2.风险评估相关政策
关于开展信息安全风险评估工作的意见(国信办[200615号) 信息安全风险评估(基于风险管理)
系统分析网络与信息系统所面临的威胁及其存在的脆弱性评估安全事件一旦发生可能造成的危害程度
提出有针对性的抵御威胁的防护对策和整改措施基本工作要求
应贯穿于网络和信息系统建设运行的全过程(设计、验收、运维)
信息安全风险评估分自评估、检查评估两种形式,应以自评估为主,自评估和检查评估相互结合、互为补充
相关保障
参照标准:《信息安全风险评估规范》( GB/T20984-2007)、《信息安全风险管理指南》 ( GB/224364-2009)
服务资质(对于涉及国计民生的基础网络和重要信息系统的风险评估技术服务,要由国家专控的队伍来承担)
《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)
依据和目的
《国家电子政务工程建设项目管理暂行办法》一一国家发改委令[2007]第55号
目的是为了贯彻落实中办发[2003]27号文,加强基础信息网络和重要信息系统安全保障,加强和规范国家电子政务工程建设项目信息安全风险评估工作
主要内容
◇分析信息系统资产的重要程度,评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等
◇两类信息系统的工作开展
涉密信息系统参照“分级保护”
非涉密信息系统参照“等级保护” 相关要点
◇要求将“信息安全风险评估”作为电子政务项目验收的重要内容 ” ◇对信息安全风险评估机构的指定(1家+3家)
◇投入运行后,应定期开展信息安全风险评估