信息安全風(fēng)險(xiǎn)評(píng)估管理辦法(共7頁(yè))_第1頁(yè)
信息安全風(fēng)險(xiǎn)評(píng)估管理辦法(共7頁(yè))_第2頁(yè)
信息安全風(fēng)險(xiǎn)評(píng)估管理辦法(共7頁(yè))_第3頁(yè)
信息安全風(fēng)險(xiǎn)評(píng)估管理辦法(共7頁(yè))_第4頁(yè)
信息安全風(fēng)險(xiǎn)評(píng)估管理辦法(共7頁(yè))_第5頁(yè)
已閱讀5頁(yè),還剩2頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、精選優(yōu)質(zhì)文檔-傾情為你奉上 信息安全風(fēng)險(xiǎn)評(píng)估管理辦法 第一章 總 則 第一條 為規(guī)范信息安全風(fēng)險(xiǎn)評(píng)估(以下簡(jiǎn)稱(chēng)“風(fēng)險(xiǎn)評(píng)估”)及其管理活動(dòng),保障信息系統(tǒng)安全,依據(jù)國(guó)家有關(guān)規(guī)定,結(jié)合本省實(shí)際,制定本辦法。 第二條 本省行政區(qū)域內(nèi)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估及其管理活動(dòng),適用本辦法。 第三條 本辦法所稱(chēng)信息系統(tǒng),是指由計(jì)算機(jī)、信息網(wǎng)絡(luò)及其配套的設(shè)施、設(shè)備構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行存儲(chǔ)、傳輸、處理的運(yùn)行體系。 本辦法所稱(chēng)重要信息系統(tǒng),是指履行經(jīng)濟(jì)調(diào)節(jié)、市場(chǎng)監(jiān)管、社會(huì)管理和公共服務(wù)職能的信息系統(tǒng)。 本辦法所稱(chēng)風(fēng)險(xiǎn)評(píng)估,是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn),對(duì)信息網(wǎng)絡(luò)和信息系統(tǒng)及由其存儲(chǔ)、傳輸、處理的信

2、息的保密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的活動(dòng)。 第四條 縣以上信息化主管部門(mén)負(fù)責(zé)本行政區(qū)域內(nèi)風(fēng)險(xiǎn)評(píng)估的組織、指導(dǎo)和監(jiān)督、檢查。 跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估,可以由其行業(yè)管理部門(mén)統(tǒng)一組織實(shí)施。 涉密信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估,由國(guó)家保密部門(mén)按照有關(guān)法律、法規(guī)規(guī)定實(shí)施。 第五條 風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式。 自評(píng)估由信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位自主開(kāi)展。 檢查評(píng)估由縣以上信息化主管部門(mén)在本行政區(qū)域內(nèi)依法開(kāi)展,也可以由信息系統(tǒng)建設(shè)、運(yùn)營(yíng)或者使用單位的上級(jí)主管部門(mén)依據(jù)有關(guān)標(biāo)準(zhǔn)和規(guī)范組織進(jìn)行,雙方實(shí)行互備案制度。 第二章 組織與實(shí)施 第六條 信息化主管部門(mén)應(yīng)當(dāng)定期發(fā)布本

3、行政區(qū)域內(nèi)重要信息系統(tǒng)目錄,制定檢查評(píng)估年度實(shí)施計(jì)劃,并對(duì)重要信息系統(tǒng)管理技術(shù)人員開(kāi)展相關(guān)培訓(xùn)。 第七條 江蘇省信息安全測(cè)評(píng)中心為本省從事信息安全測(cè)評(píng)的專(zhuān)門(mén)機(jī)構(gòu),受省信息化主管部門(mén)委托,具體負(fù)責(zé)對(duì)從事風(fēng)險(xiǎn)評(píng)估服務(wù)的社會(huì)機(jī)構(gòu)進(jìn)行條件審核、業(yè)務(wù)管理和人員培訓(xùn),組織開(kāi)展全省重要信息系統(tǒng)的外部安全測(cè)試。 第八條 信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位可以依托本單位技術(shù)力量,或者委托符合條件的風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)進(jìn)行自評(píng)估。 第九條 重要信息系統(tǒng)新建、擴(kuò)建或者改建的,在設(shè)計(jì)、驗(yàn)收、運(yùn)行維護(hù)階段,均應(yīng)當(dāng)進(jìn)行自評(píng)估。重要信息系統(tǒng)廢棄、發(fā)生重大變更或者安全狀況發(fā)生重大變化的,應(yīng)當(dāng)及時(shí)進(jìn)行自評(píng)估。 第十條 本省行政區(qū)域內(nèi)

