江苏省信息安全风险评估管理办法.docx

《江苏省信息安全风险评估管理办法.docx》由会员分享，可在线阅读，更多相关《江苏省信息安全风险评估管理办法.docx（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、附件:江苏省信息平安风险评估管理方法（试行）第一章总则第一条为规范信息平安风险评估（以下简称“风险评 估”）及其管理活动，保障信息系统平安，依据国家有关规 定，结合本省实际，制定本方法。其次条本省行政区域内信息系统风险评估及其管理 活动，适用本方法。第三条 本方法所称信息系统，是指由计算机、信息网 络及其配套的设施、设备构成的，依据肯定的应用目标和规 则对信息进行存储、传输、处理的运行体系。本方法所称重要信息系统，是指履行经济调整、市场监 管、社会管理和公共服务职能的信息系统。本方法所称风险评估，是指依据有关信息平安技术与管 理标准，对信息网络和信息系统及由其存储、传输、处理的 信息的保密性、

2、完整性和可用性等平安属性进行评价的活 动。第四条 县以上信息化主管部门负责本行政区域内风 险评估的组织、指导和监督、检查。跨省或者全国统一联网运行的重要信息系统的风险评 估，可以由其行业管理部门统一组织实施。涉密信息系统的风险评估，由国家保密部门依据有关法 律、法规规定实施。第五条风险评估分为自评估和检查评估两种形式。自评估由信息系统的建设、运营或者运用单位自主开 展。检查评估由县以上信息化主管部门在本行政区域内依 法开展，也可以由信息系统建设、运营或者运用单位的上级 主管部门依据有关标准和规范组织进行，双方实行互备案制 度。其次章组织与实施第六条 信息化主管部门应当定期发布本行政区域内 重要

3、信息系统书目，制定检查评估年度实施安排，并对重要 信息系统管理技术人员开展相关培训。第七条江苏省信息平安测评中心为本省从事信息平 安测评的特地机构，受省信息化主管部门托付，详细负责对 从事风险评估服务的社会机构进行条件审核、业务管理和人 员培训，组织开展全省重要信息系统的外部平安测试。第八条信息系统的建设、运营或者运用单位可以依托 本单位技术力气，或者托付符合条件的风险评估服务机构进 行自评估。第九条 重要信息系统新建、扩建或者改建的，在设计、 验收、运行维护阶段，均应当进行自评估。重要信息系统废 弃、发生重大变更或者平安状况发生重大改变的，应当刚好 进行自评估。第十条 本省行政区域内信息系统

4、应当定期开展风险 评估，其中重要信息系统应当至少每三年进行一次自评估或 检查评估。在规定期限内已进行检查评估的重要信息系统， 可以不再进行自评估。第十一条县以上信息化主管部门托付符合条件的风 险评估服务机构，对本行政区域内重要信息系统实施检查评 估。第十二条信息系统的建设、运营或运用单位托付风险 评估服务机构开展自评估，应当签订风险评估协议；信息化 主管部门托付开展检查评估，受托付的风险评估服务机构应 当与被评估单位签订风险评估协议。对于评估活动可能影响信息系统正常运行的，风险评估 服务机构应当事先告知被评估单位，并帮助其实行相应的预 防措施。第十三条 风险评估应当出具评估报告。评估报告应当

5、包括评估范围、内容、依据、结论和整改建议等。风险评估服务机构出具的自评估报告，应当经被评估单 位认可，并经双方部门负责人签署后生效。风险评估服务机构出具的检查评估报告，应当报托付其 开展评估的主管部门审定；主管部门应当自收到评估报告之 日起10个工作日内，将审定结果和整改看法告知被评估单 位。第十四条 自评估单位应当依据自评估报告进行整改， 并自报告生效之日起30日内，将自评估状况和整改方案报 本级信息化主管部门备案。接受检查评估的单位应当自收到检查评估报告之日起 30日内，依据整改建议提出整改方案、明确整改时限，报本 级信息化主管部门备案。受托付进行风险评估的服务机构应当指导被评估单位开 展

