关于加强国家电子政务工程建设项目信息安全风险评估工作的通知
中央和国家机关各部委,国务院各直属机构、办事机构、事业单位,各省、自治区、直辖市及计划单列市、新疆生产建设兵团发展改革委、公安厅、保密局:
为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),加强基础信息网络和重要信息系统安全保障,按照《国家电子政务工程建设项目管理暂行办法》(国家发展和改革委员会令〔2007〕第55号)的有关规定,加强和规范国家电子政务工程建设项目信息安全风险评估工作,现就有关事项通知如下:
一、国家的电子政务网络、重点业务信息系统、基础信息库以及相关支撑体系等国家电子政务工程建设项目(以下简称电子政务项目),应开展信息安全风险评估工作。
二、电子政务项目信息安全风险评估的主要内容包括:分析信息系统资产的重要程度,评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等。
三、电子政务项目信息安全风险评估工作按照涉及国家秘密的信息系统(以下简称涉密信息系统)和非涉密信息系统两部分组织开展。
四、涉密信息系统的信息安全风险评估应按照《涉及国家秘密的信息系统分级保护管理办法》、《涉及国家秘密的信息系统审批管理规定》、《涉及国家秘密的信息系统分级保护测评指南》等国家有关保密规定和标准,进行系统测评并履行审批手续。
五、非涉密信息系统的信息安全风险评估应按照《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》和《信息安全风险评估规范》等有关要求,可委托同一专业测评机构完成等级测评和风险评估工作,并形成等级测评报告和风险评估报告。等级测评报告参照公安部门制订的格式编制,风险评估报告参考《国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式》(见附件)编制。
六、电子政务项目涉密信息系统的信息安全风险评估,由国家保密局涉密信息系统安全保密测评中心承担。非涉密信息系统的信息安全风险评估,由国家信息技术安全研究中心、中国信息安全测评中心、公安部信息安全等级保护评估中心等三家专业测评机构承担。
七、项目建设单位应在项目建设任务完成后试运行期间,组织开展该项目的信息安全风险评估工作,并形成相关文档,该文档应作为项目验收的重要内容。
八、项目建设单位向审批部门提出项目竣工验收申请时,应提交该项目信息安全风险评估相关文档。主要包括:《涉及国家秘密的信息系统使用许可证》和《涉及国家秘密的信息系统检测评估报告》,非涉密信息系统安全保护等级备案证明,以及相应的安全等级测评报告和信息安全风险评估报告等。
九、电子政务项目信息安全风险评估经费计入该项目总投资。
十、电子政务项目投入运行后,项目建设单位应定期开展信息安全风险评估,检验信息系统对安全环境变化的适应性及安全措施的有效性,保障信息系统的安全可靠。
十一、中央和地方共建电子政务项目中的地方建设部分信息安全风险评估工作参照本通知执行。
附件:《国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式》
国家发展改革委
公安部
国家保密局
二〇〇八年八月六日