4、信息系統(tǒng)應(yīng)當(dāng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估,其中重要信息系統(tǒng)應(yīng)當(dāng)至少每三年進(jìn)行一次自評(píng)估或檢查評(píng)估。在規(guī)定期限內(nèi)已進(jìn)行檢查評(píng)估的重要信息系統(tǒng),可以不再進(jìn)行自評(píng)估。 第十一條 縣以上信息化主管部門(mén)委托符合條件的風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu),對(duì)本行政區(qū)域內(nèi)重要信息系統(tǒng)實(shí)施檢查評(píng)估。 第十二條信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或使用單位委托風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)開(kāi)展自評(píng)估,應(yīng)當(dāng)簽訂風(fēng)險(xiǎn)評(píng)估協(xié)議;信息化主管部門(mén)委托開(kāi)展檢查評(píng)估,受委托的風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)應(yīng)當(dāng)與被評(píng)估單位簽訂風(fēng)險(xiǎn)評(píng)估協(xié)議。 對(duì)于評(píng)估活動(dòng)可能影響信息系統(tǒng)正常運(yùn)行的,風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)應(yīng)當(dāng)事先告知被評(píng)估單位,并協(xié)助其采取相應(yīng)的預(yù)防措施。 第十三條 風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)出具評(píng)估報(bào)告。評(píng)估報(bào)告應(yīng)當(dāng)包括

5、評(píng)估范圍、內(nèi)容、依據(jù)、結(jié)論和整改建議等。 風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)出具的自評(píng)估報(bào)告,應(yīng)當(dāng)經(jīng)被評(píng)估單位認(rèn)可,并經(jīng)雙方部門(mén)負(fù)責(zé)人簽署后生效。 風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)出具的檢查評(píng)估報(bào)告,應(yīng)當(dāng)報(bào)委托其開(kāi)展評(píng)估的主管部門(mén)審定;主管部門(mén)應(yīng)當(dāng)自收到評(píng)估報(bào)告之日起10個(gè)工作日內(nèi),將審定結(jié)果和整改意見(jiàn)告知被評(píng)估單位。 第十四條 自評(píng)估單位應(yīng)當(dāng)根據(jù)自評(píng)估報(bào)告進(jìn)行整改,并自報(bào)告生效之日起30日內(nèi),將自評(píng)估情況和整改方案報(bào)本級(jí)信息化主管部門(mén)備案。 接受檢查評(píng)估的單位應(yīng)當(dāng)自收到檢查評(píng)估報(bào)告之日起30日內(nèi),根據(jù)整改建議提出整改方案、明確整改時(shí)限,報(bào)本級(jí)信息化主管部門(mén)備案。 受委托進(jìn)行風(fēng)險(xiǎn)評(píng)估的服務(wù)機(jī)構(gòu)應(yīng)當(dāng)指導(dǎo)被評(píng)估單位開(kāi)展整改,并對(duì)整

6、改措施的有效性進(jìn)行驗(yàn)證。第十五條 信息化主管部門(mén)應(yīng)當(dāng)定期公布已開(kāi)展自評(píng)估、檢查評(píng)估單位備案名單,督促未備案單位開(kāi)展自評(píng)估。 第十六條 未發(fā)生重大變更的重要信息系統(tǒng)再次進(jìn)行風(fēng)險(xiǎn)評(píng)估的,可以參考前次評(píng)估結(jié)果,重點(diǎn)評(píng)估以下內(nèi)容: (一)前次風(fēng)險(xiǎn)評(píng)估發(fā)現(xiàn)的主要問(wèn)題及整改情況; (二)核心網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全防護(hù)設(shè)施、應(yīng)用軟件等系統(tǒng)關(guān)鍵部位發(fā)生局部變更后,可能出現(xiàn)的安全隱患; (三)新的信息技術(shù)可能對(duì)信息系統(tǒng)安全造成的影響; (四)其他需要重點(diǎn)評(píng)估的內(nèi)容。第三章 風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu) 第十七條 在本省行政區(qū)域內(nèi)從事自評(píng)估服務(wù)的社會(huì)機(jī)構(gòu),應(yīng)當(dāng)具備下列條件,并報(bào)經(jīng)其所在地省轄市信息化主管部門(mén)備案: (一)依法在中

