信息安全风险评估管理办法
第一章总则
第一条为规范信息安全风险评估(以下简称“风险评估”)及其管理活动,保障信息系统安全,依据国家有关规定,结合本省实际,制定本办法。
第二条本省行政区域内信息系统风险评估及其管理活动,适用本办法。
第三条本办法所称信息系统,是指由计算机、信息网络及其配套的设施、设备构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。
本办法所称重要信息系统,是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。
本办法所称风险评估,是指依据有关信息安全技术与管理标准,对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。第四条县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。
跨省或者全国统一联网运行的重要信息系统的风险评估,可以由其行业管理部门统一组织实施。
涉密信息系统的风险评估,由国家保密部门按照有关法律、法规规定实施。第五条风险评估分为自评估和检查评估两种形式。自评估由信息系统的建设、运营或者使用单位自主开展。检查评估由县以上信息化主管部门在本行政区域内依法开展,也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行,双方实行互备案制度。第二章组织与实施
第六条信息化主管部门应当定期发布本行政区域内重要信息系统目录,制定检查评估年度实施计划,并对重要信息系统管理技术人员开展相关培训。
第七条江苏省信息安全测评中心为本省从事信息安全测评的专门机构,受省信息化主管部门委托,具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训,组织开展全省重要信息系统的外部安全测试。第八条信息系统的建设、运营或者使用单位可以依托本单位技术力量,或者委托符合条件的风险评估服务机构进行自评估。
第九条重要信息系统新建、扩建或者改建的,在设计、验收、运行维护阶段,均应当进行自评估。重要信息系统废弃、发生重大变更或者安全状况发生重大变化的,应当及时进行自评估。
第十条本省行政区域内信息系统应当定期开展风险评估,其中重要信息系统应当至少每三年进行一次自评估或检查评估。在规定期限内已进行检查评估的重要信息系统,可以不再进行自评估。
第十一条县以上信息化主管部门委托符合条件的风险评估服务机构,对本行政区域内重要信息系统实施检查评估。第十二条信息系统的建设、运营或使用单位委托风险评估服务机构开展自评估,应当签订风险评估协议;信息化主管部门委托开展检查评估,受委托的风险评估服务机构应当与被评估单位签订风险评估协议。
对于评估活动可能影响信息系统正常运行的,风险评估服务机构应当事先告知被评估单位,并协助其采取相应的预防措施。
第十三条风险评估应当出具评估报告。评估报告应当包括评估范围、内容、依据、结论和整改建议等。
风险评估服务机构出具的自评估报告,应当经被评估单位认可,并经双方部门负责人签署后生效。
风险评估服务机构出具的检查评估报告,应当报委托其开展评估的主管部门审定;主管部门应当自收到评估报告之日起10个工作日内,将审定结果和整改意见告知被评估单位。第十四条自评估单位应当根据自评估报告进行整改,并自报告生效之日起30日内,将自评估情况和整改方案报本级信息化主管部门备案。
接受检查评估的单位应当自收到检查评估报告之日起30日内,根据整改建议提出整改方案、明确整改时限,报本级信息化主管部门备案。
受委托进行风险评估的服务机构应当指导被评估单位开展整改,并对整改措施的有效性进行验证。第十五条信息化主管部门应当定期公布已开展自评估、检查评估单位备案名单,督促未备案单位开展自评估。
第十六条未发生重大变更的重要信息系统再次进行风险评估的,可以参考前次评估结果,重点评估以下内容:
(一)前次风险评估发现的主要问题及整改情况;
(二)核心网络设备、服务器、安全防护设施、应用软件等系统关键部位发生局部变更后,可能出现的安全隐患;
(三)新的信息技术可能对信息系统安全造成的影响;
(四)其他需要重点评估的内容。第三章风险评估机构
第十七条在本省行政区域内从事自评估服务的社会机构,应当具备下列条件,并报经其所在地省辖市信息化主管部门备案:
