問您講述《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》:
中央和國(guó)家機(jī)關(guān)各部委����,國(guó)務(wù)院各直屬機(jī)構(gòu)、辦事機(jī)構(gòu)����、事業(yè)單位,各省、自治區(qū)��、直轄市及計(jì)劃單列市����、新疆生產(chǎn)建設(shè)兵團(tuán)發(fā)展改革委�、公安廳、保密局:
為了貫徹落實(shí)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號(hào))����,加強(qiáng)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全保障,按照《國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法》(國(guó)家發(fā)展和改革委員會(huì)令[2007]第55號(hào))的有關(guān)規(guī)定�����,加強(qiáng)和規(guī)范國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作����,現(xiàn)就有關(guān)事項(xiàng)通知如下:
一、國(guó)家的電子政務(wù)網(wǎng)絡(luò)���、重點(diǎn)業(yè)務(wù)信息系統(tǒng)�、基礎(chǔ)信息庫(kù)以及相關(guān)支撐體系等國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目(以下簡(jiǎn)稱電子政務(wù)項(xiàng)目)�,應(yīng)開展信息安全風(fēng)險(xiǎn)評(píng)估工作。
二、電子政務(wù)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容包括:分析信息系統(tǒng)資產(chǎn)的重要程度��,評(píng)估信息系統(tǒng)面臨的安全威脅���、存在的脆弱性����、已有的安全措施和殘余風(fēng)險(xiǎn)的影響等�����。
三����、電子政務(wù)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作按照涉及國(guó)家秘密的信息系統(tǒng)(以下簡(jiǎn)稱涉密信息系統(tǒng))和非涉密信息系統(tǒng)兩部分組織開展。
四����、涉密信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)按照《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法》、《涉及國(guó)家秘密的信息系統(tǒng)審批管理規(guī)定》����、《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》等國(guó)家有關(guān)保密規(guī)定和標(biāo)準(zhǔn),進(jìn)行系統(tǒng)測(cè)評(píng)并履行審批手續(xù)����。
五�����、非涉密信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)按照《信息安全等級(jí)保護(hù)管理辦法》�、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》��、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》��、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》和《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》等有關(guān)要求��,可委托同一專業(yè)測(cè)評(píng)機(jī)構(gòu)完成等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估工作��,并形成等級(jí)測(cè)評(píng)報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告����。等級(jí)測(cè)評(píng)報(bào)告參照公安部門制訂的格式編制�,風(fēng)險(xiǎn)評(píng)估報(bào)告參考《國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目非涉密信息系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告格式》(見附件)編制。
六��、電子政務(wù)項(xiàng)目涉密信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估�����,由國(guó)家保密局涉密信息系統(tǒng)安全保密測(cè)評(píng)中心承擔(dān)。非涉密信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估���,由國(guó)家信息技術(shù)安全研究中心��、中國(guó)信息安全測(cè)評(píng)中心���、公安部信息安全等級(jí)保護(hù)評(píng)估中心等三家專業(yè)測(cè)評(píng)機(jī)構(gòu)承擔(dān)。
七�、項(xiàng)目建設(shè)單位應(yīng)在項(xiàng)目建設(shè)任務(wù)完成后試運(yùn)行期間,組織開展該項(xiàng)目的信息安全風(fēng)險(xiǎn)評(píng)估工作��,并形成相關(guān)文檔����,該文檔應(yīng)作為項(xiàng)目驗(yàn)收的重要內(nèi)容。
八��、項(xiàng)目建設(shè)單位向?qū)徟块T提出項(xiàng)目竣工驗(yàn)收申請(qǐng)時(shí)�,應(yīng)提交該項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)文檔。主要包括:《涉及國(guó)家秘密的信息系統(tǒng)使用許可證》和《涉及國(guó)家秘密的信息系統(tǒng)檢測(cè)評(píng)估報(bào)告》�����,非涉密信息系統(tǒng)安全保護(hù)等級(jí)備案證明�,以及相應(yīng)的安全等級(jí)測(cè)評(píng)報(bào)告和信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告等�����。
九�����、電子政務(wù)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估經(jīng)費(fèi)計(jì)入該項(xiàng)目總投資���。
十、電子政務(wù)項(xiàng)目投入運(yùn)行后����,項(xiàng)目建設(shè)單位應(yīng)定期開展信息安全風(fēng)險(xiǎn)評(píng)估���,檢驗(yàn)信息系統(tǒng)對(duì)安全環(huán)境變化的適應(yīng)性及安全措施的有效性���,保障信息系統(tǒng)的安全可靠。
十一�、中央和地方共建電子政務(wù)項(xiàng)目中的地方建設(shè)部分信息安全風(fēng)險(xiǎn)評(píng)估工作參照本通知執(zhí)行。
附件:《國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目非涉密信息系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告格式》
國(guó)家發(fā)展改革委
公安部
國(guó) 家 保 密 局
二○○八年八月六日
附件:
國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目非涉密信息系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告格式
項(xiàng) 目 名 稱:
項(xiàng)目建設(shè)單位:
風(fēng)險(xiǎn)評(píng)估單位:
年 月日
目 錄
一�、風(fēng)險(xiǎn)評(píng)估項(xiàng)目概述
1.1 工程項(xiàng)目概況
1.1.1 建設(shè)項(xiàng)目基本信息
1.1.2 建設(shè)單位基本信息
1.1.3 承建單位基本信息
1.2 風(fēng)險(xiǎn)評(píng)估實(shí)施單位基本情況
二、風(fēng)險(xiǎn)評(píng)估活動(dòng)概述
2.1 風(fēng)險(xiǎn)評(píng)估工作組織管理
2.2 風(fēng)險(xiǎn)評(píng)估工作過程
2.3 依據(jù)的技術(shù)標(biāo)準(zhǔn)及相關(guān)法規(guī)文件
2.4 保障與限制條件
三���、評(píng)估對(duì)象
3.1 評(píng)估對(duì)象構(gòu)成與定級(jí)
3.1.1 網(wǎng)絡(luò)結(jié)構(gòu)
3.1.2 業(yè)務(wù)應(yīng)用
3.1.3 子系統(tǒng)構(gòu)成及定級(jí)
3.2 評(píng)估對(duì)象等級(jí)保護(hù)措施
3.2.1 ××子系統(tǒng)的等級(jí)保護(hù)措施
3.2.2 子系統(tǒng)N的等級(jí)保護(hù)措施
四�、資產(chǎn)識(shí)別與分析
4.1 資產(chǎn)類型與賦值
4.1.1 資產(chǎn)類型
4.1.2 資產(chǎn)賦值
4.2 關(guān)鍵資產(chǎn)說(shuō)明
五、威脅識(shí)別與分析
5.1 威脅數(shù)據(jù)采集
5.2 威脅描述與分析
