加入收藏 | 联系我们
首页 > 规章制度 > 正文

网络安全风险评估管理办法

作者: 时间:2021-04-29 点击数:

第一章总则

第一条 为规范网络安全风险评估(以下简称“风险评估”)及其管理活动,保障网络信息系统安全,依据国家有关规定,结合学院实际,制定本办法。

第二条 学院行政区域内网络信息系统风险评估及其管理活动,适用本办法。

第三条 本办法所称网络信息系统,是指由计算机、网络网络及其配套的设施、设备构成的,按照一定的应用目标和规则对网络进行存储、传输、处理的运行体系。

本办法所称重要网络信息系统,是指履行学院教学、学生、财务、人事和办公服务职能的网络信息系统。

本办法所称风险评估,是指依据有关网络安全技术与管理标准,对网络信息系统和数据及由其存储、传输、处理的网络的保密性、完整性和可用性等安全属性进行评价的活动。

第四条 学院网信办负责学院内部风险评估的组织、指导和监督、检查。

涉密网络信息系统的风险评估,由国家保密部门按照有关法律、法规规定实施。

第五条 风险评估分为自评估和检查评估两种形式。 

自评估由网络信息系统的建设、运营或者使用单位自主开展。

检查评估由学院网信办负责学院内部依法开展,也可以由网络信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行,双方实行互备案制度。

第二章 组织与实施

第六条 学院网信办应当定期发布学院内部重要网络信息系统目录,制定检查评估年度实施计划,并对重要网络信息系统管理技术人员开展相关培训。

第七条 网络信息系统的建设、运营或者使用单位可以依托本单位技术力量进行自评估,也可通过招标的方式,聘请第三方专门机构负责网络安全测评工作。

第八条 重要网络信息系统新建、扩建或者改建的,在设计、验收、运行维护阶段,均应当进行自评估。

重要网络信息系统废弃、发生重大变更或者安全状况发生重大变化的,应当及时进行自评估。

第九条 学院内部网络信息系统应当定期开展风险评估,其中重要网络信息系统应当至少每三年进行一次自评估或检查评估。在规定期限内已进行检查评估的重要网络信息系统,可以不再进行自评估。

 第十条 学院网信办委托符合条件的风险评估服务机构,对本行政区域内重要网络信息系统实施检查评估。

 第十一条 网络信息系统的建设、运营或使用单位委托风险评估服务机构开展自评估,应当签订风险评估协议;网信办委托开展检查评估,受委托的风险评估服务机构应当与被评估单位签订风险评估协议。

对于评估活动可能影响网络信息系统正常运行的,风险评估服务机构应当事先告知被学院网信办,并协助其采取相应的预防措施。

 第十二条 风险评估应当出具评估报告。评估报告应当包括评估范围、内容、依据、结论和整改建议等。

 风险评估服务机构出具的自评估报告,应当经学院网信办认可,并经双方部门负责人签署后生效。

 风险评估服务机构出具的检查评估报告,应当报学院网信办审定;网信办应当自收到评估报告之日起10个工作日内,将审定结果和整改意见告知被评估单位。

 第十三条 自评估单位应当根据自评估报告进行整改,并自报告生效之日起30日内,将自评估情况和整改方案报网信办备案。

 受委托进行风险评估的服务机构应当指导被评估单位开展整改,并对整改措施的有效性进行验证。

第十四条 网信办应当定期公布已开展自评估、检查评估单位备案名单,督促未备案信息系统开展自评估。 

第十五条 未发生重大变更的重要网络信息系统再次进行风险评估的,可以参考前次评估结果,重点评估以下内容:

(一)前次风险评估发现的主要问题及整改情况; 

(二)核心网络设备、服务器、安全防护设施、应用软件等

系统关键部位发生局部变更后,可能出现的安全隐患; 

(三)新的网络技术可能对网络信息系统安全造成的影响; 

(四)其他需要重点评估的内容。

第三章风险评估机构

第十六条 在学院内部从事自评估服务的社会机构,应当具备下列条件,并报经其所在地省辖市信息化主管部门备案: 

(一)依法在中国境内注册成立并在学院设有机构,由中国公民、法人投资或者由其它组织投资;

(二)从事网络安全检测、评估相关业务两年以上,无违法记录; 

(三)专业评估人员不少于10人且均为中国公民,接受并通过相关培训考核,无违法记录;其中主要评估人员2人以上,具有由国家权威机构认定的或由其它机构认定的相当水平的网络安全服务资格,具备独立实施风险评估的技术能力;

(四)评估使用的技术装备、设施符合国家网络安全产品要求;

(五)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度;

(六)法律法规规定的其它条件。 

第十七条 在学院从事检查评估的社会机构,除具备第十七条 规定条件外,还应当同时具备下列条件,并经其所在地省辖市信息化主管部门审核后,报省信息化主管部门备案: 

(一)具有国家权威机构认定的网络安全服务资质;

(二)评估人员不少于20人,其中主要评估人员4人以上,具有国家权威机构认定的或由其它机构认定的相当水平的网络安全服务资格。 

第十八条 省辖市以上网络化主管部门应当自收到备案申请报告之日起10个工作日内,告知备案结果,并定期向社会公布本行政区域内风险评估服务机构备案名单,对其服务进行管理、监督。

第十九条 从事风险评估服务的机构,应当履行下列义务:

(一)遵守国家有关法律法规和技术标准,提供科学、安全、客观、公正的评估服务,保证评估的质量和效果;

(二)保守在评估活动中知悉的国家秘密、商业秘密和个人隐私,防范安全风险,不得私自占有、使用或向第三方泄露相关技术数据、业务资料等网络和资源; 

(三)对服务人员进行安全保密教育,签订服务人员安全保密责任书,并负责检查落实。 

 第四章附则

  第二十条 本办法自发布之日起施行,由学院网信办负责解释。

Copyright 2011-2018 江西工业工程职业技术学院--信息中心 版权所有   备案:赣ICP备11002444号

地址:江西省萍乡市开发区玉湖东路106号   联系电话:0799-7062207