信息安全風(fēng)險評估管理辦法

1、 信息安全風(fēng)險評估管理辦法 第一章 總 則 第一條 為規(guī)范信息安全風(fēng)險評估（以下簡稱“風(fēng)險評估”）及其管理活動，保障信息系統(tǒng)安全，依據(jù)國家有關(guān)規(guī)定，結(jié)合本省實際，制定本辦法。 第二條 本省行政區(qū)域內(nèi)信息系統(tǒng)風(fēng)險評估及其管理活動，適用本辦法。 第三條 本辦法所稱信息系統(tǒng)，是指由計算機(jī)、信息網(wǎng)絡(luò)及其配套的設(shè)施、設(shè)備構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行存儲、傳輸、處理的運行體系。 本辦法所稱重要信息系統(tǒng)，是指履行經(jīng)濟(jì)調(diào)節(jié)、市場監(jiān)管、社會管理和公共服務(wù)職能的信息系統(tǒng)。 本辦法所稱風(fēng)險評估，是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息網(wǎng)絡(luò)和信息系統(tǒng)及由其存儲、傳輸、處理的信息的保密性、完整性和可用性

2、等安全屬性進(jìn)行評價的活動。 第四條 縣以上信息化主管部門負(fù)責(zé)本行政區(qū)域內(nèi)風(fēng)險評估的組織、指導(dǎo)和監(jiān)督、檢查。 跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的重要信息系統(tǒng)的風(fēng)險評估，可以由其行業(yè)管理部門統(tǒng)一組織實施。 涉密信息系統(tǒng)的風(fēng)險評估，由國家保密部門按照有關(guān)法律、法規(guī)規(guī)定實施。 第五條 風(fēng)險評估分為自評估和檢查評估兩種形式。 自評估由信息系統(tǒng)的建設(shè)、運營或者使用單位自主開展。 檢查評估由縣以上信息化主管部門在本行政區(qū)域內(nèi)依法開展，也可以由信息系統(tǒng)建設(shè)、運營或者使用單位的上級主管部門依據(jù)有關(guān)標(biāo)準(zhǔn)和規(guī)范組織進(jìn)行，雙方實行互備案制度。 第二章 組織與實施 第六條 信息化主管部門應(yīng)當(dāng)定期發(fā)布本行政區(qū)域內(nèi)重要信息系統(tǒng)目錄

3、，制定檢查評估年度實施計劃，并對重要信息系統(tǒng)管理技術(shù)人員開展相關(guān)培訓(xùn)。 第七條 江蘇省信息安全測評中心為本省從事信息安全測評的專門機(jī)構(gòu)，受省信息化主管部門委托，具體負(fù)責(zé)對從事風(fēng)險評估服務(wù)的社會機(jī)構(gòu)進(jìn)行條件審核、業(yè)務(wù)管理和人員培訓(xùn)，組織開展全省重要信息系統(tǒng)的外部安全測試。 第八條 信息系統(tǒng)的建設(shè)、運營或者使用單位可以依托本單位技術(shù)力量，或者委托符合條件的風(fēng)險評估服務(wù)機(jī)構(gòu)進(jìn)行自評估。 第九條 重要信息系統(tǒng)新建、擴(kuò)建或者改建的，在設(shè)計、驗收、運行維護(hù)階段，均應(yīng)當(dāng)進(jìn)行自評估。重要信息系統(tǒng)廢棄、發(fā)生重大變更或者安全狀況發(fā)生重大變化的，應(yīng)當(dāng)及時進(jìn)行自評估。 第十條 本省行政區(qū)域內(nèi)信息系統(tǒng)應(yīng)當(dāng)定期開展風(fēng)險評

