- 1 - 附件: 江 苏 省 信 息 安 全 风 险 评 估管理办法(试行) 第一章 总 则 第一条 为规范信息安全风险评估(以下简称“风险评估” )及其管理活动,保障信息系统安全,依据国家有关规定,结合本省实际,制定本办法
第二条 本省行政区域内信息系统风险评估及其管理活动,适用本办法
第三条 本办法所称信息系统,是指由计算机、信息网络及其配套的设施、设备构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系
本办法所称重要信息系统,是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统
本办法所称风险评估,是指依据有关信息安全技术与管理标准,对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动
第四条 县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查
跨省或者全国统一联网运行的重要信息系统的风险评 - 2 - 估,可以由其行业管理部门统一组织实施
涉密信息系统的风险评估,由国家保密部门按照有关法律、法规规定实施
第五条 风险评估分为自评估和检查评估两种形式
自评估由信息系统的建设、运营或者使用单位自主开展
检查评估由县以上信息化主管部门在本行政区域内依法开展,也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行,双方实行互备案制度
第二章 组织与实施 第六条 信息化主管部门应当定期发布本行政区域内重要信息系统目录,制定检查评估年度实施计划,并对重要信息系统管理技术人员开展相关培训
第七条 江苏省信息安全测评中心为本省从事信息安全测评的专门机构,受省信息化主管部门委托,具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训,组织开展全省重要信息系统的外部安全测试
第八条 信息系统的建设、运营或者使用单位可以依托本单位技术力
