2.風(fēng)險(xiǎn)評(píng)估相關(guān)政策

關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見（國(guó)信辦[200615號(hào)） 信息安全風(fēng)險(xiǎn)評(píng)估（基于風(fēng)險(xiǎn)管理）

系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性評(píng)估安全事件一旦發(fā)生可能造成的危害程度

提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施基本工作要求

應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程（設(shè)計(jì)、驗(yàn)收、運(yùn)維）

信息安全風(fēng)險(xiǎn)評(píng)估分自評(píng)估、檢查評(píng)估兩種形式，應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充

相關(guān)保障

參照標(biāo)準(zhǔn)：《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》( GB/T20984-2007)、《信息安全風(fēng)險(xiǎn)管理指南》 ( GB/224364-2009)

服務(wù)資質(zhì)（對(duì)于涉及國(guó)計(jì)民生的基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估技術(shù)服務(wù)，要由國(guó)家專控的隊(duì)伍來承擔(dān)）

《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》（發(fā)改高技[2008]2071號(hào)）

依據(jù)和目的

《國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法》一一國(guó)家發(fā)改委令[2007]第55號(hào)

目的是為了貫徹落實(shí)中辦發(fā)[2003]27號(hào)文，加強(qiáng)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全保障，加強(qiáng)和規(guī)范國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作

主要內(nèi)容

◇分析信息系統(tǒng)資產(chǎn)的重要程度，評(píng)估信息系統(tǒng)面臨的安全威脅、存在的脆弱性、已有的安全措施和殘余風(fēng)險(xiǎn)的影響等

◇兩類信息系統(tǒng)的工作開展

涉密信息系統(tǒng)參照“分級(jí)保護(hù)”

非涉密信息系統(tǒng)參照“等級(jí)保護(hù)” 相關(guān)要點(diǎn)

◇要求將“信息安全風(fēng)險(xiǎn)評(píng)估”作為電子政務(wù)項(xiàng)目驗(yàn)收的重要內(nèi)容 ” ◇對(duì)信息安全風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)的指定（1家+3家）

◇投入運(yùn)行后，應(yīng)定期開展信息安全風(fēng)險(xiǎn)評(píng)估