信息安全風險評估管理辦法

1、信息安全風險評估管理辦法第一章總則第一條 為規(guī)范信息安全風險評估（以下簡稱 風險評估”及其管理活動, 保障信息系統(tǒng)安全，依據(jù)國家有關規(guī)定，結合本省實際，制定本辦法。第二條 本省行政區(qū)域內(nèi)信息系統(tǒng)風險評估及其管理活動，適用本辦法。第三條 本辦法所稱信息系統(tǒng)，是指由計算機、信息網(wǎng)絡及其配套的設施、 設備構成的，按照一定的應用目標和規(guī)則對信息進行存儲、傳輸、處理的運行 體系。本辦法所稱重要信息系統(tǒng)，是指履行經(jīng)濟調(diào)節(jié)、市場監(jiān)管、社會管理和公 共服務職能的信息系統(tǒng)。本辦法所稱風險評估，是指依據(jù)有關信息安全技術與管理標準，對信息網(wǎng) 絡和信息系統(tǒng)及由其存儲、傳輸、處理的信息的保密性、完整性和可用性等安 全屬

2、性進行評價的活動。第四條 縣以上信息化主管部門負責本行政區(qū)域內(nèi)風險評估的組織、指導和 監(jiān)督、檢查?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的重要信息系統(tǒng)的風險評估，可以由其行業(yè)管 理部門統(tǒng)一組織實施。涉密信息系統(tǒng)的風險評估，由國家保密部門按照有關法律、法規(guī)規(guī)定實 施。第五條 風險評估分為自評估和檢查評估兩種形式。自評估由信息系統(tǒng)的建設、運營或者使用單位自主開展。檢查評估由縣以上信息化主管部門在本行政區(qū)域內(nèi)依法開展，也可以由信 息系統(tǒng)建設、運營或者使用單位的上級主管部門依據(jù)有關標準和規(guī)范組織進 行，雙方實行互備案制度。第二章組織與實施第六條 信息化主管部門應當定期發(fā)布本行政區(qū)域內(nèi)重要信息系統(tǒng)目錄，制 定檢查評估

3、年度實施計劃，并對重要信息系統(tǒng)管理技術人員開展相關培訓。第七條 江蘇省信息安全測評中心為本省從事信息安全測評的專門機構，受 省信息化主管部門委托，具體負責對從事風險評估服務的社會機構進行條件審 核、業(yè)務管理和人員培訓，組織開展全省重要信息系統(tǒng)的外部安全測試。第八條 信息系統(tǒng)的建設、運營或者使用單位可以依托本單位技術力量，或 者委托符合條件的風險評估服務機構進行自評估。第九條 重要信息系統(tǒng)新建、擴建或者改建的，在設計、驗收、運行維護階 段，均應當進行自評估。重要信息系統(tǒng)廢棄、發(fā)生重大變更或者安全狀況發(fā)生 重大變化的，應當及時進行自評估。第十條 本省行政區(qū)域內(nèi)信息系統(tǒng)應當定期開展風險評估，其中重要

4、信息系 統(tǒng)應當至少每三年進行一次自評估或檢查評估。在規(guī)定期限內(nèi)已進行檢查評估 的重要信息系統(tǒng)，可以不再進行自評估。第十一條 縣以上信息化主管部門委托符合條件的風險評估服務機構，對本 行政區(qū)域內(nèi)重要信息系統(tǒng)實施檢查評估。第十二條信息系統(tǒng)的建設、運營或使用單位委托風險評估服務機構開展自 評估，應當簽訂風險評估協(xié)議；信息化主管部門委托開展檢查評估，受委托的風 險評估服務機構應當與被評估單位簽訂風險評估協(xié)議。對于評估活動可能影響信息系統(tǒng)正常運行的，風險評估服務機構應當事先 告知被評估單位，并協(xié)助其采取相應的預防措施。第十三條 風險評估應當出具評估報告。評估報告應當包括評估范圍、內(nèi) 容、依據(jù)、結論和整改

5、建議等。風險評估服務機構出具的自評估報告，應當經(jīng)被評估單位認可，并經(jīng)雙方 部門負責人簽署后生效。風險評估服務機構出具的檢查評估報告，應當報委托其開展評估的主管部 門審定；主管部門應當自收到評估報告之日起 10個工作日內(nèi)，將審定結果和整 改意見告知被評估單位。第十四條 自評估單位應當根據(jù)自評估報告進行整改，并自報告生效之日起 30日內(nèi)，將自評估情況和整改方案報本級信息化主管部門備案。接受檢查評估的單位應當自收到檢查評估報告之日起 30日內(nèi)，根據(jù)整改建 議提出整改方案、明確整改時限，報本級信息化主管部門備案。受委托進行風險評估的服務機構應當指導被評估單位開展整改，并對整改 措施的有效性進行驗證。第