7、國(guó)境內(nèi)注冊(cè)成立并在本省設(shè)有機(jī)構(gòu),由中國(guó)公民、法人投資或者由其它組織投資; (二)從事信息安全檢測(cè)、評(píng)估相關(guān)業(yè)務(wù)兩年以上,無(wú)違法記錄; (三)專(zhuān)業(yè)評(píng)估人員不少于10人且均為中國(guó)公民,接受并通過(guò)相關(guān)培訓(xùn)考核,無(wú)違法記錄;其中主要評(píng)估人員2人以上,具有由國(guó)家權(quán)威機(jī)構(gòu)認(rèn)定的或由其它機(jī)構(gòu)認(rèn)定的相當(dāng)水平的信息安全服務(wù)資格,具備獨(dú)立實(shí)施風(fēng)險(xiǎn)評(píng)估的技術(shù)能力; (四)評(píng)估使用的技術(shù)裝備、設(shè)施符合國(guó)家信息安全產(chǎn)品要求; (五)具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等內(nèi)部管理制度; (六)法律法規(guī)規(guī)定的其它條件。 第十八條 在本省從事檢查評(píng)估的社會(huì)機(jī)構(gòu),除具備第十七條規(guī)定條件外,還應(yīng)當(dāng)同時(shí)具備下

8、列條件,并經(jīng)其所在地省轄市信息化主管部門(mén)審核后,報(bào)省信息化主管部門(mén)備案: (一)具有國(guó)家權(quán)威機(jī)構(gòu)認(rèn)定的信息安全服務(wù)資質(zhì); (二)評(píng)估人員不少于20人,其中主要評(píng)估人員4人以上,具有國(guó)家權(quán)威機(jī)構(gòu)認(rèn)定的或由其它機(jī)構(gòu)認(rèn)定的相當(dāng)水平的信息安全服務(wù)資格。 第十九條 省轄市以上信息化主管部門(mén)應(yīng)當(dāng)自收到備案申請(qǐng)報(bào)告之日起10個(gè)工作日內(nèi),告知備案結(jié)果,并定期向社會(huì)公布本行政區(qū)域內(nèi)風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)備案名單,對(duì)其服務(wù)進(jìn)行管理、監(jiān)督。 第二十條 從事風(fēng)險(xiǎn)評(píng)估服務(wù)的機(jī)構(gòu),應(yīng)當(dāng)履行下列義務(wù):(一)遵守國(guó)家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn),提供科學(xué)、安全、客觀、公正的評(píng)估服務(wù),保證評(píng)估的質(zhì)量和效果; (二)保守在評(píng)估活動(dòng)中知悉的國(guó)

9、家秘密、商業(yè)秘密和個(gè)人隱私,防范安全風(fēng)險(xiǎn),不得私自占有、使用或向第三方泄露相關(guān)技術(shù)數(shù)據(jù)、業(yè)務(wù)資料等信息和資源; (三)對(duì)服務(wù)人員進(jìn)行安全保密教育,簽訂服務(wù)人員安全保密責(zé)任書(shū),并負(fù)責(zé)檢查落實(shí)。第四章 監(jiān)督管理 第二十一條 違反本辦法,有以下行為之一的,由信息化主管部門(mén)責(zé)令其限期改正,逾期不改正的,予以通報(bào);對(duì)直接責(zé)任人員,由所在單位或上級(jí)主管部門(mén)視情給予行政處分: (一)違反第九條、第十條規(guī)定,信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位未按照規(guī)定開(kāi)展自評(píng)估;重要信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位不接受、不配合開(kāi)展檢查評(píng)估的; (二)違反第十四條規(guī)定,自評(píng)估單位未按照規(guī)定將自評(píng)估情況和整改方案、接受檢查評(píng)估單

10、位未按照規(guī)定將整改方案報(bào)本級(jí)信息化主管部門(mén)備案的; (三)違反第八條規(guī)定,信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位委托不符合條件的機(jī)構(gòu)進(jìn)行風(fēng)險(xiǎn)評(píng)估,并造成不良后果的。第二十二條 違反本辦法第十二條規(guī)定,風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)未事先告知被評(píng)估單位、協(xié)助其采取預(yù)防措施的,由信息化主管部門(mén)責(zé)令限期改正,并給予警告;造成不良后果的,可視情暫停其備案1年,直至取消其備案。 第二十三條 違反本辦法第二十條規(guī)定,風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)未經(jīng)許可向第三方提供被評(píng)估單位相關(guān)信息的,或者從事影響評(píng)估客觀、公正的活動(dòng)的,由信息化主管部門(mén)視情暫停其備案一年,直至取消其備案。造成被評(píng)估單位經(jīng)濟(jì)損失的,應(yīng)予合理賠償;從中不當(dāng)獲利的,應(yīng)予退還;構(gòu)成犯罪的,應(yīng)依法追究其刑事責(zé)任。第二十四條 信息化主管部門(mén)或其他有關(guān)部門(mén)工作人員有下列行為之一的

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論