(一)依法在中国境内注册成立并在本省设有机构,由中国公民、法人投资或者由其它组织投资;
(二)从事信息安全检测、评估相关业务两年以上,无违法记录;
(三)专业评估人员不少于10人且均为中国公民,接受并通过相关培训考核,无违法记录;其中主要评估人员2人以上,具有由国家权威机构认定的或由其它机构认定的相当水平的信息安全服务资格,具备独立实施风险评估的技术能力;
(四)评估使用的技术装备、设施符合国家信息安全产品要求;
(五)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度;
(六)法律法规规定的其它条件。
第十八条在本省从事检查评估的社会机构,除具备第十七条规定条件外,还应当同时具备下列条件,并经其所在地省辖市信息化主管部门审核后,报省信息化主管部门备案:
(一)具有国家权威机构认定的信息安全服务资质;
(二)评估人员不少于20人,其中主要评估人员4人以上,具有国家权威机构认定的或由其它机构认定的相当水平的信息安全服务资格。
第十九条省辖市以上信息化主管部门应当自收到备案申请报告之日起10个工作日内,告知备案结果,并定期向社会公布本行政区域内风险评估服务机构备案名单,对其服务进行管理、监督。
第二十条从事风险评估服务的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供科学、安全、客观、公正的评估服务,保证评估的质量和效果;
(二)保守在评估活动中知悉的国家秘密、商业秘密和个人隐私,防范安全风险,不得私自占有、使用或向第三方泄露相关技术数据、业务资料等信息和资源;
(三)对服务人员进行安全保密教育,签订服务人员安全保密责任书,并负责检查落实。第四章监督管理
第二十一条违反本办法,有以下行为之一的,由信息化主管部门责令其限期改正,逾期不改正的,予以通报;对直接责任人员,由所在单位或上级主管部门视情给予行政处分:
(一)违反第九条、第十条规定,信息系统的建设、运营或者使用单位未按照规定开展自评估;重要信息系统的建设、运营或者使用单位不接受、不配合开展检查评估的;
(二)违反第十四条规定,自评估单位未按照规定将自评估情况和整改方案、接受检查评估单位未按照规定将整改方案报本级信息化主管部门备案的;
(三)违反第八条规定,信息系统的建设、运营或者使用单位委托不符合条件的机构进行风险评估,并造成不良后果的。第二十二条违反本办法第十二条规定,风险评估服务机构未事先告知被评估单位、协助其采取预防措施的,由信息化主管部门责令限期改正,并给予警告;造成不良后果的,可视情暂停其备案1年,直至取消其备案。
第二十三条违反本办法第二十条规定,风险评估服务机构未经许可向第三方提供被评估单位相关信息的,或者从事影响评估客观、公正的活动的,由信息化主管部门视情暂停其备案一年,直至取消其备案。造成被评估单位经济损失的,应予合理赔偿;从中不当获利的,应予退还;构成犯罪的,应依法追究其刑事责任。
第二十四条信息化主管部门或其他有关部门工作人员有下列行为之一的,由其监察部门或上级主管部门视情对相关责任人员给予行政处分;构成犯罪的,依法追究刑事责任:
(一)利用职权索取、收受贿赂,或者玩忽职守、滥用职权的;
(二)泄露信息系统的运营、使用单位或者个人的有关信息、资料及数据文件的。第五章附则
第二十五条本办法自发布之日起施行,由省信息化主管部门负责解释。
第二篇:国家电网公司信息安全风险评估管理暂行办法国家电网公司信息安全风险评估
管理暂行办法
第一章总则
第一条为加强和规范国家电网公司(以下简称公司)信息安全风险评估工作,加强公司信息安全的全过程动态管理,进一步提高公司信息安全水平,根据国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》,特制定本办法。
第二条公司信息安全风险评估是对公司一体化企业级信息系统的潜在威胁、薄弱环节、防护措施等进行分析评估,以识别信息安全风险,发现信息网络、信息系统的脆弱性和薄弱环节,提出有针对性的信息安全整改工作建议,提高信息系统整体防护水平。
第三条公司一体化企业级信息系统包括一体化企业级信息集成平台和八大业务应用。一体化企业级信息集成平台(简称“一体化平台”)包含信息网络、数据交换、数据中心、应用集成和企业门户;八大业务应用包括财务(资金)管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理业务应用。
