信息安全风险评估管理办法.pdf

《信息安全风险评估管理办法.pdf》由会员分享，可在线阅读，更多相关《信息安全风险评估管理办法.pdf（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息平安风险评估管理方法第一章总那么第一条为了标准信息平安风险评估（以下简称 风险评估 ）及其管理活动,保证信息系统平安,依据国家有关规定, 结合本省实际,制定本方法.第二条本省行政区域内信息系统风险评估及其管理活动 , 适合本方法.第三条 本方法所称信息系统,是指由电脑、信息网 络及其配套的设施、设备构成的,根据一定的应用目标和 规那么对信息进行存储、传输、处理的运行体系.本方法所称重要信息系统,是指履行经济调节、市场监管、 社会管理和公共效劳职能的信息系统.本方法所称风险评估,是指依据有关信息平安技术与管理 标准,对信息网络和信息系统及由其存储、 传输、处理的 信息的保密性、完整性和可用性

2、等平安属性进行评价的活 动.第四条 县以上信息化主管部门负责本行政区域内风险评估 的组织、指导和监督、检查.跨省或者全国统一联网运行的重要信息系统的风险评估,可以由其行业管理部门统一组织实施.涉密信息系统的风险评估,由国家保密部门根据有关法律、 法规规定实施.第五条 风险评估分为了自评估和检查评估两种形式.自评估由信息系统的建设、运营或者使用单位自主开展.检查评估由县以上信息化主管部门在本行政区域内依法开展,也可以由信息系统建设、运营或者使用单位的上级主 管部门依据有关标准和标准组织进行,双方实行互备案制 度.第二章组织与实施第六条 信息化主管部门应当定期发布本行政区域内重要信 息系统目录,制

3、定检查评估年度实施方案,并对重要信息 系统管理技术人员开展相关培训.第七条 江苏省信息平安测评中心为了本省从事信息平安测评 的专门机构,受省信息化主管部门委托,具体负责对从事 风险评估效劳的社会机构进行条件审核、业务管理和人员 培训,组织开展全省重要信息系统的外部平安测试.第八条信息系统的建设、运营或者使用单位可以依托本单 位技术力虽,或者委托符合条件的风险评估效劳机构进行 自评估.第九条 重要信息系统新建、扩建或者改建的,在设计、验 收、运行维保阶段,均应当进行自评估.重要信息系统废 弃、发生重大变更或者平安状况发生重大改变的,应当及 时进行自评估.第十条本省行政区域内信息系统应当定期开展风

4、险评估 , 其中重要信息系统应当至少每三年进行一次自评估或检查评估.在规定期限内已进行检查评估的重要信息系统,可 以不再进行自评估.第十一条 县以上信息化主管部门委托符合条件的风险评估 效劳机构,对本行政区域内重要信息系统实施检查评估.第十二条信息系统的建设、运营或使用单位委托风险评估效劳机构开展自评估,应当签订风险评估协议；信息化主管 部门委托开展检查评估,受委托的风险评估效劳机构应当与被评估单位签订风险评估协议.对于评估活动可能影响信息系统正常运行的 ,风险评估服务机构应当事先告知被评估单位,并协助其采取相应的预 防举措.第十三条 风险评估应当出具评估报告.评估报告应当包含 评估范围、内容

5、、依据、结论和整改建议等.风险评估效劳机构出具的自评估报告 ,应当经被评估单位认可,并经双方部门负责人签署后生效.风险评估效劳机构出具的检查评估报告 ,应当报委托其开展评估的主管部门审定；主管部门应当自收到评估报告之 日起 10 个工作日内,将审定结果和整改建议告知被评估单 位.第十四条自评估单位应当根据自评估报告进行整改,并自报告生效之日起 30 日内,将自评估情况和整改方案报本级信息化主管部门备案.接受检查评估的单位应当自收到检查评估报告之日起内,根据整改建议指出整改方案、明确整改时限,报本级信息化主管部门备案.受委托进行风险评估的效劳机构应当指导被评估单位开展30 日整改,并对整改举措的

