江蘇信息安全風(fēng)險評估管理辦法試行_第1頁
江蘇信息安全風(fēng)險評估管理辦法試行_第2頁
江蘇信息安全風(fēng)險評估管理辦法試行_第3頁
江蘇信息安全風(fēng)險評估管理辦法試行_第4頁
江蘇信息安全風(fēng)險評估管理辦法試行_第5頁
免費預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、江蘇信息平安風(fēng)險評估治理方法試行隰糖泗安更0腳搞錯翔吟融亍第一*章總那么第一條為標(biāo)準(zhǔn)信息平安風(fēng)險評估以下簡稱“風(fēng)險評估及其治理活動,保證信息系統(tǒng)平安,依據(jù)國家有關(guān)規(guī)定,結(jié)合本省實際,制定本方法.第二條本省行政區(qū)域內(nèi)信息系統(tǒng)風(fēng)險評估及其治理活動,適用本方法.第三條本方法所稱信息系統(tǒng),是指由計算機、信息網(wǎng)絡(luò)及其配套的設(shè)施、設(shè)備構(gòu)成的,根據(jù)一定的應(yīng)用目標(biāo)和規(guī)那么對信息進行存儲、傳輸、處理的運行體系.本方法所稱重要信息系統(tǒng),是指履行經(jīng)濟調(diào)節(jié)、市場監(jiān)管、社會治理和公共效勞職能的信息系統(tǒng).本方法所稱風(fēng)險評估,是指依據(jù)有關(guān)信息平安技術(shù)與治理標(biāo)準(zhǔn),對信息網(wǎng)絡(luò)和信息系統(tǒng)及由其存儲、傳輸、處理的信息的保密性、完整

2、性和可用性等安全屬性進行評價的活動.第四條縣以上信息化主管部門負責(zé)本行政區(qū)域內(nèi)風(fēng)險評估的組織、指導(dǎo)和監(jiān)督、檢查.跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的重要信息系統(tǒng)的風(fēng)險評估,可以由其行業(yè)管理部門統(tǒng)一組織實施.涉密信息系統(tǒng)的風(fēng)險評估,由國家保密部門根據(jù)有關(guān)法律、法規(guī)規(guī)定實施.第五條風(fēng)險評估分為自評估和檢查評估兩種形式自評估由信息系統(tǒng)的建設(shè)、運營或者使用單位自主開展.檢查評估由縣以上信息化主管部門在本行政區(qū)域內(nèi)依法開展,也可以由信息系統(tǒng)建設(shè)、運營或者使用單位的上級主管部門依據(jù)有關(guān)標(biāo)準(zhǔn)和標(biāo)準(zhǔn)組織進行,雙方實行互備案制度.第二章組織與實施第六條信息化主管部門應(yīng)當(dāng)定期發(fā)布本行政區(qū)域內(nèi)重要信息系統(tǒng)目錄,制定檢查評估年

3、度實施方案,并對重要信息系統(tǒng)治理技術(shù)人員開展相關(guān)培訓(xùn).第七條江蘇省信息平安測評中央為本省從事信息平安測評的專門機構(gòu),受省信息化主管部門委托,具體負責(zé)對從事風(fēng)險評估效勞的社會機構(gòu)進行條件審核、業(yè)務(wù)治理和人員培訓(xùn),組織開展全省重要信息系統(tǒng)的外部平安測試.第八條信息系統(tǒng)的建設(shè)、運營或者使用單位可以依托本單位技術(shù)力量,或者委托符合條件的風(fēng)險評估效勞機構(gòu)進行自評估.第九條重要信息系統(tǒng)新建、擴建或者改建的,在設(shè)計、驗收、運行維護階段,均應(yīng)當(dāng)進行自評估.重要信息系統(tǒng)廢棄、發(fā)生重大變更或者平安狀況發(fā)生重大變化的,應(yīng)當(dāng)及時進行自評估.第十條本省行政區(qū)域內(nèi)信息系統(tǒng)應(yīng)當(dāng)定期開展風(fēng)險評估,其中重要信息系統(tǒng)應(yīng)當(dāng)至少每三