第四条本办法适用于公司总部,各区域电网、省(自治区、直辖市)电力公司和公司直属单位(以下简称各单位)
-1–信息安全风险评估工作。
第二章职责分工
第五条信息工作办公室(以下简称信息办)是公司信息安全风险评估工作的归口管理部门,主要职责:
(一)负责贯彻落实国家有关部门要求,制定公司信息安全风险评估工作规范等文件;
(二)负责统筹制定公司一体化企业级信息系统安全风险评估工作计划;
(三)负责对各单位实施信息安全风险评估工作落实情况进行监督、检查;
(四)负责组织以中国电力科学研究院和国网南京自动化研究院为主,公司有关人员参加的信息安全风险评估工作队伍/技术支撑单位,统筹开展公司各单位信息安全风险评估工作。
第六条各单位负责本单位范围内信息网络和信息系统安全风险评估的具体实施工作,主要职责:
(一)细化本单位信息安全风险评估实施计划,落实工作组织机构;
(二)具体委托公司信息安全风险评估工作队伍/技术支撑单位,开展本单位范围内信息安全风险评估实施工作;
(三)根据评估结果提出信息安全加固与整改工作计划
-2–报信息办批准后组织实施。
第七条中国电力科学研究院和国网南京自动化研究院为公司信息安全风险评估工作队伍/技术支撑单位,主要职责:
(一)协助信息办制定和完善公司信息安全风险评估工作规范等文件编制工作;
(二)根据信息办要求,接受各单位委托,开展信息安全风险评估工作,承担具体信息安全风险评估任务;
(三)会同各单位完成信息安全风险评估报告。
第三章内容和过程
第八条信息安全风险评估包括资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容。
第九条各单位的信息安全风险评估实施总体分为启动准备、风险要素评估、风险计算分析建议、安全整改等四个阶段。
第四章组织实施
第十条公司信息安全风险评估分为自评估和检查评估。信息安全风险自评估工作周期为两至三年;等级保护级
-3–别高的信息系统,按照国家有关部门要求开展信息安全风险自评估工作。检查评估工作根据国家有关部门要求,结合公司信息安全实际情况,不定期组织开展。
第十一条
各单位根据信息安全风险评估周期要求,结合本单位实际情况,于每年10月前提出下一年度信息安全风险自评估工作计划并报信息办。信息办结合公司各单位信息安全情况,统筹考虑并确定公司下一年度信息安全风险评估工作计划。
第十二条
对于纳入下一年度信息安全风险评估计划的单位要按照具体的时间要求,提前落实工作负责人,落实经费,联系风险评估技术支撑单位,细化工作计划,做好各项准备工作。
第十三条
各单位的信息安全风险评估工作要依据公司信息安全风险评估工作规范等文件,严格按照信息安全风险评估工作步骤、环节、内容,坚持信息安全风险评估标准,保证信息安全风险评估工作的科学性、规范性、客观性和实效性。
第十四条
各单位在开展信息安全风险评估工作时,对在线运行信息系统实施有关测试,要事前建立应急预案,落实应急措施,确保信息系统安全、可靠运行。对于因进行信息安全风险评估工作导致信息系统运行异常和故障的情况,要认真分析原因,提出改进措施,避免类似事件再次发生。
第十五条各单位要高度重视信息安全风险评估专业
-4–人员培养工作,加强自身专业人员技术培训,认真做好技术支撑单位服务工作的配合、督促和评价工作。
第十六条
各单位计划内信息安全风险评估工作要于当年完成,并形成信息安全风险评估安全自评估报告、工作报告、技术报告、风险分析报告,整改建议报告,并报信息办。
第十七条
各单位要本着实事求是的原则开展安全整改,对于信息安全风险评估发现的安全风险如果不需要增加新的安全技术手段和安全项目解决的问题,如通过修改配臵和加载补丁的安全加固等,应立即着手组织实施;对于需要通过安全项目解决的问题,各单位要选择重点,在整改建议报告中提出项目规模、内容、实施时间和有关建议。
第十八条
各单位要加强评估过程的保密管理。评估单位和评估实施单位对评估的信息负有保密责任,不得对外泄露。
第十九条
中国电力科学研究院、国网南京自动化研究院要按照信息安全风险评估工作常态化、延续性和保密性要求,建立持续、稳定的信息安全风险评估工作技术支撑队伍,加强技术支撑能力与服务能力建设,完善评估工具,切实承担起信息安全风险评估服务与指导工作任务。
第二十条
在业务流程、系统状况发生重大变化需进行计划外信息安全风险评估时,各单位要及时报公司信息办,信息办将根据实际情况组织实施。
