常工信信發(fā)〔2022〕33號(hào)

       為進(jìn)一步加強(qiáng)我市工業(yè)信息安全服務(wù)商的管理，更好地服務(wù)工業(yè)信息安全保障工作，推動(dòng)本地工業(yè)信息安全產(chǎn)業(yè)高質(zhì)量發(fā)展，依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《江蘇信息化條例》、《江蘇省信息安全風(fēng)險(xiǎn)評(píng)估管理辦法》等有關(guān)法規(guī)文件，我局制定了《常州市工業(yè)信息安全服務(wù)商管理辦法（試行）》。現(xiàn)予印發(fā)，請(qǐng)遵照?qǐng)?zhí)行。

常州市工業(yè)和信息化局

2022年2月15日

  (此件主動(dòng)公開)

常州市工業(yè)信息安全服務(wù)商管理辦法（試行）

第一章  總則

第一條  為健全常州市范圍內(nèi)工業(yè)信息安全管理工作，更好地保障本地工業(yè)企業(yè)網(wǎng)絡(luò)安全，推動(dòng)本地網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展，進(jìn)一步規(guī)范工業(yè)信息安全服務(wù)商的管理，依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《江蘇信息化條例》、《江蘇省信息安全風(fēng)險(xiǎn)評(píng)估管理辦法》等有關(guān)法規(guī)文件，制定本辦法。

第二條  本辦法所稱工業(yè)信息安全服務(wù)商（以下簡(jiǎn)稱“服務(wù)商”），是指為保障工業(yè)信息安全工作提供技術(shù)服務(wù)的非外資企事業(yè)單位及機(jī)構(gòu)。

第三條  本辦法適用于在常州市開展工業(yè)信息安全保障工作的服務(wù)商。

第二章  評(píng)估認(rèn)定

第五條  信息安全企事業(yè)單位自愿提出申請(qǐng)，并提交相關(guān)材料。市工信局組織評(píng)估，對(duì)符合條件的單位授予“工業(yè)信息安全服務(wù)商”資質(zhì)證書。

第六條  申請(qǐng)服務(wù)商的機(jī)構(gòu)應(yīng)滿足以下基本條件：

（一）在本區(qū)域注冊(cè)或設(shè)有分支機(jī)構(gòu),并具有營(yíng)業(yè)執(zhí)照、固定的辦公場(chǎng)所和必要的信息安全相關(guān)技術(shù)裝備，能夠?yàn)楣I(yè)信息安全工作提供技術(shù)和服務(wù)的非外資企事業(yè)單位。

（二）遵守中華人民共和國(guó)現(xiàn)行法律法規(guī)和相關(guān)規(guī)定，在國(guó)家企業(yè)信用信息公示系統(tǒng)中無不良記錄。

（三）注冊(cè)資金在100萬元以上，組織管理結(jié)構(gòu)和監(jiān)管體系清晰明確，業(yè)績(jī)良好。承擔(dān)過工業(yè)信息安全、網(wǎng)絡(luò)安全相關(guān)評(píng)估、測(cè)試等工作，具備工業(yè)信息安全、網(wǎng)絡(luò)安全行為識(shí)別、分析、處置等技術(shù)手段和經(jīng)驗(yàn)，具備相關(guān)基礎(chǔ)知識(shí)，以及7×24小時(shí)應(yīng)急服務(wù)能力，在本市進(jìn)行信息安全風(fēng)險(xiǎn)自評(píng)估機(jī)構(gòu)備案，具有突出的技術(shù)實(shí)力或業(yè)務(wù)特長(zhǎng)。

（四）承擔(dān)工業(yè)信息安全服務(wù)工作的人員能夠保持相對(duì)穩(wěn)定，正式人員數(shù)量不少于10人，本科及以上學(xué)歷人員比例不低于40%；至少6人具備工業(yè)信息安全、網(wǎng)絡(luò)安全等相關(guān)專業(yè)技術(shù)資質(zhì)（信息安全服務(wù)資質(zhì)），和2年以上工業(yè)信息安全、網(wǎng)絡(luò)安全相關(guān)工作經(jīng)驗(yàn)；遵紀(jì)守法，無不良行為記錄；接受過安全保密教育，簽訂了安全保密協(xié)議。

（五）指定一名單位負(fù)責(zé)人，負(fù)責(zé)工業(yè)信息安全工作的人員建設(shè)、管理和任務(wù)的開展。

（六）能夠嚴(yán)格遵守《中華人民共和國(guó)保守國(guó)家秘密法》及其他安全保密規(guī)定，保守工業(yè)信息安全工作支撐任務(wù)相關(guān)秘密和敏感信息，確保工作中涉及的系統(tǒng)信息和數(shù)據(jù)的安全，嚴(yán)防失泄密等事件的發(fā)生。

（七）申請(qǐng)單位的子公司或分支機(jī)構(gòu)不得同時(shí)提交申請(qǐng)。

第七條  評(píng)估認(rèn)定服務(wù)商的程序?yàn)椋?