4、年進行一次自評估或檢查評估.在規(guī)定期限內(nèi)已進行檢查評估的重要信息系統(tǒng),可以不再進行自評估.第十一條縣以上信息化主管部門委托符合條件的風(fēng)險評估效勞機構(gòu),對本行政區(qū)域內(nèi)重要信息系統(tǒng)實施檢查評估.第十二條信息系統(tǒng)的建設(shè)、運營或使用單位委托風(fēng)險評估效勞機構(gòu)開展自評估,應(yīng)當(dāng)簽訂風(fēng)險評估協(xié)議;信息化主管部門委托開展檢查評估,受委托的風(fēng)險評估效勞機構(gòu)應(yīng)當(dāng)與被評估單位簽訂風(fēng)險評估協(xié)議.對于評估活動可能影響信息系統(tǒng)正常運行的,風(fēng)險評估效勞機構(gòu)應(yīng)當(dāng)事先告知被評估單位,并協(xié)助其采取相應(yīng)的預(yù)防舉措.第十三條風(fēng)險評估應(yīng)當(dāng)出具評估報告.評估報告應(yīng)當(dāng)包括評估范圍、內(nèi)容、依據(jù)、結(jié)論和整改建議等.風(fēng)險評估效勞機構(gòu)出具的自評估報

5、告,應(yīng)當(dāng)經(jīng)被評估單位認(rèn)可,并經(jīng)雙方部門負責(zé)人簽署后生效.風(fēng)險評估效勞機構(gòu)出具的檢查評估報告,應(yīng)當(dāng)報委托其開展評估的主管部門審定;主管部門應(yīng)當(dāng)自收到評估報告之日起10個工作日內(nèi),將審定結(jié)果和整改意見告知被評估單位.第十四條自評估單位應(yīng)當(dāng)根據(jù)自評估報告進行整改,并自報告生效之日起30日內(nèi),將自評估情況和整改方案報本級信息化主管部門備案.接受檢查評估的單位應(yīng)當(dāng)自收到檢查評估報告之日起30日內(nèi),根據(jù)整改建議提出整改方案、明確整改時限,報本級信息化主管部門備案.受委托進行風(fēng)險評估的效勞機構(gòu)應(yīng)當(dāng)指導(dǎo)被評估單位開展整改,并對整改舉措的有效性進行驗證.第十五條信息化主管部門應(yīng)當(dāng)定期公布已開展自評估、檢查評估單

6、位備案名單,催促未備案單位開展自評估.第十六條未發(fā)生重大變更的重要信息系統(tǒng)再次進行風(fēng)險評估的,可以參考前次評估結(jié)果,重點評估以下內(nèi)容:一前次風(fēng)險評估發(fā)現(xiàn)的主要問題及整改情況;二核心網(wǎng)絡(luò)設(shè)備、效勞器、平安防護設(shè)施、應(yīng)用軟件等系統(tǒng)關(guān)鍵部位發(fā)生局部變更后,可能出現(xiàn)的平安隱患;三新的信息技術(shù)可能對信息系統(tǒng)平安造成的影響;四其他需要重點評估的內(nèi)容.第三章風(fēng)險評估機構(gòu)第十七條在本省行政區(qū)域內(nèi)從事自評估效勞的社會機構(gòu),應(yīng)當(dāng)具備以下條件,并報經(jīng)其所在地省轄市信息化主管部門備案:一依法在中國境內(nèi)注冊成立并在本省設(shè)有機構(gòu),由中國公民、法人投資或者由其它組織投資;二從事信息平安檢測、評估相關(guān)業(yè)務(wù)兩年以上,無違法記錄

