信息平安风险评估管理方法第一章总那么第一条为了标准信息平安风险评估(以下简称风险评估)及其管理活动,保证信息系统平安,依据国家有关规定,结合本省实际,制定本方法.第二条本省行政区域内信息系统风险评估及其管理活动,适合本方法.第三条 本方法所称信息系统,是指由电脑、信息网络及其配套的设施、设备构成的,根据一定的应用目标和规那么对信息进行存储、传输、处理的运行体系.本方法所称重要信息系统,是指履行经济调节、市场监管、社会管理和公共效劳职能的信息系统.本方法所称风险评估,是指依据有关信息平安技术与管理 标准,对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等平安属性进行评价的活动.第四条 县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查.跨省或者全国统一联网运行的重要信息系统的风险评估,可以由其行业管理部门统一组织实施.涉密信息系统的风险评估,由国家保密部门根据有关法律、法规规定实施.第五条风险评估分为了自评估和检查评估两种形式.自评估由信息系统的建设、运营或者使用单位自主开展.检查评估由县以上信息化主管部门在本行政区域内依法开展,也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和标准组织进行,双方实行互备案制度.第二章组织与实施第六条信息化主管部门应当定期发布本行政区域内重要信息系统目录,制定检查评估年度实施方案,并对重要信息系统管理技术人员开展相关培训.第七条江苏省信息平安测评中心为了本省从事信息平安测评的专门机构,受省信息化主管部门委托,具体负责对从事风险评估效劳的社会机构进行条件审核、业务管理和人员培训,组织开展全省重要信息系统的外部平安测试.第八条信息系统的建设、运营或者使用单位可以依托本单位技术力虽,或者委托符合条件的风险评估效劳机构进行自评估.第九条重要信息系统新建、扩建或者改建的,在设计、验收、运行维保阶段,均应当进行自评估.重要信息系统废 弃、发生重大变更或者平安状况发生重大改变的,应当及时进行自评估.第十条本省行政区域内信息系统应当定期开展风险评估,其中重要信息系统应当至少每三年进行一次自评估或检查 评估.在规定期限内已进行检查评估的重要信息系统,可以不再进行自评估.第十一条县以上信息化主管部门委托符合条件的风险评估效劳机构,对本行政区域内重要信息系统实施检查评估.第十二条信息系统的建设、运营或使用单位委托风险评...