-5–第二十一条各单位要按照公司统一制定的信息安全风险评估费用测算办法,根据实际情况认真核算工作量与评估费用,与公司信息安全风险评估技术支撑单位签订信息安全风险评估技术服务委托合同或协议。
第五章附则
第二十二条本规定由国家电网公司信息工作办公室负责解释并监督执行。
第二十三条本规定自印发之日起执行。
-6–
第三篇:安全风险信息报送管理办法乌鲁木齐轨道交通工程
安全风险信息报送管理办法
新疆乌京基础设施建设管理有限公司
第一章
总
则
第一条
为加强乌鲁木齐市轨道交通工程施工阶段安全风险监控信息报送管理,进一步明确各参建单位的监控信息报送内容、对象、方式和程序,特制定本办法。
第二条
本办法主要针对施工过程中风险监控信息报送,其它信息的报送按照相关管理办法要求执行。
第三条
新疆乌京基础设施建设管理有限公司(以下简称乌京建管公司)风险监测部为安全风险监控信息管理部门。
第四条
本办法由乌京建管公司风险监测部负责组织编写、修订并解释。
第二章
一般规定
第五条
监控信息包括一般监控信息、预警信息及消警信息。其中,一般监控信息包括监测信息、巡视信息及监控成果报告;预警信息包括监测预警、巡视预警和综合预警信息;监控成果报告包括监控日小结、周报、月报、阶段报告、年报,总结报告、建设单位要求的风险工程专项监测报告等。
第六条
监控信息报送形式主要是通过“乌市轨道交通工程施工安全风险监控管理系统”(以下简称安全风险监控系统)报送、电话通知和书面报送。
第七条
各级监控实施或管理主体除向上级监控或管理主体上报监控信息外,还应对其信息进行分析,并及时反馈下级监控或管理主体,以有效指导施工。
2第八条
参建单位中任何一方发布巡视预警后,其他单位不再发布同一部位、同一类别、同一等级的巡视预警。
第九条
当预判风险工程可能达到红色综合预警状态或发生重大风险事件时,应首先组织先期处置,并以电话等快捷和可追溯的形式及时向相关单位进行快报。
第十条
对预警状态的风险事务处理结束后,预警发布单位应及时进行消警处理。
第十一条
预警及消警事务的处置要求,具体参见《安全风险预警、处置及消警管理办法》。
第三章
管理结构与职责
第十二条
管理结构
(一)安全风险监控信息报送实行三级管理。
1、乌京建管公司领导层:乌京建管公司总经理、安全总监;
2、乌京建管公司:乌京建管公司风险监测部(依托第三方监测总体咨询单位或安全风险咨询单位);
3、项目实施单位。施工单位、监理单位、第三方监测单位组成。
(二)项目实施各单位均应建立自身的监控信息报送管理体系,安排专人进行监控信息管理。
第十三条
参建单位职责
(一)乌京建管公司领导层
1、指导、监督和检查施工单位、监理单位、第三方监测单位的施工风险监控信息报送工作。
2、向风险监测部、第三方监测、监理、施工单位反馈监督指导意见。
3、参与单项红色预警、综合橙色、综合红色预警审批及消警审批。
(二)风险监测部是乌市轨道交通工程风险监控信息报送的管理主体
1、指导、监督和检查施工单位、监理单位、第三方监测单位的施工风险监控信息报送工作。
2、依托安全风险咨询单位和第三方监测单位开展乌市轨道交通工程安全风险状况咨询评价工作,并向监理、施工单位反馈监督指导意见。
3、依托安全风险咨询单位或第三方监测单位发布综合橙色、红色预警。
4、负责施工监测阶段单项黄色、橙色、综合黄色预警的消警报告审批。
(三)第三方监测单位
负责实施乌市轨道交通工程施工监控信息的汇总、分析、评价、报送与咨询服务和“安全风险监控系统”等维护工作,其主要职责为:
1、第三方监测总体咨询服务
(1)统一全线第三方监测工点、监理及施工单位信息报送内容及格式,编制第三方监测总体日小结、周报、月报、年报等全线信息,协助风险监测部汇总编制风险监测部的日小结、周报、月报、年报等
4全线信息,并负责上报公司主管领导层;
(2)负责指导并督促第三方监测工点、施工、监理单位上报日小结、周报、月报、年报等全线信息;负责督促第三方监测工点单位及时编制阶段监测报告、工点监测总结报告等,并负责上报风险监测部。
(3)汇总全线的监控信息(主要指日常的汇报资料、日小结、周报、月报等)上报安全风险咨询单位或风险监测部。
(4)督促第三方监测、施工、监理单位上传安全风险监控系统所需工程资料,并负责审批;
(5)按照风险监测部的要求、第三方监测工点单位会商成果等,建立第三方监测总体单位的各类风险管理台账,并负责监督第三方监测工点单位的台账建立。