（一）申報(bào)。申請(qǐng)單位向市工信局提交申請(qǐng)，并附上申請(qǐng)材料及承諾書。

（二）初審。市工信局對(duì)申報(bào)材料完整性、有效性進(jìn)行審查。

（三）專家評(píng)審。市工信局組織專家對(duì)申請(qǐng)單位的技術(shù)能力、業(yè)務(wù)專長(zhǎng)等進(jìn)行評(píng)審，視情況組織現(xiàn)場(chǎng)評(píng)審。擬定服務(wù)商入選名單進(jìn)行公示。

第八條  服務(wù)商遴選工作每年組織一次，入選單位資質(zhì)證書的有效期為三年。

第三章  工作任務(wù)

第九條  服務(wù)商應(yīng)按照工業(yè)信息安全工作要求，開展工業(yè)信息安全監(jiān)測(cè)、信息報(bào)送、應(yīng)急處置等工作，在自主發(fā)現(xiàn)可能發(fā)生或發(fā)生重要工業(yè)信息安全風(fēng)險(xiǎn)或事件時(shí)，應(yīng)第一時(shí)間向市工信局報(bào)告。

第十條  在可能發(fā)生或發(fā)生重大工業(yè)信息安全事件時(shí)，服務(wù)商應(yīng)在市工信局的協(xié)調(diào)指揮下，提供工業(yè)信息安全應(yīng)急技術(shù)支撐服務(wù)，協(xié)助事發(fā)單位或地區(qū)做好事態(tài)控制、隱患消除、系統(tǒng)加固和恢復(fù)等工作。

第十一條  服務(wù)商在執(zhí)行工業(yè)信息安全服務(wù)支撐任務(wù)期間，應(yīng)定期向市工信局報(bào)告工作進(jìn)展，遇重要情況隨時(shí)上報(bào)。

第十二條  服務(wù)商應(yīng)協(xié)助市工信局開展工業(yè)信息安全檢查評(píng)估工作。

第十三條  服務(wù)商應(yīng)協(xié)助市工信局做好相關(guān)應(yīng)急保障工作。

第四章  管理考核

第十四條  市工信局負(fù)責(zé)對(duì)服務(wù)商進(jìn)行監(jiān)督管理，形式包括：現(xiàn)場(chǎng)抽查、日常考核和年度考核，及時(shí)掌握工作情況。

第十五條  市工信局不定期組織專家赴服務(wù)商進(jìn)行現(xiàn)場(chǎng)抽查，主要檢查單位資質(zhì)、專業(yè)技術(shù)人員、技術(shù)能力、規(guī)章制度、項(xiàng)目情況等是否符合相關(guān)要求。

第十六條  市工信局每年底對(duì)服務(wù)商進(jìn)行年度考核。年度考核時(shí)，服務(wù)商應(yīng)按要求提交年度工作總結(jié)。

第十七條  服務(wù)商有下列情形之一的，取消“工業(yè)信息安全服務(wù)商”資質(zhì)證書。

（一）申請(qǐng)材料弄虛作假的。

（二）單位股權(quán)、法人等重要情況發(fā)生變動(dòng)，不符合服務(wù)商基本條件的。

（三）故意泄露被支撐服務(wù)單位工作秘密、重要工業(yè)信息安全數(shù)據(jù)的。

（四）拒不履行服務(wù)商工作義務(wù)，未能完成市工信局指派工作任務(wù)的。

（五）單位經(jīng)營(yíng)活動(dòng)中存在重大違法、違紀(jì)行為，被相關(guān)部門依法查實(shí)的。

（六）單位管理不善，自身發(fā)生數(shù)據(jù)泄露等嚴(yán)重網(wǎng)絡(luò)安全事件的。

（七）違反行業(yè)自律，惡意低價(jià)競(jìng)爭(zhēng)，擾亂市場(chǎng)行為的。

第十八條  單位股權(quán)、法人等重要情況發(fā)生變動(dòng)時(shí)，應(yīng)及時(shí)提交變更材料，市工信局重新進(jìn)行資質(zhì)審核并備案。

第十九條  服務(wù)商及其人員違反本辦法的相關(guān)規(guī)定，對(duì)被支撐服務(wù)單位造成嚴(yán)重危害和損失的，由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。

第二十條  任何單位和個(gè)人如發(fā)現(xiàn)服務(wù)商及其工作人員有違法、違規(guī)行為的，可向市工信局舉報(bào)、投訴。

第五章  附則

第二十四條  本辦法由市工信局負(fù)責(zé)解釋。

第二十五條  本辦法自發(fā)布之日起施行。