信息安全风险评估管理办法_第1页
信息安全风险评估管理办法_第2页
信息安全风险评估管理办法_第3页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、信息安全风险评估管理办法第一章总则第一条为规范信息安全风险评估(以下简称风险评估”)及其管理活动,保障信息系统安全,依据国家有关规 定,结合本省实际,制定本办法。第二条本省行政区域内信息系统风险评估及其管理活动, 适用本办法。第三条 本办法所称信息系统,是指由计算机、信息网 络及其配套的设施、设备构成的,按照一定的应用目标和 规则对信息进行存储、传输、处理的运行体系。 本办法所称重要信息系统,是指履行经济调节、市场监 管、社会管理和公共服务职能的信息系统。本办法所称风险评估,是指依据有关信息安全技术与管理 标准,对信息网络和信息系统及由其存储、传输、处理的 信息的保密性、完整性和可用性等安全属

2、性进行评价的活 动。第四条 县以上信息化主管部门负责本行政区域内风险评估 的组织、指导和监督、检查。跨省或者全国统一联网运行的重要信息系统的风险评估, 可以由其行业管理部门统一组织实施。涉密信息系统的风险评估,由国家保密部门按照有关法 律、法规规定实施。第五条 风险评估分为自评估和检查评估两种形式。自评估由信息系统的建设、运营或者使用单位自主开展。检查评估由县以上信息化主管部门在本行政区域内依法开 展,也可以由信息系统建设、运营或者使用单位的上级主 管部门依据有关标准和规范组织进行,双方实行互备案制 度。第二章组织与实施第六条 信息化主管部门应当定期发布本行政区域内重要信 息系统目录,制定检查

3、评估年度实施计划,并对重要信息 系统管理技术人员开展相关培训。第七条 江苏省信息安全测评中心为本省从事信息安全测评 的专门机构,受省信息化主管部门委托,具体负责对从事 风险评估服务的社会机构进行条件审核、业务管理和人员 培训,组织开展全省重要信息系统的外部安全测试。第八条信息系统的建设、运营或者使用单位可以依托本单 位技术力量,或者委托符合条件的风险评估服务机构进行 自评估。第九条 重要信息系统新建、扩建或者改建的,在设计、验 收、运行维护阶段,均应当进行自评估。重要信息系统废 弃、发生重大变更或者安全状况发生重大变化的,应当及 时进行自评估。第十条 本省行政区域内信息系统应当定期开展风险评估

4、, 其中重要信息系统应当至少每三年进行一次自评估或检查 评估。在规定期限内已进行检查评估的重要信息系统,可 以不再进行自评估。第十一条 县以上信息化主管部门委托符合条件的风险评估 服务机构,对本行政区域内重要信息系统实施检查评估。 第十二条信息系统的建设、运营或使用单位委托风险评估 服务机构开展自评估 , 应当签订风险评估协议;信息化主管 部门委托开展检查评估,受委托的风险评估服务机构应当 与被评估单位签订风险评估协议。对于评估活动可能影响信息系统正常运行的,风险评估服 务机构应当事先告知被评估单位,并协助其采取相应的预 防措施。第十三条 风险评估应当出具评估报告。评估报告应当包括 评估范围、

5、内容、依据、结论和整改建议等。风险评估服务机构出具的自评估报告,应当经被评估单 位认可,并经双方部门负责人签署后生效。 风险评估服务机构出具的检查评估报告,应当报委托其开 展评估的主管部门审定;主管部门应当自收到评估报告之 日起 10个工作日内,将审定结果和整改意见告知被评估单 位。第十四条 自评估单位应当根据自评估报告进行整改,并自 报告生效之日起 30日内,将自评估情况和整改方案报本级 信息化主管部门备案。接受检查评估的单位应当自收到检查评估报告之日起30日内,根据整改建议提出整改方案、明确整改时限,报本级 信息化主管部门备案。受委托进行风险评估的服务机构应当指导被评估单位开展 整改,并对

