信息安全風(fēng)險(xiǎn)評(píng)估管理辦法

1、 信息安全風(fēng)險(xiǎn)評(píng)估管理辦法 第一章 總 則 第一條 為規(guī)范信息安全風(fēng)險(xiǎn)評(píng)估（以下簡(jiǎn)稱“風(fēng)險(xiǎn)評(píng)估”）及其管理活動(dòng)，保障信息系統(tǒng)安全，依據(jù)國(guó)家有關(guān)規(guī)定，結(jié)合本省實(shí)際，制定本辦法。 第二條 本省行政區(qū)域內(nèi)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估及其管理活動(dòng)，適用本辦法。 第三條 本辦法所稱信息系統(tǒng)，是指由計(jì)算機(jī)、信息網(wǎng)絡(luò)及其配套的設(shè)施、設(shè)備構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行存儲(chǔ)、傳輸、處理的運(yùn)行體系。 本辦法所稱重要信息系統(tǒng)，是指履行經(jīng)濟(jì)調(diào)節(jié)、市場(chǎng)監(jiān)管、社會(huì)管理和公共服務(wù)職能的信息系統(tǒng)。 本辦法所稱風(fēng)險(xiǎn)評(píng)估，是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息網(wǎng)絡(luò)和信息系統(tǒng)及由其存儲(chǔ)、傳輸、處理的信息的保密性、完整性和可用性

2、等安全屬性進(jìn)行評(píng)價(jià)的活動(dòng)。 第四條 縣以上信息化主管部門負(fù)責(zé)本行政區(qū)域內(nèi)風(fēng)險(xiǎn)評(píng)估的組織、指導(dǎo)和監(jiān)督、檢查。 跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，可以由其行業(yè)管理部門統(tǒng)一組織實(shí)施。 涉密信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，由國(guó)家保密部門按照有關(guān)法律、法規(guī)規(guī)定實(shí)施。 第五條 風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式。 自評(píng)估由信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位自主開展。 檢查評(píng)估由縣以上信息化主管部門在本行政區(qū)域內(nèi)依法開展，也可以由信息系統(tǒng)建設(shè)、運(yùn)營(yíng)或者使用單位的上級(jí)主管部門依據(jù)有關(guān)標(biāo)準(zhǔn)和規(guī)范組織進(jìn)行，雙方實(shí)行互備案制度。 第二章 組織與實(shí)施 第六條 信息化主管部門應(yīng)當(dāng)定期發(fā)布本行政區(qū)域內(nèi)重要信息系統(tǒng)目錄

3、，制定檢查評(píng)估年度實(shí)施計(jì)劃，并對(duì)重要信息系統(tǒng)管理技術(shù)人員開展相關(guān)培訓(xùn)。 第七條 江蘇省信息安全測(cè)評(píng)中心為本省從事信息安全測(cè)評(píng)的專門機(jī)構(gòu)，受省信息化主管部門委托，具體負(fù)責(zé)對(duì)從事風(fēng)險(xiǎn)評(píng)估服務(wù)的社會(huì)機(jī)構(gòu)進(jìn)行條件審核、業(yè)務(wù)管理和人員培訓(xùn)，組織開展全省重要信息系統(tǒng)的外部安全測(cè)試。 第八條 信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位可以依托本單位技術(shù)力量，或者委托符合條件的風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)進(jìn)行自評(píng)估。 第九條 重要信息系統(tǒng)新建、擴(kuò)建或者改建的，在設(shè)計(jì)、驗(yàn)收、運(yùn)行維護(hù)階段，均應(yīng)當(dāng)進(jìn)行自評(píng)估。重要信息系統(tǒng)廢棄、發(fā)生重大變更或者安全狀況發(fā)生重大變化的，應(yīng)當(dāng)及時(shí)進(jìn)行自評(píng)估。 第十條 本省行政區(qū)域內(nèi)信息系統(tǒng)應(yīng)當(dāng)定期開展風(fēng)險(xiǎn)評(píng)

