| 各轄市����、區(qū)工信局(經(jīng)發(fā)局)���,常州經(jīng)開區(qū)經(jīng)發(fā)局����,各工業(yè)信息安全服務商:
為進一步加強我市工業(yè)信息安全服務商的管理���,更好地服務工業(yè)信息安全保障工作,推動本地工業(yè)信息安全產(chǎn)業(yè)高質(zhì)量發(fā)展��,依據(jù)《中華人民共和國網(wǎng)絡安全法》���、《江蘇信息化條例》��、《江蘇省信息安全風險評估管理辦法》等有關(guān)法規(guī)文件�����,我局制定了《常州市工業(yè)信息安全服務商管理辦法(試行)》?����,F(xiàn)予印發(fā)���,請遵照執(zhí)行。
常州市工業(yè)和信息化局
2022年2月15日
(此件主動公開)
常州市工業(yè)信息安全服務商管理辦法(試行)
第一章 總則
第一條 為健全常州市范圍內(nèi)工業(yè)信息安全管理工作,更好地保障本地工業(yè)企業(yè)網(wǎng)絡安全�,推動本地網(wǎng)絡安全產(chǎn)業(yè)高質(zhì)量發(fā)展,進一步規(guī)范工業(yè)信息安全服務商的管理��,依據(jù)《中華人民共和國網(wǎng)絡安全法》����、《江蘇信息化條例》、《江蘇省信息安全風險評估管理辦法》等有關(guān)法規(guī)文件��,制定本辦法����。
第二條 本辦法所稱工業(yè)信息安全服務商(以下簡稱“服務商”),是指為保障工業(yè)信息安全工作提供技術(shù)服務的非外資企事業(yè)單位及機構(gòu)�����。
第三條 本辦法適用于在常州市開展工業(yè)信息安全保障工作的服務商�����。
第二章 評估認定
第五條 信息安全企事業(yè)單位自愿提出申請����,并提交相關(guān)材料�����。市工信局組織評估���,對符合條件的單位授予“工業(yè)信息安全服務商”資質(zhì)證書。
第六條 申請服務商的機構(gòu)應滿足以下基本條件:
(一)在本區(qū)域注冊或設有分支機構(gòu),并具有營業(yè)執(zhí)照��、固定的辦公場所和必要的信息安全相關(guān)技術(shù)裝備��,能夠為工業(yè)信息安全工作提供技術(shù)和服務的非外資企事業(yè)單位�。
(二)遵守中華人民共和國現(xiàn)行法律法規(guī)和相關(guān)規(guī)定�����,在國家企業(yè)信用信息公示系統(tǒng)中無不良記錄�����。
(三)注冊資金在100萬元以上�,組織管理結(jié)構(gòu)和監(jiān)管體系清晰明確,業(yè)績良好�����。承擔過工業(yè)信息安全、網(wǎng)絡安全相關(guān)評估�����、測試等工作����,具備工業(yè)信息安全、網(wǎng)絡安全行為識別����、分析、處置等技術(shù)手段和經(jīng)驗���,具備相關(guān)基礎知識�����,以及7×24小時應急服務能力����,在本市進行信息安全風險自評估機構(gòu)備案�,具有突出的技術(shù)實力或業(yè)務特長。
(四)承擔工業(yè)信息安全服務工作的人員能夠保持相對穩(wěn)定���,正式人員數(shù)量不少于10人��,本科及以上學歷人員比例不低于40%��;至少6人具備工業(yè)信息安全����、網(wǎng)絡安全等相關(guān)專業(yè)技術(shù)資質(zhì)(信息安全服務資質(zhì)),和2年以上工業(yè)信息安全���、網(wǎng)絡安全相關(guān)工作經(jīng)驗�;遵紀守法�����,無不良行為記錄����;接受過安全保密教育����,簽訂了安全保密協(xié)議。
(五)指定一名單位負責人���,負責工業(yè)信息安全工作的人員建設�、管理和任務的開展。
