資源描述:
《信息安全風(fēng)險(xiǎn)評(píng)估管理辦法》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)���。
1、信息安全風(fēng)險(xiǎn)評(píng)估管理辦法第一章總則第一條為規(guī)范信息安全風(fēng)險(xiǎn)評(píng)估(以下簡(jiǎn)稱“風(fēng)險(xiǎn)評(píng)估”)及其管理活動(dòng)�,保障信息系統(tǒng)安全,依據(jù)國(guó)家有關(guān)規(guī)定���,結(jié)合本省實(shí)際�����,制定本辦法��。第二條本省行政區(qū)域內(nèi)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估及其管理活動(dòng)��,適用本辦法�。第三條本辦法所稱信息系統(tǒng),是指由計(jì)算機(jī)���、信息網(wǎng)絡(luò)及其配套的設(shè)施�、設(shè)備構(gòu)成的����,按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行存儲(chǔ)、傳輸����、處理的運(yùn)行體系。本辦法所稱重要信息系統(tǒng)����,是指履行經(jīng)濟(jì)調(diào)節(jié)���、市場(chǎng)監(jiān)管、社會(huì)管理和公共服務(wù)職能的信息系統(tǒng)�����。本辦法所稱風(fēng)險(xiǎn)評(píng)估���,是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)���,對(duì)信息網(wǎng)
2、絡(luò)和信息系統(tǒng)及由其存儲(chǔ)��、傳輸���、處理的信息的保密性�、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的活動(dòng)���。第四條縣以上信息化主管部門負(fù)責(zé)本行政區(qū)域內(nèi)風(fēng)險(xiǎn)評(píng)估的組織�、指導(dǎo)和監(jiān)督�、檢查�?��?缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估,可以由其行業(yè)管理部門統(tǒng)一組織實(shí)施�。涉密信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估,由國(guó)家保密部門按照有關(guān)法律��、法規(guī)規(guī)定實(shí)施����。第五條風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式。自評(píng)估由信息系統(tǒng)的建設(shè)���、運(yùn)營(yíng)或者使用單位自主開(kāi)展�。檢查評(píng)估由縣以上信息化主管部門在本行政區(qū)域內(nèi)依法開(kāi)展�,也可以由信息系統(tǒng)建設(shè)、運(yùn)營(yíng)或者使用單位的上級(jí)主管
3�����、部門依據(jù)有關(guān)標(biāo)準(zhǔn)和規(guī)范組織進(jìn)行����,雙方實(shí)行互備案制度。第二章組織與實(shí)施第六條信息化主管部門應(yīng)當(dāng)定期發(fā)布本行政區(qū)域內(nèi)重要信息系統(tǒng)目錄����,制定檢查評(píng)估年度實(shí)施計(jì)劃�,并對(duì)重要信息系統(tǒng)管理技術(shù)人員開(kāi)展相關(guān)培訓(xùn)��。第七條江蘇省信息安全測(cè)評(píng)中心為本省從事信息安全測(cè)評(píng)的專門機(jī)構(gòu)�,受省信息化主管部門委托,具體負(fù)責(zé)對(duì)從事風(fēng)險(xiǎn)評(píng)估服務(wù)的社會(huì)機(jī)構(gòu)進(jìn)行條件審核����、業(yè)務(wù)管理和人員培訓(xùn),組織開(kāi)展全省重要信息系統(tǒng)的外部安全測(cè)試����。第八條信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位可以依托本單位技術(shù)力量����,或者委托符合條件的風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)進(jìn)行自評(píng)估。第九條重要
4���、信息系統(tǒng)新建��、擴(kuò)建或者改建的�����,在設(shè)計(jì)�、驗(yàn)收�����、運(yùn)行維護(hù)階段�,均應(yīng)當(dāng)進(jìn)行自評(píng)估。重要信息系統(tǒng)廢棄��、發(fā)生重大變更或者安全狀況發(fā)生重大變化的���,應(yīng)當(dāng)及時(shí)進(jìn)行自評(píng)估�。第十條本省行政區(qū)域內(nèi)信息系統(tǒng)應(yīng)當(dāng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估�,其中重要信息系統(tǒng)應(yīng)當(dāng)至少每三年進(jìn)行一次自評(píng)估或檢查評(píng)估。在規(guī)定期限內(nèi)已進(jìn)行檢查評(píng)估的重要信息系統(tǒng)�����,可以不再進(jìn)行自評(píng)估���。第十一條縣以上信息化主管部門委托符合條件的風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)��,對(duì)本行政區(qū)域內(nèi)重要信息系統(tǒng)實(shí)施檢查評(píng)估��。第十二條信息系統(tǒng)的建設(shè)�����、運(yùn)營(yíng)或使用單位委托風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)開(kāi)展自評(píng)估,應(yīng)當(dāng)簽訂風(fēng)險(xiǎn)評(píng)估協(xié)議