6、整改，并对整改措施的有效性进行验证。第十五条 信息化主管部门应当定期公布已开展自评 估、检查评估单位备案名单，督促未备案单位开展自评估。第十六条未发生重大变更的重要信息系统再次进行 风险评估的，可以参考前次评估结果，重点评估以下内容：（一）前次风险评估发觉的主要问题及整改状况；（二）核心网络设备、服务器、平安防护设施、应用软 件等系统关键部位发生局部变更后，可能出现的平安隐患；（三）新的信息技术可能对信息系统平安造成的影响;（四）其他须要重点评估的内容。第三章风险评估机构第十七条在本省行政区域内从事自评估服务的社会 机构，应当具备下列条件，并报经其所在地省辖市信息化主 管部门备案：（一）依法在

7、中国境内注册成立并在本省设有机构，由 中国公民、法人投资或者由其它组织投资；（二）从事信息平安检测、评估相关业务两年以上，无 违法记录；（三）专业评估人员不少于10人且均为中国公民，接 受并通过相关培训考核，无违法记录；其中主要评估人员2 人以上，具有由国家权威机构认定的或由其它机构认定的相 当水平的信息平安服务资格，具备独立实施风险评估的技术 实力；（四）评估运用的技术装备、设施符合国家信息平安产 品要求；（五）具有完备的保密管理、项目管理、质量管理、人 员管理和培训教化等内部管理制度；（六）法律法规规定的其它条件。第十八条在本省从事检查评估的社会机构，除具备第 十七条规定条件外，还应当同时

8、具备下列条件，并经其所在 地省辖市信息化主管部门审核后，报省信息化主管部门备案:（一）具有国家权威机构认定的信息平安服务资质；（二）评估人员不少于20人，其中主要评估人员4人 以上，具有国家权威机构认定的或由其它机构认定的相当水 平的信息平安服务资格。第十九条 省辖市以上信息化主管部门应当自收到备 案申请报告之日起10个工作日内，告知备案结果，并定期 向社会公布本行政区域内风险评估服务机构备案名单，对其 服务进行管理、监督。其次十条 从事风险评估服务的机构，应当履行下列义 务：（一）遵守国家有关法律法规和技术标准，供应科学、 平安、客观、公正的评估服务，保证评估的质量和效果；（二）保守在评估活

9、动中知悉的国家隐私、商业隐私和 个人隐私，防范平安风险，不得私自占有、运用或向第三方 泄露相关技术数据、业务资料等信息和资源；（三）对服务人员进行平安保密教化，签订服务人员平 安保密责任书，并负责检查落实。第四章监督管理其次十一条违反本方法，有以下行为之一的，由信息 化主管部门责令其限期改正，逾期不改正的，予以通报；对 干脆责任人员，由所在单位或上级主管部门视情赐予行政处分：（一）违反第九条、第十条规定，信息系统的建设、运 营或者运用单位未依据规定开展自评估；重要信息系统的建 设、运营或者运用单位不接受、不协作开展检查评估的；（二）违反第十四条规定，自评估单位未依据规定将自 评估状况和整改方案

10、、接受检查评估单位未依据规定将整改 方案报本级信息化主管部门备案的；（三）违反第八条规定，信息系统的建设、运营或者运 用单位托付不符合条件的机构进行风险评估，并造成不良后 果的。其次十二条违反本方法第十二条规定，风险评估服务 机构未事先告知被评估单位、帮助其实行预防措施的，由信 息化主管部门责令限期改正，并赐予警告；造成不良后果的, 可视情暂停其备案1年，直至取消其备案。其次十三条违反本方法其次十条规定，风险评估服务 机构未经许可向第三方供应被评估单位相关信息的，或者从 事影响评估客观、公正的活动的，由信息化主管部门视情暂 停其备案一年，直至取消其备案。造成被评估单位经济损失 的，应予合理赔偿；从中不当获利的，应予退还；构成犯罪 的，应依法追究其刑事责任。其次十四条 信息化主管部门或其他有关部门工作人 员有下列行为之一的，由其监察部门或上级主管部门视情对 相关责任人员赐予行政处分；构成犯罪的，依法追究刑事责 任：（一）利用职权索取、收受贿赂，或者玩忽职守、滥用 职权的；（二）泄露信息系统的运营、运用单位或者个人的有关 信息、资料及数据文件的。第五章附则其次十五条 本方法自发布之日起施行，由省信息化主 管部门负责说明。