4、估，其中重要信息系統(tǒng)應(yīng)當(dāng)至少每三年進(jìn)行一次自評(píng)估或檢查評(píng)估。在規(guī)定期限內(nèi)已進(jìn)行檢查評(píng)估的重要信息系統(tǒng)，可以不再進(jìn)行自評(píng)估。 第十一條 縣以上信息化主管部門委托符合條件的風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)，對(duì)本行政區(qū)域內(nèi)重要信息系統(tǒng)實(shí)施檢查評(píng)估。 第十二條信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或使用單位委托風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)開展自評(píng)估,應(yīng)當(dāng)簽訂風(fēng)險(xiǎn)評(píng)估協(xié)議；信息化主管部門委托開展檢查評(píng)估，受委托的風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)應(yīng)當(dāng)與被評(píng)估單位簽訂風(fēng)險(xiǎn)評(píng)估協(xié)議。 對(duì)于評(píng)估活動(dòng)可能影響信息系統(tǒng)正常運(yùn)行的，風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)應(yīng)當(dāng)事先告知被評(píng)估單位，并協(xié)助其采取相應(yīng)的預(yù)防措施。 第十三條 風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)出具評(píng)估報(bào)告。評(píng)估報(bào)告應(yīng)當(dāng)包括評(píng)估范圍、內(nèi)容、依據(jù)、結(jié)論

5、和整改建議等。 風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)出具的自評(píng)估報(bào)告，應(yīng)當(dāng)經(jīng)被評(píng)估單位認(rèn)可，并經(jīng)雙方部門負(fù)責(zé)人簽署后生效。 風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)出具的檢查評(píng)估報(bào)告，應(yīng)當(dāng)報(bào)委托其開展評(píng)估的主管部門審定；主管部門應(yīng)當(dāng)自收到評(píng)估報(bào)告之日起10個(gè)工作日內(nèi)，將審定結(jié)果和整改意見告知被評(píng)估單位。 第十四條 自評(píng)估單位應(yīng)當(dāng)根據(jù)自評(píng)估報(bào)告進(jìn)行整改，并自報(bào)告生效之日起30日內(nèi)，將自評(píng)估情況和整改方案報(bào)本級(jí)信息化主管部門備案。 接受檢查評(píng)估的單位應(yīng)當(dāng)自收到檢查評(píng)估報(bào)告之日起30日內(nèi)，根據(jù)整改建議提出整改方案、明確整改時(shí)限，報(bào)本級(jí)信息化主管部門備案。 受委托進(jìn)行風(fēng)險(xiǎn)評(píng)估的服務(wù)機(jī)構(gòu)應(yīng)當(dāng)指導(dǎo)被評(píng)估單位開展整改，并對(duì)整改措施的有效性進(jìn)行驗(yàn)證。第

6、十五條 信息化主管部門應(yīng)當(dāng)定期公布已開展自評(píng)估、檢查評(píng)估單位備案名單，督促未備案單位開展自評(píng)估。 第十六條 未發(fā)生重大變更的重要信息系統(tǒng)再次進(jìn)行風(fēng)險(xiǎn)評(píng)估的，可以參考前次評(píng)估結(jié)果，重點(diǎn)評(píng)估以下內(nèi)容： （一）前次風(fēng)險(xiǎn)評(píng)估發(fā)現(xiàn)的主要問題及整改情況； （二）核心網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全防護(hù)設(shè)施、應(yīng)用軟件等系統(tǒng)關(guān)鍵部位發(fā)生局部變更后，可能出現(xiàn)的安全隱患； （三）新的信息技術(shù)可能對(duì)信息系統(tǒng)安全造成的影響； （四）其他需要重點(diǎn)評(píng)估的內(nèi)容。第三章 風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu) 第十七條 在本省行政區(qū)域內(nèi)從事自評(píng)估服務(wù)的社會(huì)機(jī)構(gòu)，應(yīng)當(dāng)具備下列條件，并報(bào)經(jīng)其所在地省轄市信息化主管部門備案： （一）依法在中國(guó)境內(nèi)注冊(cè)成立并在本省設(shè)有