6、整改措施的有效性进行验证。第十五条 信息化 主管部门应当定期公布已开展自评估、检查评估单位备案 名单,督促未备案单位开展自评估。第十六条 未发生重大变更的重要信息系统再次进行风险评 估的,可以参考前次评估结果,重点评估以下内容:(一)前次风险评估发现的主要问题及整改情况;(二)核心网络设备、服务器、安全防护设施、应用软件等 系统关键部位发生局部变更后,可能出现的安全隐患;(三)新的信息技术可能对信息系统安全造成的影响;(四)其他需要重点评估的内容。第三章 风险评估机构第十七条 在本省行政区域内从事自评估服务的社会机构, 应当具备下列条件,并报经其所在地省辖市信息化主管部 门备案:(一)依法在中

7、国境内注册成立并在本省设有机构,由中国 公民、法人投资或者由其它组织投资;(二)从事信息安全检测、评估相关业务两年以上,无违法 记录;(三)专业评估人员不少于 10 人且均为中国公民,接受并 通过相关培训考核,无违法记录;其中主要评估人员 2 人以 上,具有由国家权威机构认定的或由其它机构认定的相当 水平的信息安全服务资格,具备独立实施风险评估的技术 能力 ; (四)评估使用的技术装备、设施符合国家信息安全 产品要求;(五)具有完备的保密管理、项目管理、质量管理、人员管 理和培训教育等内部管理制度;(六)法律法规规定的其它条件。第十八条 在本省从事检查评估的社会机构,除具备第十七 条规定条件外

8、,还应当同时具备下列条件,并经其所在地 省辖市信息化主管部门审核后,报省信息化主管部门备 案:(一)具有国家权威机构认定的信息安全服务资质;(二)评估人员不少于 20人,其中主要评估人员 4人以上, 具有国家权威机构认定的或由其它机构认定的相当水平的 信息安全服务资格。第十九条 省辖市以上信息化主管部门应当自收到备案申请 报告之日起 10个工作日内,告知备案结果,并定期向社会 公布本行政区域内风险评估服务机构备案名单,对其服务 进行管理、监督。第二十条 从事风险评估服务的机构,应当履行下列义务:(一)遵守国家有关法律法规和技术标准,提供科学、安 全、客观、公正的评估服务,保证评估的质量和效果;

9、(二)保守在评估活动中知悉的国家秘密、商业秘密和个人 隐私,防范安全风险,不得私自占有、使用或向第三方泄 露相关技术数据、业务资料等信息和资源;(三)对服务人员进行安全保密教育,签订服务人员安全保 密责任书,并负责检查落实。第四章 监督管理第二十一条 违反本办法,有以下行为之一的,由信息化主管部门责令其限期改正,逾期不改正的,予以通报;对直 接责任人员,由所在单位或上级主管部门视情给予行政处 分:(一)违反第九条、第十条规定,信息系统的建设、运营或 者使用单位未按照规定开展自评估;重要信息系统的建 设、运营或者使用单位不接受、不配合开展检查评估的;(二)违反第十四条规定,自评估单位未按照规定将

10、自评估 情况和整改方案、接受检查评估单位未按照规定将整改方 案报本级信息化主管部门备案的;(三)违反第八条规定,信息系统的建设、运营或者使用单 位委托不符合条件的机构进行风险评估,并造成不良后果 的。第二十二条 违反本办法第十二条规定,风险评估服务 机构未事先告知被评估单位、协助其采取预防措施的,由 信息化主管部门责令限期改正,并给予警告;造成不良后 果的,可视情暂停其备案 1 年,直至取消其备案。 第二十三条 违反本办法第二十条规定,风险评估服务机构 未经许可向第三方提供被评估单位相关信息的,或者从事 影响评估客观、公正的活动的,由信息化主管部门视情暂 停其备案一年,直至取消其备案。造成被评估单位经济损 失的,应予合理赔偿;从中不当获利的,应予退还;构成 犯罪的,应依法追究其刑事责任。第二十四条 信息化主管部门或其他有关部门工作人

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论