江苏省信息安全风险评估管理办法
(征求意见稿)
第一章 总 则
第一条 为规范信息安全风险评估及其管理活动,保障信息系统安全,依据国家有关规定,结合本省实际,制定本办法。
第二条 本省行政区域内重要公共信息系统(以下简称重要系统)信息安全风险评估(以下简称风险评估)及其管理活动,适用本办法。
第三条 本办法所称重要系统,是指本省行政区域内履行经济调节、市场监管、社会管理和公共服务职能的重要信息网络和重要信息系统。
本办法所称风险评估,是指依据有关信息安全技术与管理标准,对信息网络和信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的活动。
第四条 县级以上地方人民政府信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。
跨省或者全国统一联网运行的重要系统的风险评估,可以由其行业管理部门统一组织实施。涉密重要系统的风险评估,由国家保密部门按照有关法律、法规规定实施。
第五条 风险评估分为自评估和检查评估两种形式。
自评估由重要系统的建设、运营或者使用单位,自主对其重要系统进行风险评估。
检查评估由信息化主管部门依法开展风险评估,也可以由重要系统的上级主管部门依据有关标准和规范组织开展风险评估,双方实行互备案制度。
第二章 组织与实施
第六条 信息化主管部门应当定期发布本行政区域内重要系统目录,制定检查评估年度实施计划,并对重要系统管理技术人员开展相关培训。
第七条 重要系统建设、运营或者使用单位应当按照规定开展自评估,并接受和配合开展检查评估。
重要系统新建、扩建或者改建的,在设计、验收阶段,应当进行自评估;在运行维护阶段,应当至少每年进行一次自评估。重要系统发生重大变更或者安全形势发生重大变化的,应当及时进行自评估。
本年度已进行检查评估的重要系统,可以不再进行自评估。
第八条 重要系统的建设、运营或者使用单位可以依托本单位技术力量开展自评估,也可以委托符合本办法第十五条规定条件的评估服务机构进行自评估。
第九条 省信息安全测评中心和其他符合条件的评估服务机构受信息化主管部门委托,对本行政区域内重要系统实施检查评估。
第十条 评估服务机构受委托开展风险评估,应当与被评估单位签订风险评估协议;信息化主管部门组织开展检查评估,应当与被评估单位、评估服务机构共同签订风险评估协议。
第十一条 风险评估应当依据有关标准和规范,确保客观、公正、保密。
评估服务机构对于评估过程可能影响重要系统正常运行的,应当事先告知被评估单位,并协助其采取相应的预防措施。
第十二条 风险评估应当出具评估报告。评估报告包括评估范围、内容、依据、结论和整改建议等。
自评估报告由评估服务机构和被评估单位共同认可,经双方负责人签署后方可生效。
检查评估报告由评估服务机构报本级信息化主管部门审定;信息化主管部门应当自收到评估报告之日起30日内,将审定结果和整改意见告知被评估单位。
第十三条 自评估单位应当根据自评估报告,采取整改措施,并自报告生效之日起30日内,将自评估报告和整改情况报本级信息化主管部门备案。
接受检查评估的单位应当自收到检查评估报告之日起30日内,根据整改意见通知提出整改方案、明确整改时限,并报本级信息化主管部门备案。
信息化主管部门应当定期公布已开展风险评估单位备案名单,督促未备案单位开展自评估。
第十四条 未发生重大变更的重要系统再次进行风险评估的,可以参考前次评估结果,重点评估以下内容:
(一)前次风险评估时发现的主要问题及整改情况;
(二)核心网络设备、服务器、安全防护设施、应用软件等系统关键部位发生局部变更后,可能出现的安全隐患;
(三)新的信息技术可能对信息安全造成的影响;
(四)其他需要重点评估的内容。
第三章 风险评估机构
第十五条 在本省从事风险评估服务的机构,应当具备下列条件,并报省信息化主管部门备案:
(一)依法在中国境内注册成立并在本省设立机构;
(二)由本国公民、法人或者其他组织投资;
(三)开展相关服务2年以上,无违法记录,法人及主要评估人员无犯罪记录;
(四)具有完备的保密管理制度和保证风险评估客观、公正的制度;
(五)具有5人以上风险评估人员,主要评估人员具有系统集成工作经验,具备独立实施风险评估的技术能力,且均为本国公民(港澳台地区除外);
(六)设有信息安全检测实验室,配备符合要求的信息安全检测设备。
第十六条 省信息化主管部门应当定期公布已备案的评估服务机构名单,并对其评估服务活动进行管理、监督。
第十七条 评估服务机构对风险评估过程中取得的技术数据、业务资料等信息负有保密义务,未经许可不得以任何方式将相关信息提供给第三方。
第十八条 评估服务机构实施风险评估期间,不得从事下列活动:
(一)在被评估单位指定销售信息安全产品或者开展其他相关服务;
(二)在风险评估中弄虚作假或者违规操作;
(三)其他可能影响风险评估客观、公正的活动。
第四章 法律责任
第十九条 违反本办法规定,有下列行为之一的,由信息化主管部门责令限期改正;逾期不改正的,予以通报;对直接负责的主管人员和其他直接责任人员,由其所在单位或者上级主管部门给予行政处分或者纪律处分:
(一)违反第七条第一款规定,重要系统的建设、运营或者使用单位不按照规定开展自评估,或者不接受和配合开展检查评估的;
(二)违反第十三条第一款、第二款规定,自评估单位未按照规定将自评估报告和整改情况、接受检查评估单位未按照规定将整改方案报本级信息化主管部门备案的。
第二十条 违反本办法第十一条第二款规定,评估服务机构未事先告知被评估单位、协助其采取预防措施的,由信息化主管部门责令限期改正,并给予警告;造成不良后果的,可以处1万元以上2万元以下罚款,并暂停其评估服务1年。
第二十一条 违反本办法第十七条规定,评估服务机构未经许可向第三方提供被评估单位相关信息,或者违反第十八条规定,从事影响评估客观、公正的活动的,由信息化主管部门处1万元以上2万元以下罚款,并暂停其评估服务1年;情节严重的,处2万元以上3万元以下罚款,并暂停其评估服务2年直至禁止其从事评估服务。
第二十二条 信息化管理人员在风险评估管理中玩忽职守、滥用职权、徇私舞弊的,由其所在单位或者上级主管部门给予行政处分或者纪律处分;构成犯罪的,依法追究刑事责任。
第五章 附 则
第二十三条 本办法自200 年 月 日起施行。
1. 信函:
通信地址: 南京市北京西路68号 江苏省人民政府法制办公室 邮编:210024 信封上请注明“立法征求意见”。
2. 电子邮件:
3. 在线提交:
��4�����: [�鿴�������] ���� * jϵ��ʽ�� * ���8�� *