4、估，其中重要信息系統(tǒng)應(yīng)當(dāng)至少每三年進(jìn)行一次自評估或檢查評估。在規(guī)定期限內(nèi)已進(jìn)行檢查評估的重要信息系統(tǒng)，可以不再進(jìn)行自評估。 第十一條 縣以上信息化主管部門委托符合條件的風(fēng)險評估服務(wù)機(jī)構(gòu)，對本行政區(qū)域內(nèi)重要信息系統(tǒng)實施檢查評估。 第十二條信息系統(tǒng)的建設(shè)、運營或使用單位委托風(fēng)險評估服務(wù)機(jī)構(gòu)開展自評估,應(yīng)當(dāng)簽訂風(fēng)險評估協(xié)議；信息化主管部門委托開展檢查評估，受委托的風(fēng)險評估服務(wù)機(jī)構(gòu)應(yīng)當(dāng)與被評估單位簽訂風(fēng)險評估協(xié)議。 對于評估活動可能影響信息系統(tǒng)正常運行的，風(fēng)險評估服務(wù)機(jī)構(gòu)應(yīng)當(dāng)事先告知被評估單位，并協(xié)助其采取相應(yīng)的預(yù)防措施。 第十三條 風(fēng)險評估應(yīng)當(dāng)出具評估報告。評估報告應(yīng)當(dāng)包括評估范圍、內(nèi)容、依據(jù)、結(jié)論

5、和整改建議等。 風(fēng)險評估服務(wù)機(jī)構(gòu)出具的自評估報告，應(yīng)當(dāng)經(jīng)被評估單位認(rèn)可，并經(jīng)雙方部門負(fù)責(zé)人簽署后生效。 風(fēng)險評估服務(wù)機(jī)構(gòu)出具的檢查評估報告，應(yīng)當(dāng)報委托其開展評估的主管部門審定；主管部門應(yīng)當(dāng)自收到評估報告之日起10個工作日內(nèi)，將審定結(jié)果和整改意見告知被評估單位。 第十四條 自評估單位應(yīng)當(dāng)根據(jù)自評估報告進(jìn)行整改，并自報告生效之日起30日內(nèi)，將自評估情況和整改方案報本級信息化主管部門備案。 接受檢查評估的單位應(yīng)當(dāng)自收到檢查評估報告之日起30日內(nèi)，根據(jù)整改建議提出整改方案、明確整改時限，報本級信息化主管部門備案。 受委托進(jìn)行風(fēng)險評估的服務(wù)機(jī)構(gòu)應(yīng)當(dāng)指導(dǎo)被評估單位開展整改，并對整改措施的有效性進(jìn)行驗證。第

6、十五條 信息化主管部門應(yīng)當(dāng)定期公布已開展自評估、檢查評估單位備案名單，督促未備案單位開展自評估。 第十六條 未發(fā)生重大變更的重要信息系統(tǒng)再次進(jìn)行風(fēng)險評估的，可以參考前次評估結(jié)果，重點評估以下內(nèi)容： （一）前次風(fēng)險評估發(fā)現(xiàn)的主要問題及整改情況； （二）核心網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全防護(hù)設(shè)施、應(yīng)用軟件等系統(tǒng)關(guān)鍵部位發(fā)生局部變更后，可能出現(xiàn)的安全隱患； （三）新的信息技術(shù)可能對信息系統(tǒng)安全造成的影響； （四）其他需要重點評估的內(nèi)容。第三章 風(fēng)險評估機(jī)構(gòu) 第十七條 在本省行政區(qū)域內(nèi)從事自評估服務(wù)的社會機(jī)構(gòu)，應(yīng)當(dāng)具備下列條件，并報經(jīng)其所在地省轄市信息化主管部門備案： （一）依法在中國境內(nèi)注冊成立并在本省設(shè)有