(6)施工阶段针对第三方监测工点单位上报的监控信息或反馈的信息,及时向安全风险咨询单位及乌京建管公司风险监测部提出风险评估和处置措施建议。
(7)针对工点单位的预警,第三方监测总体单位要及时跟踪响应,提出风险评估和处理意见。
(8)对全线监测红色预警、巡视预警、综合预警进行跟踪响应,提出咨询意见,直至风险消警。
(9)统一制定全线施工单位监测总结报告及第三方监测阶段报告、总结报告内容及格式,督促各第三方监测工点单位及时编制以上报告并负责审核,上报风险监测部。
5(10)负责乌京建管公司要求的其他信息上报工作。
2、第三方监测工点
(1)收集本标段勘察、设计、施工、第三方监测等单位“安全风险监控系统”所需基础资料,并负责上传相关基础资料(含gis图)、监测数据及巡视信息等。
(2)编写第三方监测工点单位的日小结、周报、月报、年报等,并负责向风险监测部、第三方监测总体上报,同时抄送所辖标段的施工、监理单位。
(3)负责配合安全风险咨询单位或风险监测部对所辖标段施工、监理单位“安全风险监控系统”权限的开通。
(4)依据第三方监测工点单位现场巡视和监测情况提出第三方监测工点单位标段的综合预警建议。
(5)参与消警(监测、巡视)报告审批,通过“安全风险监控系统”上传阶段监测消警及综合预警消警资料进行消警。
(6)协助乌京建管公司不定期对施工、监理单位的风险监控信息报送情况、“安全风险监控系统”使用情况进行指导及检查。
(7)第三方监测工点单位应及时编制阶段监测报告、工点监测总结报告等,并报第三方监测总体审批,报风险监测部备案。
(8)按照风险监测部、安全风险咨询单位、第三方监测总体单位的要求,负责第三方监测工点单位风险台账的建立。
(四)监理单位
实施现场巡视信息报送等工作,其主要职责为:
1、通过“安全风险监控系统”报送日小结、周报、月报、年报、巡视信息等报告。
2、依据现场巡视情况发布巡视预警,结合监测情况报送综合预警建议。
3、负责对监理标段的施工监测和第三方监测数据及巡视信息对比、分析,及时形成对比报告,发现异常及时向施工、第三方监测单位反馈,并督促相关单位采取相应措施。
4、参与施工监测预警、巡视预警、综合预警的消警报告审批。
(五)施工单位
实施现场监测、巡视信息报送等工作,其主要职责为:
1、通过“安全风险监控系统”报送日小结、周报、月报、年报等监控成果报告。
2、依据现场巡视情况发布巡视预警,结合监测情况提出综合预警建议。
3、根据预警处置情况,达到消警条件后,提出消警申请。
第四章
一般监控信息报送
第十四条
信息报送流程
一般监控信息应通过“安全风险监控系统”或书面形式逐层上报,总体报送流程如图4-1所示。
城轨集团总经理城轨集团、五中心领导层五中心总经理安全综合评价、监督指导意见等城轨集团安全副总经理监控管理日报、周报、月报、年报安全综合评价、监督指导意见等安全综合评价、监督指导意见等五中心书记、安全副总经理监控管理日报、周报、月报、年报监控管理部门安全评价信息、监督指导意见等城轨集团安质部、五中心安全质量部(第三方监测总体单位)安全评价信息、监督指导意见等监测信息、巡视信息、日报、周报、月报、年报巡视信息、日报、周报、月报、年报安全评价信息、监督指导意见等汇总后的监测信息、巡视信息、监测日报、周报、月报、年报项目实施单位施工单位(施工监控)0
1、02标所辖标段日报、周报、月报监测信息、巡视信息、日报、周报、月报、年报监理单位安全评价信息、监督指导意见等0
1、02标所辖标段日报、周报、月报第三方监测01标(工点)监测信息、巡视信息、监控管第三方监测02标(工点)安全评价信息、监督指导意见等理日报、周报、月报、年报第三方监测01标(总体)第三方监测01标(工第三方监测点)02标(工点)监控管理日报、周报、月报、年报安全评价信息、监督指导意见等
图4-1施工安全风险一般监控信息报送流程图第十五条
施工单位信息报送
(一)信息报送主要内容
(1)监测数据。施工影响范围内周边环境及围(支)护结构监测数据。
此处内容需要权限查看
会员免费查看3.制定风险管控标准及措施(每季度后两个月)。针对危险源辨识和评估结果,制定管理标准和管理措施,解决每个危险源“如何管”和“如何管得有效”的问题。按照《规范》的要求制定相应的不同类别、不同级别危险源管控标准和措施,确定相关责任人、监管部门以及监管人员,明确安全管控依据,落实安全管控责任。
皮带硫化队
2015年1月5日