江苏信息安全风险评估管理办法.pdfVIP

附件: 江苏省信息安全风险评估管理办法（试行） 第一章 总 则 第一条 为规范信息安全风险评估（以下简称“风险评 估”）及其管理活动，保障信息系统安全，依据国家有关规 定，结合本省实际，制定本办法。 第二条 本省行政区域内信息系统风险评估及其管理 活动，适用本办法。 第三条 本办法所称信息系统，是指由计算机、信息网 络及其配套的设施、设备构成的，按照一定的应用目标和规 则对信息进行存储、传输、处理的运行体系。 本办法所称重要信息系统，是指履行经济调节、市场监 管、社会管理和公共服务职能的信息系统。 本办法所称风险评估，是指依据有关信息安全技术与管 理标准，对信息网络和信息系统及由其存储、传输、处理的 信息的保密性、完整性和可用性等安全属性进行评价的活 动。 第四条 县以上信息化主管部门负责本行政区域内风 险评估的组织、指导和监督、检查。 跨省或者全国统一联网运行的重要信息系统的风险评 - 1 - 估，可以由其行业管理部门统一组织实施。 涉密信息系统的风险评估，由国家保密部门按照有关法 律、法规规定实施。 第五条 风险评估分为自评估和检查评估两种形式。 自评估由信息系统的建设、运营或者使用单位自主开 展。 检查评估由县以上信息化主管部门在本行政区域内依 法开展，也可以由信息系统建设、运营或者使用单位的上级 主管部门依据有关标准和规范组织进行，双方实行互备案制 度。 第二章 组织与实施 第六条 信息化主管部门应当定期发布本行政区域内 重要信息系统目录，制定检查评估年度实施计划，并对重要 信息系统管理技术人员开展相关培训。 第七条 江苏省信息安全测评中心为本省从事信息安 全测评的专门机构，受省信息化主管部门委托，具体负责对 从事风险评估服务的社会机构进行条件审核、业务管理和人 员培训，组织开展全省重要信息系统的外部安全测试。 第八条 信息系统的建设、运营或者使用单位可以依托 本单位技术力量，或者委托符合条件的风险评估服务机构进 - 2 - 行自评估。 第九条 重要信息系统新建、扩建或者改建的，在设计、 验收、运行维护阶段，均应当进行自评估。重要信息系统废 弃、发生重大变更或者安全状况发生重大变化的，应当及时 进行自评估。 第十条 本省行政区域内信息系统应当定期开展风险 评估，其中重要信息系统应当至少每三年进行一次自评估或 检查评估。在规定期限内已进行检查评估的重要信息系统， 可以不再进行自评估。 第十一条 县以上信息化主管部门委托符合条件的风 险评估服务机构，对本行政区域内重要信息系统实施检查评 估。 第十二条 信息系统的建设、运营或使用单位委托风险 评估服务机构开展自评估,应当签订风险评估协议；信息化 主管部门委托开展检查评估，受委托的风险评估服务机构应 当与被评估单位签订风险评估协议。 对于评估活动可能影响信息系统正常运行的，风险评估 服务机构应当事先告知被评估单位，并协助其采取相应的预 防措施。 第十三条 风险评估应当出具评估报告。评估报告应当 包括评估范围、内容、依据、结论和整改建议等。 风险评估服务机构出具的自评估报告，应当经被评估单 - 3 - 位认可，并经双方部门负责人签署后生效。 风险评估服务机构出具的检查评估报告，应当报委托其 开展评估的主管部门审定；主管部门应当自收到评估报告之 日起 10 个工作日内，将审定结果和整改意见告知被评估单 位。 第十四条 自评估单位应当根据自评估报告进行整改， 并自报告生效之日起 30 日内，将自评估情况和整改方案报 本级信息化主管部门备案。 接受检查评估的单位应当自收到检查评估报告之日起 30日内，根据整改建议提出整改方案、明确整改时限，报本 级信息化主管部门备案。 受委托进行风险评估