7、機(jī)構(gòu)，由中國公民、法人投資或者由其它組織投資； （二）從事信息安全檢測、評估相關(guān)業(yè)務(wù)兩年以上，無違法記錄； （三）專業(yè)評估人員不少于10人且均為中國公民，接受并通過相關(guān)培訓(xùn)考核，無違法記錄；其中主要評估人員2人以上，具有由國家權(quán)威機(jī)構(gòu)認(rèn)定的或由其它機(jī)構(gòu)認(rèn)定的相當(dāng)水平的信息安全服務(wù)資格，具備獨立實施風(fēng)險評估的技術(shù)能力; （四）評估使用的技術(shù)裝備、設(shè)施符合國家信息安全產(chǎn)品要求； （五）具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等內(nèi)部管理制度； （六）法律法規(guī)規(guī)定的其它條件。 第十八條 在本省從事檢查評估的社會機(jī)構(gòu)，除具備第十七條規(guī)定條件外，還應(yīng)當(dāng)同時具備下列條件，并經(jīng)其所在地省轄市

8、信息化主管部門審核后，報省信息化主管部門備案： （一）具有國家權(quán)威機(jī)構(gòu)認(rèn)定的信息安全服務(wù)資質(zhì)； （二）評估人員不少于20人，其中主要評估人員4人以上，具有國家權(quán)威機(jī)構(gòu)認(rèn)定的或由其它機(jī)構(gòu)認(rèn)定的相當(dāng)水平的信息安全服務(wù)資格。 第十九條 省轄市以上信息化主管部門應(yīng)當(dāng)自收到備案申請報告之日起10個工作日內(nèi)，告知備案結(jié)果，并定期向社會公布本行政區(qū)域內(nèi)風(fēng)險評估服務(wù)機(jī)構(gòu)備案名單，對其服務(wù)進(jìn)行管理、監(jiān)督。 第二十條 從事風(fēng)險評估服務(wù)的機(jī)構(gòu)，應(yīng)當(dāng)履行下列義務(wù)：（一）遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供科學(xué)、安全、客觀、公正的評估服務(wù)，保證評估的質(zhì)量和效果； （二）保守在評估活動中知悉的國家秘密、商業(yè)秘密和個人隱私

9、，防范安全風(fēng)險，不得私自占有、使用或向第三方泄露相關(guān)技術(shù)數(shù)據(jù)、業(yè)務(wù)資料等信息和資源； （三）對服務(wù)人員進(jìn)行安全保密教育，簽訂服務(wù)人員安全保密責(zé)任書，并負(fù)責(zé)檢查落實。第四章 監(jiān)督管理 第二十一條 違反本辦法，有以下行為之一的，由信息化主管部門責(zé)令其限期改正，逾期不改正的，予以通報；對直接責(zé)任人員，由所在單位或上級主管部門視情給予行政處分： （一）違反第九條、第十條規(guī)定，信息系統(tǒng)的建設(shè)、運營或者使用單位未按照規(guī)定開展自評估；重要信息系統(tǒng)的建設(shè)、運營或者使用單位不接受、不配合開展檢查評估的； （二）違反第十四條規(guī)定，自評估單位未按照規(guī)定將自評估情況和整改方案、接受檢查評估單位未按照規(guī)定將整改方案報本

10、級信息化主管部門備案的； （三）違反第八條規(guī)定，信息系統(tǒng)的建設(shè)、運營或者使用單位委托不符合條件的機(jī)構(gòu)進(jìn)行風(fēng)險評估，并造成不良后果的。第二十二條 違反本辦法第十二條規(guī)定，風(fēng)險評估服務(wù)機(jī)構(gòu)未事先告知被評估單位、協(xié)助其采取預(yù)防措施的，由信息化主管部門責(zé)令限期改正，并給予警告；造成不良后果的，可視情暫停其備案1年，直至取消其備案。 第二十三條 違反本辦法第二十條規(guī)定，風(fēng)險評估服務(wù)機(jī)構(gòu)未經(jīng)許可向第三方提供被評估單位相關(guān)信息的，或者從事影響評估客觀、公正的活動的，由信息化主管部門視情暫停其備案一年，直至取消其備案。造成被評估單位經(jīng)濟(jì)損失的，應(yīng)予合理賠償；從中不當(dāng)獲利的，應(yīng)予退還；構(gòu)成犯罪的，應(yīng)依法追究其刑事責(zé)任。第二十四條 信息化主管部門或其他有關(guān)部門工作人員有