信息安全風(fēng)險(xiǎn)評價(jià)管理辦法_第1頁
信息安全風(fēng)險(xiǎn)評價(jià)管理辦法_第2頁
信息安全風(fēng)險(xiǎn)評價(jià)管理辦法_第3頁
信息安全風(fēng)險(xiǎn)評價(jià)管理辦法_第4頁
免費(fèi)預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、信息安全風(fēng)險(xiǎn)評估管理辦法1信息安全風(fēng)險(xiǎn)評估管理辦法第一章總則第一條為規(guī)范信息安全風(fēng)險(xiǎn)評估(以下簡稱“風(fēng)險(xiǎn)評估”)及其管理活動(dòng),保障信息系統(tǒng)安全,依據(jù)國家有關(guān)規(guī)定,結(jié)合本 省實(shí)際,制定本辦法。第二條本省行政區(qū)域內(nèi)信息系統(tǒng)風(fēng)險(xiǎn)評估及其管理活動(dòng),適用本辦法。第三條本辦法所稱信息系統(tǒng), 是指由計(jì)算機(jī)、信息網(wǎng)絡(luò)及其 配套的設(shè)施、設(shè)備構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn) 行存儲(chǔ)、傳輸、處理的運(yùn)行體系。本辦法所稱重要信息系統(tǒng),是指履行經(jīng)濟(jì)調(diào)節(jié)、市場監(jiān)管、 社會(huì)管理和公共服務(wù)職能的信息系統(tǒng)。本辦法所稱風(fēng)險(xiǎn)評估,是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo) 準(zhǔn),對信息網(wǎng)絡(luò)和信息系統(tǒng)及由其存儲(chǔ)、傳輸、處理的信息的保 密性

2、、完整性和可用性等安全屬性進(jìn)行評價(jià)的活動(dòng)。第四條縣以上信息化主管部門負(fù)責(zé)本行政區(qū)域內(nèi)風(fēng)險(xiǎn)評估 的組織、指導(dǎo)和監(jiān)督、檢查??缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的重要信息系統(tǒng)的風(fēng)險(xiǎn)評估,可以由其行業(yè)管理部門統(tǒng)一組織實(shí)施。涉密信息系統(tǒng)的風(fēng)險(xiǎn)評估,由國家保密部門按照有關(guān)法律、法規(guī)規(guī)定實(shí)施。第五條風(fēng)險(xiǎn)評估分為自評估和檢查評估兩種形式。自評估由信息系統(tǒng)的建設(shè)、 運(yùn)營或者使用單位自主開展。 檢 查評估由縣以上信息化主管部門在本行政區(qū)域內(nèi)依法開展,也可以由信息系統(tǒng)建設(shè)、運(yùn)營或者使用單位的上級主管部門依據(jù)有關(guān) 標(biāo)準(zhǔn)和規(guī)范組織進(jìn)行,雙方實(shí)行互備案制度。第二章組織與實(shí)施第六條信息化主管部門應(yīng)當(dāng)定期發(fā)布本行政區(qū)域內(nèi)重要信 息系統(tǒng)

3、目錄,制定檢查評估年度實(shí)施計(jì)劃, 并對重要信息系統(tǒng)管 理技術(shù)人員開展相關(guān)培訓(xùn)。第七條江蘇省信息安全測評中心為本省從事信息安全測評 的專門機(jī)構(gòu),受省信息化主管部門委托, 具體負(fù)責(zé)對從事風(fēng)險(xiǎn)評 估服務(wù)的社會(huì)機(jī)構(gòu)進(jìn)行條件審核、業(yè)務(wù)管理和人員培訓(xùn),組織開 展全省重要信息系統(tǒng)的外部安全測試。第八條信息系統(tǒng)的建設(shè)、運(yùn)營或者使用單位可以依托本單位 技術(shù)力量,或者委托符合條件的風(fēng)險(xiǎn)評估服務(wù)機(jī)構(gòu)進(jìn)行自評估。第九條重要信息系統(tǒng)新建、擴(kuò)建或者改建的,在設(shè)計(jì)、驗(yàn)收、 運(yùn)行維護(hù)階段,均應(yīng)當(dāng)進(jìn)行自評估。重要信息系統(tǒng)廢棄、發(fā)生重 大變更或者安全狀況發(fā)生重大變化的,應(yīng)當(dāng)及時(shí)進(jìn)行自評估。第十條本省行政區(qū)域內(nèi)信息系統(tǒng)應(yīng)當(dāng)定期開展