7、;三專業(yè)評估人員不少于10人且均為中國公民,接受并通過相關(guān)培訓(xùn)考核,無違法記錄;其中主要評估人員2人以上,具有由國家權(quán)威機構(gòu)認(rèn)定的或由其它機構(gòu)認(rèn)定的相當(dāng)水平的信息平安效勞資格,具備獨立實施風(fēng)險評估的技術(shù)水平;四評估使用的技術(shù)裝備、設(shè)施符合國家信息平安產(chǎn)品要求;五具有完備的保密治理、工程治理、質(zhì)量治理、人員治理和培訓(xùn)教育等內(nèi)部治理制度;六法律法規(guī)規(guī)定的其它條件.第十八條在本省從事檢查評估的社會機構(gòu),除具備第十七條規(guī)定條件外,還應(yīng)當(dāng)同時具備以下條件,并經(jīng)其所在地省轄市信息化主管部門審核后,報省信息化主管部門備案:一具有國家權(quán)威機構(gòu)認(rèn)定的信息平安效勞資質(zhì);二評估人員不少于20人,其中主要評估人員4人

8、以上,具有國家權(quán)威機構(gòu)認(rèn)定的或由其它機構(gòu)認(rèn)定的相當(dāng)水平的信息平安效勞資格.第十九條省轄市以上信息化主管部門應(yīng)當(dāng)自收到備案申請報告之日起10個工作日內(nèi),告知備案結(jié)果,并定期向社會公布本行政區(qū)域內(nèi)風(fēng)險評估效勞機構(gòu)備案名單,對其效勞進行治理、監(jiān)督.第二十條從事風(fēng)險評估效勞的機構(gòu),應(yīng)當(dāng)履行以下義務(wù):一遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn),提供科學(xué)、平安、客觀、公正的評估效勞,保證評估的質(zhì)量和效果;二保守在評估活動中知悉的國家秘密、商業(yè)秘密和個人隱私,防范安全風(fēng)險,不得私自占有、使用或向第三方泄露相關(guān)技術(shù)數(shù)據(jù)、業(yè)務(wù)資料等信息和資源;三對效勞人員進行平安保密教育,簽訂效勞人員平安保密責(zé)任書,并負責(zé)檢查落實.第四

9、章監(jiān)督治理第二十一條違反本方法,有以下行為之一的,由信息化主管部門責(zé)令其限期改正,逾期不改正的,予以通報;對直接責(zé)任人員,由所在單位或上級主管部門視情給予行政處分:一違反第九條、第十條規(guī)定,信息系統(tǒng)的建設(shè)、運營或者使用單位未根據(jù)規(guī)定開展自評估;重要信息系統(tǒng)的建設(shè)、運營或者使用單位不接受、不配合開展檢查評估的;二違反第十四條規(guī)定,自評估單位未根據(jù)規(guī)定將自評估情況和整改方案、接受檢查評估單位未根據(jù)規(guī)定將整改方案報本級信息化主管部門備案的;三違反第八條規(guī)定,信息系統(tǒng)的建設(shè)、運營或者使用單位委托不符合條件的機構(gòu)進行風(fēng)險評估,并造成不良后果的.第二十二條違反本方法第十二條規(guī)定,風(fēng)險評估效勞機構(gòu)未事先告知被評估單位、協(xié)助其采取預(yù)防舉措的,由信息化主管部門責(zé)令限期改正,并給予警告;造成不良后果的,可視情暫停其備案1年,直至取消其備案.第二十三條違反本方法第二十條規(guī)定,風(fēng)險評估效勞機構(gòu)未經(jīng)許可向第三方提供被評估單位相關(guān)信息的,或者從事影響評估客觀、公正的活動的,由信息化主管部門視情暫停其備案一年,直至取消其備案.造成被評估單位經(jīng)濟損失的,應(yīng)予合理賠償;從中不當(dāng)獲利的,應(yīng)予退還;構(gòu)成犯罪的,應(yīng)依法追究其刑事責(zé)任.第二十四條信息化主管部門或其他有關(guān)部門工

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論