工業(yè)信息安全、網(wǎng)絡安全行為識別、分析、處置等技術手段和經(jīng)驗,具備相關基礎知識,以及7×24小時應急服務能力,在本市進行信息安全風險自評估機構備案,具有突出的技術實力或業(yè)務特長。
(四)承擔工業(yè)信息安全服務工作的人員能夠保持相對穩(wěn)定,正式人員數(shù)量不少于10人,本科及以上學歷人員比例不低于40%;至少6人具備工業(yè)信息安全、網(wǎng)絡安全等相關專業(yè)技術資質(信息安全服務資質),和2年以上工業(yè)信息安全、網(wǎng)絡安全相關工作經(jīng)驗;遵紀守法,無不良行為記錄;接受過安全保密教育,簽訂了安全保密協(xié)議。
(五)指定一名單位負責人,負責工業(yè)信息安全工作的人員建設、管理和任務的開展。
(六)能夠嚴格遵守《中華人民共和國保守國家秘密法》及其他安全保密規(guī)定,保守工業(yè)信息安全工作支撐任務相關秘密和敏感信息,確保工作中涉及的系統(tǒng)信息和數(shù)據(jù)的安全,嚴防失泄密等事件的發(fā)生。
(七)申請單位的子公司或分支機構不得同時提交申請。
第七條 評估認定服務商的程序為:
(一)申報。申請單位向市工信局提交申請,并附上申請材料及承諾書。
(二)初審。市工信局對申報材料完整性、有效性進行審查。
(三)專家評審。市工信局組織專家對申請單位的技術能力、業(yè)務專長等進行評審,視情況組織現(xiàn)場評審。擬定服務商入選名單進行公示。
第八條 服務商遴選工作每年組織一次,入選單位資質證書的有效期為三年。
第三章 工作任務
第九條 服務商應按照工業(yè)信息安全工作要求,開展工業(yè)信息安全監(jiān)測、信息報送、應急處置等工作,在自主發(fā)現(xiàn)可能發(fā)生或發(fā)生重要工業(yè)信息安全風險或事件時,應第一時間向市工信局報告。
第十條 在可能發(fā)生或發(fā)生重大工業(yè)信息安全事件時,服務商應在市工信局的協(xié)調(diào)指揮下,提供工業(yè)信息安全應急技術支撐服務,協(xié)助事發(fā)單位或地區(qū)做好事態(tài)控制、隱患消除、系統(tǒng)加固和恢復等工作。
第十一條 服務商在執(zhí)行工業(yè)信息安全服務支撐任務期間,應定期向市工信局報告工作進展,遇重要情況隨時上報。
第十二條 服務商應協(xié)助市工信局開展工業(yè)信息安全檢查評估工作。
第十三條 服務商應協(xié)助市工信局做好相關應急保障工作。
第四章 管理考核
第十四條 市工信局負責對服務商進行監(jiān)督管理,形式包括:現(xiàn)場抽查、日常考核和年度考核,及時掌握工作情況。
第十五條 市工信局不定期組織專家赴服務商進行現(xiàn)場抽查,主要檢查單位資質、專業(yè)技術人員、技術能力、規(guī)章制度、項目情況等是否符合相關要求。
第十六條 市工信局每年底對服務商進行年度考核。年度考核時,服務商應按要求提交年度工作總結。
第十七條 服務商有下列情形之一的,取消“工業(yè)信息安全服務商”資質證書。
(一)申請材料弄虛作假的。
(二)單位股權、法人等重要情況發(fā)生變動,不符合服務商基本條件的。
(三)故意泄露被支撐服務單位工作秘密、重要工業(yè)信息安全數(shù)據(jù)的。
(四)拒不履行服務商工作義務,未能完成市工信局指派工作任務的。
(五)單位經(jīng)營活動中存在重大違法、違紀行為,被相關部門依法查實的。
(六)單位管理不善,自身發(fā)生數(shù)據(jù)泄露等嚴重網(wǎng)絡安全事件的。
(七)違反行業(yè)自律,惡意低價競爭,擾亂市場行為的。
第十八條 單位股權、法人等重要情況發(fā)生變動時,應及時提交變更材料,市工信局重新進行資質審核并備案。
第十九條 服務商及其人員違反本辦法的相關規(guī)定,對被支撐服務單位造成嚴重危害和損失的,由相關部門依照有關法律、法規(guī)予以處理。
第二十條 任何單位和個人如發(fā)現(xiàn)服務商及其工作人員有違法、違規(guī)行為的,可向市工信局舉報、投訴。
第五章 附則
第二十四條 本辦法由市工信局負責解釋。
第二十五條 本辦法自發(fā)布之日起施行。
掃一掃在手機打開當前頁
|