怎么配合开展安全风险评估
信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,应贯穿于网络和信息系统建设运行的全过程。在网络与信息系统的设计、验收及运行维护阶段均应当进行信息安全风险评估。
在网络与信息系统规划设计阶段,应通过信息安全风险评估进一步明确安全需求和安全目标;在网络与信息系统验收阶段,应通过信息安全风险评估验证已设计安装的安全措施能否实现安全目标;在网络与信息系统运行维护阶段,应定期进行信息安全风险评估工作,检验安全措施的有效性及对安全环境变化的适应性,以保障安全目标的实现。当安全形势发生重大变化或网络与信息系统使命有重大变更时,应及时进行信息安全风险评估。
要将开展信息安全风险评估作为提高信息安全管理水平的重要方法和措施。要加强网络与信息系统规划设计阶段的信息安全风险评估,避免安全建设的盲目性。网络与信息系统的拥有、运营、使用单位要将开展信息安全风险评估工作制度化,定期组织实施网络与信息系统自评估,并积极配合有关部门的检查评估。有关部门要将开展信息安全风险评估作为基础信息网络和重要信息系统规划、建设和落实等级保护工作要求的重要内容,并对有关经费予以保障。
信息安全风险评估工作敏感性强,涉及网络与信息系统的关键资产和核心信息,网络与信息系统的拥有、运营、使用单位和主管部门要按照“谁主管谁负责,谁运营谁负责”的原则,切实负起严格管理的责任。参与信息安全风险评估工作的单位及其有关人员均应遵守国家有关信息安全和保密的法律法规,并承担相应的责任和义务。信息安全风险评估工作可能涉及个人隐私、工作或商业敏感信息,甚至国家秘密信息,风险评估工作的发起方必须与参与评估的有关单位或人员签订具有法律约束力的保密协议。
国家基础信息网络和关系国计民生的重要信息系统的信息安全风险评估工作,应按有关规定进行。