(六)能夠嚴格遵守《中華人民共和國保守國家秘密法》及其他安全保密規(guī)定����,保守工業(yè)信息安全工作支撐任務相關(guān)秘密和敏感信息,確保工作中涉及的系統(tǒng)信息和數(shù)據(jù)的安全���,嚴防失泄密等事件的發(fā)生�。
(七)申請單位的子公司或分支機構(gòu)不得同時提交申請��。
第七條 評估認定服務商的程序為:
(一)申報����。申請單位向市工信局提交申請,并附上申請材料及承諾書����。
(二)初審。市工信局對申報材料完整性��、有效性進行審查����。
(三)專家評審����。市工信局組織專家對申請單位的技術(shù)能力��、業(yè)務專長等進行評審����,視情況組織現(xiàn)場評審。擬定服務商入選名單進行公示���。
第八條 服務商遴選工作每年組織一次����,入選單位資質(zhì)證書的有效期為三年�。
第三章 工作任務
第九條 服務商應按照工業(yè)信息安全工作要求,開展工業(yè)信息安全監(jiān)測���、信息報送、應急處置等工作�����,在自主發(fā)現(xiàn)可能發(fā)生或發(fā)生重要工業(yè)信息安全風險或事件時�����,應第一時間向市工信局報告。
第十條 在可能發(fā)生或發(fā)生重大工業(yè)信息安全事件時���,服務商應在市工信局的協(xié)調(diào)指揮下����,提供工業(yè)信息安全應急技術(shù)支撐服務�,協(xié)助事發(fā)單位或地區(qū)做好事態(tài)控制、隱患消除�、系統(tǒng)加固和恢復等工作。
第十一條 服務商在執(zhí)行工業(yè)信息安全服務支撐任務期間����,應定期向市工信局報告工作進展,遇重要情況隨時上報���。
第十二條 服務商應協(xié)助市工信局開展工業(yè)信息安全檢查評估工作����。
第十三條 服務商應協(xié)助市工信局做好相關(guān)應急保障工作���。
第四章 管理考核
第十四條 市工信局負責對服務商進行監(jiān)督管理�����,形式包括:現(xiàn)場抽查���、日?���?己撕湍甓瓤己?��,及時掌握工作情況����。
第十五條 市工信局不定期組織專家赴服務商進行現(xiàn)場抽查���,主要檢查單位資質(zhì)�����、專業(yè)技術(shù)人員、技術(shù)能力�����、規(guī)章制度、項目情況等是否符合相關(guān)要求�����。
第十六條 市工信局每年底對服務商進行年度考核��。年度考核時�����,服務商應按要求提交年度工作總結(jié)��。
第十七條 服務商有下列情形之一的�,取消“工業(yè)信息安全服務商”資質(zhì)證書。
(一)申請材料弄虛作假的����。
(二)單位股權(quán)、法人等重要情況發(fā)生變動����,不符合服務商基本條件的。
(三)故意泄露被支撐服務單位工作秘密�����、重要工業(yè)信息安全數(shù)據(jù)的。
(四)拒不履行服務商工作義務�,未能完成市工信局指派工作任務的。
(五)單位經(jīng)營活動中存在重大違法����、違紀行為,被相關(guān)部門依法查實的�。
(六)單位管理不善,自身發(fā)生數(shù)據(jù)泄露等嚴重網(wǎng)絡安全事件的�����。
(七)違反行業(yè)自律����,惡意低價競爭,擾亂市場行為的�����。
第十八條 單位股權(quán)�����、法人等重要情況發(fā)生變動時,應及時提交變更材料��,市工信局重新進行資質(zhì)審核并備案����。
第十九條 服務商及其人員違反本辦法的相關(guān)規(guī)定�,對被支撐服務單位造成嚴重危害和損失的,由相關(guān)部門依照有關(guān)法律��、法規(guī)予以處理�。
第二十條 任何單位和個人如發(fā)現(xiàn)服務商及其工作人員有違法、違規(guī)行為的��,可向市工信局舉報�����、投訴���。
第五章 附則
第二十四條 本辦法由市工信局負責解釋��。
第二十五條 本辦法自發(fā)布之日起施行�����。
|