6、有效性进行验证.第十五条主管部门应当定期公布已开展自评估、检查评估单位备案名单,催促未备案单位开展自评估.第十六条未发生重大变更的重要信息系统再次进行风险评估的,可以参考前次评估结果,重点评估以下内容：（一）前次风险评估发现的主要问题及整改情况；信息化（二）核心网络设备、效劳器、平安防护设施、应用软件等系统关键部位发生局部变更后,可能出现的平安隐患；（三）新的信息技术可能对信息系统平安造成的影响；（四）其他需要重点评估的内容.第三章风险评估机构第十七条 在本省行政区域内从事自评估效劳的社会机构,应当具备以下条件,并报经其所在地省辖市信息化主管部门备案：（一）依法在中国境内注册成立并在本省设有机

7、构,由中国公民、法人投资或者由其它组织投资；（二）从事信息平安检测、评估相关业务两年以上,无违法记录；（三）专业评估人员不少于 10 人且均为了中国公民,接受并通过相关培训考核,无违法记录；其中主要评估人员以上,具有由国家权威机构认定的或由其它机构认定的相2 人当水平的信息平安效劳资格,具备独立实施风险评估的技 术水平；（四）评估使用的技术装备、设施符合国家信息平安产品要求；（五）具有完备的保密管理、工程管理、质虽管理、人员管理和培训教育等内部管理制度；（六）法律法规规定的其它条件.第十八条在本省从事检查评估的社会机构,除具备第十七 条规定条件外,还应当同时具备以下条件,并经其所在地 省辖市信

8、息化主管部门审核后,报省信息化主管部门备案：（一）具有国家权威机构认定的信息平安效劳资质；（二）评估人员不少于 20人,其中主要评估人员 4人以上, 具有国家权威机构认定的或由其它机构认定的相当水平的信息平安效劳资格.第十九条 省辖市以上信息化主管部门应当自收到备案申请 报告之日起 10 个工作日内,告知备案结果,并定期向社会 公布本行政区域内风险评估效劳机构备案名单,对其效劳进行管理、监督.第二十条 从事风险评估效劳的机构,应当履行以下义务：（一）遵守国家有关法律法规和技术标准,提供科学、安全、客观、公正的评估效劳,保证评估的质虽和效果；（二）保守在评估活动中知悉的国家秘密、 商业秘密和个

9、人隐私,防范平安风险,不得私自占有、使用或向第三方 泄露相关技术数据、业务资料等信息和资源；（三）对效劳人员进行平安保密教育,签订效劳人员平安 保密责任书,并负责检查落实.第四章监督管理第二一条 违反本方法,有以下行为了之一的,由信息化主 管部门责令其限期改正,逾期不改正的,予以通报；对直 接责任人员,由所在单位或上级主管部门视情给予行政处 分：（一）违反第九条、第十条规定,信息系统的建设、运营 或者使用单位未根据规定开展自评估；重要信息系统的建设、运营或者使用单位不接受、不配合开展检查评估的；（二）违反第十四条规定,自评估单位未根据规定将自评 估情况和整改方案、接受检查评估单位未根据规定将整

10、改方案报本级信息化主管部门备案的；（三）违反第八条规定,信息系统的建设、运营或者使用 单位委托不符合条件的机构进行风险评估,并造成不良后果的.第二十二条违反本方法第十二条规定,风险评估服务机构未事先告知被评估单位、协助其采取预防举措的, 由信息化主管部门责令限期改正,并给予警告；造成不良 后果的,可视情暂停其备案 1 年,直至取消其备案.第二十三条违反本方法第二十条规定 ,风险评估效劳机构未经许可向第三方提供被评估单位相关信息的,或者从事 影响评估客观、公正的活动的,由信息化主管部门视情暂 停其备案一年,直至取消其备案.造成被评估单位经济损 失的,应予合理赔偿；从中不当获利的,应予退还；构成 犯罪的,应依法追究其刑事责任.第二十四条 信息化主管部门或其他有关部门工作人员有下 列行为了之一的,由其监察部门或上级主管部门视情对相关责任人员给予行政处分；构成犯罪的,依法追究刑事责任：（一）利用职权索取、 收受贿赂,或者玩忽职守、 滥用职 权的；（二）泄露信息系统的运营、使用单位或者个人的有关信 息、资料及数据文件的.第五章附那么第二十五条 本方法自发布之日起施行,由省信息化主管部 门负责解释.