基层单位信息系统安全等级保护三级管理制度-安全风险管理规定

信息系统安全风险管理规定

第一章 总则

第一条 为了进一步规范我单位信息系统安全风险的管理工作，根据《信息安全等级保护管理办法》、《信息系统安全管理要求》（GBT 20269-2006）和其他有关法律法规的规定，结合本单位实际，特制定本规定。

第二条 本规定适用于我单位信息系统安全管理人员和技术人员进行安全风险的管理工作，包括风险识别和分析、风险控制、基于风险的决策、风险评估等管理工作。

第三条 信息系统安全风险是指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影响。

第四条 信息系统安全风险管理工作的目标是防止和降低发生风险的可能性、避免和减少发生风险所造成的损失和影响；安全风险管理的责任部门为我单位信息系统安全管理中心。

第二章 风险识别和分析

第五条 关键岗位人员的内容包括四个方面：资产识别和分析、威胁识别和分析、脆弱性识别和分析、风险分析和自我评估。

第六条 对资产识别和分析的内容是确定信息系统的资产范围，进行统计和编制资产清单，并进行资产分类和重要性标识；根据对信息系统的硬件、软件、系统接口、数据和信息、人员等方面的分析和识别，对信息系统的体系特征进行描述，至少应阐明信息系统的使命、边界、功能，以及系统和数据的关键性、敏感性等内容。

第七条 对威胁的识别和分析包括对威胁的基本分析、建立威胁列表、对威胁的详细分析。

第 对脆弱性识别和分析包括脆弱性工具扫描、脆弱性分析和渗透测试、制度化脆弱性评估。

第九条 风险分析和自我评估包括经验的风险评估、全面的风险评估、建立和维护风险信息库。

第三章 风险控制

第十条 风险控制的内容包括三个方面：基于安全等级标准选择控制措施、基于风险评估选择控制措施、基于风险评估形成防护控制系统。

基于安全等级标准选择控制措施的内容是以安全等级第三级的标准对技术和管理要求，选择相应的安全技术、管理措施，决定信息系统安全的控制措施；

基于风险评估选择控制措施的内容是根据风险评估的结果，结合组织机构对于信息系统安全的需求，决定信息系统安全的控制措施；

基于风险评估形成防护控制系统的内容是根据风险评估的结果，结合我单位对于信息系统安全的需求，决定信息系统安全的控制措施；对相关的各种控制措施进行综合分析，得出紧迫性、优先级、投资比重等评价，形成体系化的防护控制系统。

第四章 风险决策

第十一条 风险决策的内容包括二个方面：安全确认、信息系统运行的决策。

第十二条 安全确认包括残余风险接受、残余风险监视、安全风险再评估。

第十三条 信息系统运行的决策包括信息系统运行决定、信息系统受控运行。

第五章 风险评估

第十四条 风险评估的管理内容包括四个方面：评估机构的选择、对评估机构的保密要求、评估信息的管理、技术测试过程管理。每年应组织一次针对关键系统资源进行的风险分析和评估。

第十五条 评估机构的选择针对不同的情况有二种方法：在年度例行的评估时在上级认可的范围内选择、在组织专门的评估活动中按照规定选择。

第十六条 对评估机构的保密要求包括签署保密协议、专人监督检查、制定具体办法。

第十七条 评估信息的管理包括规定交接手续、替换敏感参数、不得带出指定区域。

第十 技术测试过程管理是对新投入运行的信息系统或经过风险评估对安全机制有较大变动的信息系统所进行技术测试的管理。

第六章 附则

第十九条 本规定由单位信息安全领导小组负责解释。

第二十条 违反本规定，发生信息安全事件的，按照事件造成的损失和后果，依据国家有关法律法规进行处罚。

第二十一条 本规定自发布之日起施行。