4、風(fēng)險(xiǎn)評估,其中重要信息系統(tǒng)應(yīng)當(dāng)至少每三年進(jìn)行一次自評估或檢查評估。在規(guī)定期限內(nèi)已進(jìn)行檢查評估的重要信息系統(tǒng),可以不再進(jìn)行自評估。第十一條縣以上信息化主管部門委托符合條件的風(fēng)險(xiǎn)評估服務(wù)機(jī)構(gòu),對本行政區(qū)域內(nèi)重要信息系統(tǒng)實(shí)施檢查評估。第十二條信息系統(tǒng)的建設(shè)、運(yùn)營或使用單位委托風(fēng)險(xiǎn)評估服務(wù)機(jī)構(gòu)開展 自評估,應(yīng)當(dāng)簽訂風(fēng)險(xiǎn)評估協(xié)議;信息化主管部門委托開展檢查 評估,受委托的風(fēng)險(xiǎn)評估服務(wù)機(jī)構(gòu)應(yīng)當(dāng)與被評估單位簽訂風(fēng)險(xiǎn)評 估協(xié)議。對于評估活動(dòng)可能影響信息系統(tǒng)正常運(yùn)行的,風(fēng)險(xiǎn)評估服務(wù)機(jī)構(gòu)應(yīng)當(dāng)事先告知被評估單位,并協(xié)助其采取相應(yīng)的預(yù)防措施。第十三條風(fēng)險(xiǎn)評估應(yīng)當(dāng)出具評估報(bào)告。評估報(bào)告應(yīng)當(dāng)包括評估范圍、內(nèi)容、依據(jù)、結(jié)論

5、和整改建議等。風(fēng)險(xiǎn)評估服務(wù)機(jī)構(gòu)出具的自評估報(bào)告,應(yīng)當(dāng)經(jīng)被評估單位認(rèn)可,并經(jīng)雙方部門負(fù)責(zé)人簽署后生效。風(fēng)險(xiǎn)評估服務(wù)機(jī)構(gòu)出具的檢查評估報(bào)告,應(yīng)當(dāng)報(bào)委托其開展評估的主管部門審定;主管部門應(yīng)當(dāng)自收到評估報(bào)告之日起10個(gè)工作日內(nèi),將審定結(jié)果和整改意見告知被評估單位。第十四條自評估單位應(yīng)當(dāng)根據(jù)自評估報(bào)告進(jìn)行整改,并自報(bào)告生效之日起30日內(nèi),將自評估情況和整改方案報(bào)本級信息化主管部門備案。接受檢查評估的單位應(yīng)當(dāng)自收到檢查評估報(bào)告之日起30日內(nèi),根據(jù)整改建議提出整改方案、明確整改時(shí)限,報(bào)本級信 息化主管部門備案。受委托進(jìn)行風(fēng)險(xiǎn)評估的服務(wù)機(jī)構(gòu)應(yīng)當(dāng)指導(dǎo)被評估單位開展 整改,并對整改措施的有效性進(jìn)行驗(yàn)證。第十五條信

6、息化主管部 門應(yīng)當(dāng)定期公布已開展自評估、 檢查評估單位備案名單, 督促未備案單位開展自評估。第十六條未發(fā)生重大變更的重要信息系統(tǒng)再次進(jìn)行風(fēng)險(xiǎn)評估的,可以參考前次評估結(jié)果,重點(diǎn)評估以下內(nèi)容:(一)前次風(fēng)險(xiǎn)評估發(fā)現(xiàn)的主要問題及整改情況;(二)核心網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全防護(hù)設(shè)施、應(yīng)用軟件等系統(tǒng)關(guān)鍵部位發(fā)生局部變更后, 可能出現(xiàn)的安全隱患;(三)新的信息技術(shù)可能對信息系統(tǒng)安全 造成的影響;(四)其他需要重點(diǎn)評估的內(nèi)容。第三章風(fēng)險(xiǎn)評估機(jī)構(gòu)第十七條在本省行政區(qū)域內(nèi)從事自評估服務(wù)的社會(huì)機(jī)構(gòu),應(yīng)當(dāng)具備下列條件,并報(bào)經(jīng)其所在地省轄市信息化主管部門備案:(一)依法在中國境內(nèi)注冊成立并在本省設(shè)有機(jī)構(gòu),由中國公民、法

7、人投資或者由其它組織投資;(二)從事信息安全檢測、評估相關(guān)業(yè)務(wù)兩年以上,無違法 記錄;(三)專業(yè)評估人員不少于 10人且均為中國公民,接受并通過相關(guān)培訓(xùn)考核,無違法記錄;其中主要評估人員2人以 上,具有由國家權(quán)威機(jī)構(gòu)認(rèn)定的或由其它機(jī)構(gòu)認(rèn)定的相當(dāng)水平的 信息安全服務(wù)資格,具備獨(dú)立實(shí)施風(fēng)險(xiǎn)評估的技術(shù)能力;(四)評估使用的技術(shù)裝備、設(shè)施符合國家信息安全產(chǎn)品要求;(五)具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管 理和培訓(xùn)教育等內(nèi)部管理制度;(六)法律法規(guī)規(guī)定的其它條件。第十八條在本省從事檢查評估的社會(huì)機(jī)構(gòu),除具備第十七條 規(guī)定條件外,還應(yīng)當(dāng)同時(shí)具備下列條件, 并經(jīng)其所在地省轄市信 息化主管部門審核后,報(bào)省信息化主管部門備案:(一)具有國家權(quán)威機(jī)構(gòu)認(rèn)定的信息安全服務(wù)資質(zhì);(二)評估人員不少于20人,其中主要評估人員4人以上,具有國家權(quán)威機(jī)構(gòu)認(rèn)定的或由 其它機(jī)構(gòu)認(rèn)定的相當(dāng)水平的信息安全服務(wù)資格。第十九條省轄市以上信息化主管部門應(yīng)當(dāng)自收到備案申請 報(bào)告之日起10個(gè)工作日內(nèi),告知備案結(jié)果

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論