7、機(jī)構(gòu)，由中國(guó)公民、法人投資或者由其它組織投資； （二）從事信息安全檢測(cè)、評(píng)估相關(guān)業(yè)務(wù)兩年以上，無違法記錄； （三）專業(yè)評(píng)估人員不少于10人且均為中國(guó)公民，接受并通過相關(guān)培訓(xùn)考核，無違法記錄；其中主要評(píng)估人員2人以上，具有由國(guó)家權(quán)威機(jī)構(gòu)認(rèn)定的或由其它機(jī)構(gòu)認(rèn)定的相當(dāng)水平的信息安全服務(wù)資格，具備獨(dú)立實(shí)施風(fēng)險(xiǎn)評(píng)估的技術(shù)能力; （四）評(píng)估使用的技術(shù)裝備、設(shè)施符合國(guó)家信息安全產(chǎn)品要求； （五）具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等內(nèi)部管理制度； （六）法律法規(guī)規(guī)定的其它條件。 第十八條 在本省從事檢查評(píng)估的社會(huì)機(jī)構(gòu)，除具備第十七條規(guī)定條件外，還應(yīng)當(dāng)同時(shí)具備下列條件，并經(jīng)其所在地省轄市

8、信息化主管部門審核后，報(bào)省信息化主管部門備案： （一）具有國(guó)家權(quán)威機(jī)構(gòu)認(rèn)定的信息安全服務(wù)資質(zhì)； （二）評(píng)估人員不少于20人，其中主要評(píng)估人員4人以上，具有國(guó)家權(quán)威機(jī)構(gòu)認(rèn)定的或由其它機(jī)構(gòu)認(rèn)定的相當(dāng)水平的信息安全服務(wù)資格。 第十九條 省轄市以上信息化主管部門應(yīng)當(dāng)自收到備案申請(qǐng)報(bào)告之日起10個(gè)工作日內(nèi)，告知備案結(jié)果，并定期向社會(huì)公布本行政區(qū)域內(nèi)風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)備案名單，對(duì)其服務(wù)進(jìn)行管理、監(jiān)督。 第二十條 從事風(fēng)險(xiǎn)評(píng)估服務(wù)的機(jī)構(gòu)，應(yīng)當(dāng)履行下列義務(wù)：（一）遵守國(guó)家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供科學(xué)、安全、客觀、公正的評(píng)估服務(wù)，保證評(píng)估的質(zhì)量和效果； （二）保守在評(píng)估活動(dòng)中知悉的國(guó)家秘密、商業(yè)秘密和個(gè)人隱私

9、，防范安全風(fēng)險(xiǎn)，不得私自占有、使用或向第三方泄露相關(guān)技術(shù)數(shù)據(jù)、業(yè)務(wù)資料等信息和資源； （三）對(duì)服務(wù)人員進(jìn)行安全保密教育，簽訂服務(wù)人員安全保密責(zé)任書，并負(fù)責(zé)檢查落實(shí)。第四章 監(jiān)督管理 第二十一條 違反本辦法，有以下行為之一的，由信息化主管部門責(zé)令其限期改正，逾期不改正的，予以通報(bào)；對(duì)直接責(zé)任人員，由所在單位或上級(jí)主管部門視情給予行政處分： （一）違反第九條、第十條規(guī)定，信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位未按照規(guī)定開展自評(píng)估；重要信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位不接受、不配合開展檢查評(píng)估的； （二）違反第十四條規(guī)定，自評(píng)估單位未按照規(guī)定將自評(píng)估情況和整改方案、接受檢查評(píng)估單位未按照規(guī)定將整改方案報(bào)本

10、級(jí)信息化主管部門備案的； （三）違反第八條規(guī)定，信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位委托不符合條件的機(jī)構(gòu)進(jìn)行風(fēng)險(xiǎn)評(píng)估，并造成不良后果的。第二十二條 違反本辦法第十二條規(guī)定，風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)未事先告知被評(píng)估單位、協(xié)助其采取預(yù)防措施的，由信息化主管部門責(zé)令限期改正，并給予警告；造成不良后果的，可視情暫停其備案1年，直至取消其備案。 第二十三條 違反本辦法第二十條規(guī)定，風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)未經(jīng)許可向第三方提供被評(píng)估單位相關(guān)信息的，或者從事影響評(píng)估客觀、公正的活動(dòng)的，由信息化主管部門視情暫停其備案一年，直至取消其備案。造成被評(píng)估單位經(jīng)濟(jì)損失的，應(yīng)予合理賠償；從中不當(dāng)獲利的，應(yīng)予退還；構(gòu)成犯罪的，應(yīng)依法追究其刑事責(zé)任。第二十四條 信息化主管部門或其他有關(guān)部門工作人員有