关于开展信息安全风险评估工作的实施意见

关于开展信息安全风险评估工作的

实施意见

根据〔…〕省信安协[2007]1号"〔…〕省网络与信息安全协调小组印发《关于开展信息安全风险评估工作的实施意见》的通知"文件精神，对开展我市信息安全风险评估工作提出如下实施意见：

一、信息安全风险评估工作的基本内容

信息安全风险评估是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁，及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障网络和信息安全提供科学依据。

　信息安全风险评估分为自评估和检查评估两种形式。自评估是指网络与信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。检查评估是指信息系统上级管理部门或有关职能部门依法开展的风险评估。信息安全风险评估以自评估为主，自评估和检查评估相互结合、互为补充。自评估和检查评估可以依托自身技术力量进行，也可委托第三方机构提供技术支持。

二、信息安全风险评估工作职责分工

　各级信息化和信息安全职能部门要高度重视对风险评估工作的组织领导，切实加强对风险评估工作的管理。

　市信息化办负责信息安全风险评估工作的统筹规划、协调推进；市公安局负责信息安全风险评估中有关等级保护的监督、检查和指导；市国家安全局负责信息安全风险评估中有关反窃密、防失泄密技术安全检测的监督、检查和指导；市保密局负责信息安全风险评估中有关保密工作的监督、检查和指导；市委机要局负责信息安全风险评估中有关密码工作的监督、检查和指导。

信息安全风险评估工作中涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

　网络与信息系统的拥有、运营、使用单位和主管部门负责本单位网络与信息系统自评估的组织实施，配合市有关职能部门依法开展检查评估。

各县区信息化领导小组或网络与信息安全协调小组负责本县区信息安全风险评估的统筹规划、协调推进。

三、信息安全风险评估工作的有关要求

（一）建立健全信息安全风险评估机制。

电子政务系统，在规划设计阶段，应由信息安全测评专业机构评审其信息安全设计方案是否满足等级保护的安全需求，评审报告报有关主管部门备案，未通过评审的不得实施；在验收阶段，应进行安全测评，确认已设计安装的安全措施能否满足实现既定等级的安全目标，测评结果报有关主管部门确认，未达到要求的不得投入运行、不予验收；在运行阶段，要继续加强安全保护，定期进行安全测评，为等级化安全监管提供技术依据。当信息系统的网络结构、信息处理流程或外部安全形势发生重大变更的，应当及时进行补充测评，确保安全措施的有效性及对安全环境变化的适应性。

　有关部门要将开展信息安全风险评估作为基础信息网络和重要信息系统规划、建设和落实等级保护工作要求的重要内容，并建立定期开展信息安全风险评估工作制度，重要信息系统每年至少开展一次风险评估。

（二）明确风险评估责任单位。我市区域内公用通信网、广播电视传输等基础信息网络，电子政务以及金融、税务、证券、海关、电力、交通、供水、供气、供热、医疗卫生和大型国有企业等涉及国计民生的信息系统（以下通称"重要信息系统"），均应纳入等级保护、风险评估的范围，确保重要信息系统建立完善的信息安全防护体系。

（三）加强风险评估工作的组织领导。信息安全风险评估工作敏感性强，涉及网络与信息系统的关键资产和核心信息，必须加强组织领导。成立秦皇岛市信息安全风险评估工作领导小组，加强对我市区域内基础信息网络和重要信息系统的信息安全风险评估工作的督促、检查、指导，督促信息安全建设，掌握信息安全态势，了解信息安全发展需求，指导信息安全建设。网络与信息系统的拥有、运营、使用单位和主管部门要按照"谁主管谁负责，谁运营谁负责"的原则，切实负起严格管理的责任，并对有关风险评估经费予以保障。各县区要积极建立本地区信息安全风险评估机制，积极推进本地区的信息安全风险评估工作。

（四）加强对信息安全风险评估队伍的管理。为了确保信息安全风险评估过程的安全，所有参与信息安全风险评估工作的单位必须与用户签订具有法律约束力的保密协议，遵守国家有关信息和保密的法律法规，并承担相应的责任和义务。参与本市重要信息系统风险检查评估工作的机构或单位，应通过国家有关部门的资质认可并经省、市有关主管部门的授权或指定。重要信息系统的风险评估机构，应当定期将实施评估的汇总情况向主管部门报告；发现重要信息系统存在重大问题时，应当立即向主管部门报告。

（五）加强信息安全风险评估的宣传与培训。组织对国家有关信息安全风险评估政策以及《信息安全风险评估指南》、《信息安全风险管理指南》等国家标准的宣传，各行业主管部门也可根据本行业特点制定相应的技术规范。加强试点成功经验推广工作。大力倡导自评估，推广使用信息安全风险评估的培训与交流。

四、信息安全风险评估工