5�、;信息化主管部門委托開(kāi)展檢查評(píng)估�����,受委托的風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)應(yīng)當(dāng)與被評(píng)估單位簽訂風(fēng)險(xiǎn)評(píng)估協(xié)議����。對(duì)于評(píng)估活動(dòng)可能影響信息系統(tǒng)正常運(yùn)行的,風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)應(yīng)當(dāng)事先告知被評(píng)估單位�����,并協(xié)助其采取相應(yīng)的預(yù)防措施���。第十三條風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)出具評(píng)估報(bào)告�。評(píng)估報(bào)告應(yīng)當(dāng)包括評(píng)估范圍��、內(nèi)容、依據(jù)��、結(jié)論和整改建議等��。風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)出具的自評(píng)估報(bào)告��,應(yīng)當(dāng)經(jīng)被評(píng)估單位認(rèn)可�����,并經(jīng)雙方部門負(fù)責(zé)人簽署后生效��。風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)出具的檢查評(píng)估報(bào)告�,應(yīng)當(dāng)報(bào)委托其開(kāi)展評(píng)估的主管部門審定�;主管部門應(yīng)當(dāng)自收到評(píng)估報(bào)告之日起10個(gè)工作日內(nèi),將審定結(jié)果和整改
6����、意見(jiàn)告知被評(píng)估單位。第十四條自評(píng)估單位應(yīng)當(dāng)根據(jù)自評(píng)估報(bào)告進(jìn)行整改��,并自報(bào)告生效之日起30日內(nèi)�����,將自評(píng)估情況和整改方案報(bào)本級(jí)信息化主管部門備案。接受檢查評(píng)估的單位應(yīng)當(dāng)自收到檢查評(píng)估報(bào)告之日起30日內(nèi)��,根據(jù)整改建議提出整改方案���、明確整改時(shí)限����,報(bào)本級(jí)信息化主管部門備案�����。受委托進(jìn)行風(fēng)險(xiǎn)評(píng)估的服務(wù)機(jī)構(gòu)應(yīng)當(dāng)指導(dǎo)被評(píng)估單位開(kāi)展整改����,并對(duì)整改措施的有效性進(jìn)行驗(yàn)證。第十五條信息化主管部門應(yīng)當(dāng)定期公布已開(kāi)展自評(píng)估�����、檢查評(píng)估單位備案名單�����,督促未備案單位開(kāi)展自評(píng)估��。第十六條未發(fā)生重大變更的重要信息系統(tǒng)再次進(jìn)行風(fēng)險(xiǎn)評(píng)估的,可以參考前
7��、次評(píng)估結(jié)果�����,重點(diǎn)評(píng)估以下內(nèi)容:(一)前次風(fēng)險(xiǎn)評(píng)估發(fā)現(xiàn)的主要問(wèn)題及整改情況���;(二)核心網(wǎng)絡(luò)設(shè)備�、服務(wù)器��、安全防護(hù)設(shè)施���、應(yīng)用軟件等系統(tǒng)關(guān)鍵部位發(fā)生局部變更后,可能出現(xiàn)的安全隱患���;(三)新的信息技術(shù)可能對(duì)信息系統(tǒng)安全造成的影響���;(四)其他需要重點(diǎn)評(píng)估的內(nèi)容。第三章風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)第十七條在本省行政區(qū)域內(nèi)從事自評(píng)估服務(wù)的社會(huì)機(jī)構(gòu)����,應(yīng)當(dāng)具備下列條件��,并報(bào)經(jīng)其所在地省轄市信息化主管部門備案:(一)依法在中國(guó)境內(nèi)注冊(cè)成立并在本省設(shè)有機(jī)構(gòu)�����,由中國(guó)公民�、法人投資或者由其它組織投資���;(二)從事信息安全檢測(cè)���、評(píng)估相關(guān)業(yè)務(wù)兩年以上,無(wú)
8�、違法記錄;(三)專業(yè)評(píng)估人員不少于10人且均為中國(guó)公民���,接受并通過(guò)相關(guān)培訓(xùn)考核�����,無(wú)違法記錄����;其中主要評(píng)估人員2人以上����,具有由國(guó)家權(quán)威機(jī)構(gòu)認(rèn)定的或由其它機(jī)構(gòu)認(rèn)定的相當(dāng)水平的信息安全服務(wù)資格��,具備獨(dú)立實(shí)施風(fēng)險(xiǎn)評(píng)估的技術(shù)能力;(四)評(píng)估使用的技術(shù)裝備���、設(shè)施符合國(guó)家信息安全產(chǎn)品要求;(五)具有完備的保密管理����、項(xiàng)目管理、質(zhì)量管理�����、人員管理和培訓(xùn)教育等內(nèi)部管理制度�����;(六)法律法規(guī)規(guī)定的其它條件����。第十八條在本省從事檢查評(píng)估的社
