信息安全风险评估管理办法.docx

《信息安全风险评估管理办法.docx》由会员分享，可在线阅读，更多相关《信息安全风险评估管理办法.docx（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全风险评估管理办法信息安全风险评估管理办法第一章总则第一条为规范信息安全风险评估下面简称“风险评估及其管理活动，保障信息系统安全，根据国家有关规定，结合本省实际，制定本办法。第二条本省行政区域内信息系统风险评估及其管理活动，适用本办法。第三条本办法所称信息系统，是指由计算机、信息网络及其配套的设施、设备构成的，根据一定的应用目的和规则对信息进行存储、传输、处理的运行体系。本办法所称重要信息系统，是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。本办法所称风险评估，是指根据有关信息安全技术与管理标准，对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完好性和可用性等安全

2、属性进行评价的活动。第四条县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。跨省或者全国统一联网运行的重要信息系统的风险评估，能够由其行业管理部门统一组织施行。涉密信息系统的风险评估，由国家保密部门根据有关法律、法规规定施行。第五条风险评估分为自评估和检查评估两种形式。自评估由信息系统的建设、运营或者使用单位自主开展。检查评估由县以上信息化主管部门在本行政区域内依法开展，可以以由信息系统建设、运营或者使用单位的上级主管部门根据有关标准和规范组织进行，双方实行互备案制度。第二章组织与施行第六条信息化主管部门应当定期发布本行政区域内重要信息系统目录，制定检查评估年度施行计划，并

3、对重要信息系统管理技术人员开展相关培训。第七条江苏省信息安全测评中心为本省从事信息安全测评的专门机构，受省信息化主管部门委托，详细负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训，组织开展全省重要信息系统的外部安全测试。第八条信息系统的建设、运营或者使用单位能够依托本单位技术气力，或者委托符合条件的风险评估服务机构进行自评估。第九条重要信息系统新建、扩建或者改建的，在设计、验收、运行维护阶段，均应当进行自评估。重要信息系统废弃、发生重大变更或者安全状况发生重大变化的，应当及时进行自评估。第十条本省行政区域内信息系统应当定期开展风险评估，其中重要信息系统应当至少每三年进行一次自评

4、估或检查评估。在规定期限内已进行检查评估的重要信息系统，能够不再进行自评估。第十一条县以上信息化主管部门委托符合条件的风险评估服务机构，对本行政区域内重要信息系统施行检查评估。第十二条信息系统的建设、运营或使用单位委托风险评估服务机构开展自评估,应当签订风险评估协议；信息化主管部门委托开展检查评估，受委托的风险评估服务机构应当与被评估单位签订风险评估协议。对于评估活动可能影响信息系统正常运行的，风险评估服务机构应当事先告知被评估单位，并协助其采取相应的预防措施。第十三条风险评估应当出具评估报告。评估报告应当包括评估范围、内容、根据、结论和整改建议等。风险评估服务机构出具的自评估报告，应当经被评

5、估单位认可，并经双方部门负责人签署后生效。风险评估服务机构出具的检查评估报告，应当报委托其开展评估的主管部门审定；主管部门应当自收到评估报告之日起10个工作日内，将审定结果和整改意见告知被评估单位。第十四条自评估单位应当根据自评估报告进行整改，并自报告生效之日起30日内，将自评估情况和整改方案报本级信息化主管部门备案。接受检查评估的单位应当自收到检查评估报告之日起30日内，根据整改建议提出整改方案、明确整改时限，报本级信息化主管部门备案。受委托进行风险评估的服务机构应当指导被评估单位开展整改，并对整改措施的有效性进行验证。第十五条信息化主管部门应当定期公布已开展自评估、检查评估单位备案名单，催

6、促未备案单位开展自评估。第十六条未发生重大变更的重要信息系统再次进行风险评估的，能够参考前次评估结果，重点评估下面内容：一前次风险评估发现的主要问题及整改情况；二核心网络设备、服务器、安全防护设施、应用软件等系统关键部位发生局部变更后，可能出现的安全隐患；三新的信息技术可能对信息系统安全造成的影响；四其他需要重点评估的内容。第三章风险评估机构第十七条在本省行政区域内从事自评估服务的社会机构，应当具备下列条件，并报经其所在地省辖市信息化主管部门备案：一依法在中国境内注册成立并在本省设有机构，由中国公民、法人投资或者由其它组织投资；二从事信息安全检测、评估相关业务两年以上，无违法记录；三专业评估人

7、员不少于10人且均为中国公民，接受并通过相关培训考核，无违法记录；其中主要评估人员2人以上，具有由国家权威机构认定的或由其它机构认定的相当水平的信息安全服务资格，具备独立施行风险评估的技术能力;四评估使用的技术装备、设施符合国家信息安全产品要求；五具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度；六法律法规规定的其它条件。第十八条在本省从事检查评估的社会机构，除具备第十七条规定条件外，还应当同时具备下列条件，并经其所在地省辖市信息化主管部门审核后，报省信息化主管部门备案：一具有国家权威机构认定的信息安全服务资质；二评估人员不少于20人，其中主要评估人员4人以上，具有国家

8、权威机构认定的或由其它机构认定的相当水平的信息安全服务资格。第十九条省辖市以上信息化主管部门应当自收到备案申请报告之日起10个工作日内，告知备案结果，并定期向社会公布本行政区域内风险评估服务机构备案名单，对其服务进行管理、监督。第二十条从事风险评估服务的机构，应当履行下列义务：一遵守国家有关法律法规和技术标准，提供科学、安全、客观、公正的评估服务，保证评估的质量和效果；二保守在评估活动中知悉的国家机密、商业机密和个人隐私，防备安全风险，不得私自占有、使用或向第三方泄露相关技术数据、业务资料等信息和资源；三对服务人员进行安全保密教育，签订服务人员安全保密责任书，并负责检查落实。第四章监督管理第二

9、十一条违背本办法，有下面行为之一的，由信息化主管部门责令其限期改正，逾期不改正的，予以通报；对直接责任人员，由所在单位或上级主管部门视情给予行政处分：一违背第九条、第十条规定，信息系统的建设、运营或者使用单位未根据规定开展自评估；重要信息系统的建设、运营或者使用单位不接受、不配合开展检查评估的；二违背第十四条规定，自评估单位未根据规定将自评估情况和整改方案、接受检查评估单位未根据规定将整改方案报本级信息化主管部门备案的；三违背第八条规定，信息系统的建设、运营或者使用单位委托不符合条件的机构进行风险评估，并造成不良后果的。第二十二条违背本办法第十二条规定，风险评估服务机构未事先告知被评估单位、协

10、助其采取预防措施的，由信息化主管部门责令限期改正，并给予警告；造成不良后果的，可视情暂停其备案1年，直至取消其备案。第二十三条违背本办法第二十条规定，风险评估服务机构未经许可向第三方提供被评估单位相关信息的，或者从事影响评估客观、公正的活动的，由信息化主管部门视情暂停其备案一年，直至取消其备案。造成被评估单位经济损失的，应予合理赔偿；从中不当获利的，应予退还；构成犯罪的，应依法追查其刑事责任。第二十四条信息化主管部门或其他有关部门工作人员有下列行为之一的，由其监察部门或上级主管部门视情对相关责任人员给予行政处分；构成犯罪的，依法追查刑事责任：一利用职权索取、收受贿赂，或者玩忽职守、滥用职权的；二泄露信息系统的运营、使用单位或者个人的有关信息、资料及数据文件的。第五章附则第二十五条本办法自发布之日起施行，由省信息化主管部门负责解释。