6、十五條 信息化主管部門應當定期公布已開展自評 估、檢查評估單位備案名單，督促未備案單位開展自評估。第十六條 未發(fā)生重大變更的重要信息系統(tǒng)再次進行風險評估的，可以參考 前次評估結果，重點評估以下內(nèi)容：（一）前次風險評估發(fā)現(xiàn)的主要問題及整改情況；（二）核心網(wǎng)絡設備、服務器、安全防護設施、應用軟件等系統(tǒng)關鍵部位 發(fā)生局部變更后，可能出現(xiàn)的安全隱患；（三）新的信息技術可能對信息系統(tǒng)安全造成的影響；（四）其他需要重點評估的內(nèi)容。第三章風險評估機構第十七條 在本省行政區(qū)域內(nèi)從事自評估服務的社會機構，應當具備下列條 件，并報經(jīng)其所在地省轄市信息化主管部門備案：（一）依法在中國境內(nèi)注冊成立并在本省設有機構，由

7、中國公民、法人投 資或者由其它組織投資；（二）從事信息安全檢測、評估相關業(yè)務兩年以上，無違法記錄；（三）專業(yè)評估人員不少于10人且均為中國公民，接受并通過相關培訓考 核，無違法記錄；其中主要評估人員 2人以上，具有由國家權威機構認定的或由其它機構認定的相當水平的信息安全服務資格，具備獨立實施風險評估的技 術能力；（四）評估使用的技術裝備、設施符合國家信息安全產(chǎn)品要求；（五）具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育 等內(nèi)部管理制度；（六）法律法規(guī)規(guī)定的其它條件。第十八條 在本省從事檢查評估的社會機構，除具備第十七條規(guī)定條件外， 還應當同時具備下列條件，并經(jīng)其所在地省轄市信息化主

8、管部門審核后，報省 信息化主管部門備案：（一）具有國家權威機構認定的信息安全服務資質；（二）評估人員不少于20人，其中主要評估人員4人以上，具有國家權威 機構認定的或由其它機構認定的相當水平的信息安全服務資格。第十九條 省轄市以上信息化主管部門應當自收到備案申請報告之日起10個工作日內(nèi)，告知備案結果，并定期向社會公布本行政區(qū)域內(nèi)風險評估服務機 構備案名單，對其服務進行管理、監(jiān)督。第二十條 從事風險評估服務的機構，應當履行下列義務：（一）遵守國家 有關法律法規(guī)和技術標準，提供科學、安全、客觀、公正的評估服務，保證評 估的質量和效果；（二）保守在評估活動中知悉的國家秘密、商業(yè)秘密和個人隱私，防范安

9、 全風險，不得私自占有、使用或向第三方泄露相關技術數(shù)據(jù)、業(yè)務資料等信息 和資源；（三）對服務人員進行安全保密教育，簽訂服務人員安全保密責任書，并 負責檢查落實。第四章監(jiān)督管理第二一條 違反本辦法，有以下行為之一的，由信息化主管部門責令其限 期改正，逾期不改正的，予以通報；對直接責任人員，由所在單位或上級主管 部門視情給予行政處分：（一）違反第九條、第十條規(guī)定，信息系統(tǒng)的建設、運營或者使用單位未 按照規(guī)定開展自評估；重要信息系統(tǒng)的建設、運營或者使用單位不接受、不配 合開展檢查評估的；（二）違反第十四條規(guī)定，自評估單位未按照規(guī)定將自評估情況和整改方 案、接受檢查評估單位未按照規(guī)定將整改方案報本級信

10、息化主管部門備案的；（三）違反第八條規(guī)定，信息系統(tǒng)的建設、運營或者使用單位委托不符合條件的機構進行風險評估，并造成不良后果的。第二十二條違反本辦法第十二條規(guī)定，風險評估服務機構未事先告知被評估單位、協(xié)助其采取預防措施的， 由信息化主管部門責令限期改正，并給予警告；造成不良后果的，可視情暫停 其備案1年，直至取消其備案。第二十三條違反本辦法第二十條規(guī)定，風險評估服務機構未經(jīng)許可向第三 方提供被評估單位相關信息的，或者從事影響評估客觀、公正的活動的，由信 息化主管部門視情暫停其備案一年，直至取消其備案。造成被評估單位經(jīng)濟損 失的，應予合理賠償；從中不當獲利的，應予退還；構成犯罪的，應依法追究 其刑事責任。第二十四條信息化主管部門或其他有關部門工作