33．国家网络与信息安全协调小组 关于开展信息安全风险评估工作的意见 （国信办〔2006〕5 号） 随着国民经济和社会信息化进程的加快，网络与信息系统的基础性、全局性 作用日益增强，国民经济和社会发展对网络和信息系统的依赖性也越来越大。网 络与信息系统自身存在的缺陷、脆弱性以及面临的威胁，使信息系统的运行客观 上存在着潜在风险。《国家信息化领导小组关于加强信息安全保障工作的意见》 （中办发〔2003〕27 号）明确提出“要重视信息安全风险评估工作，对网络与 信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络 与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的 安全建设和管理”，将开展信息安全风险评估工作作为提高我国信息安全保障水 平的一项重要举措。 为推动我国信息安全风险评估工作，现提出以下意见。 一、信息安全风险评估工作的基本内容和原则 信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分 析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能 造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。并为防范和 化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障网络 和信息安全提供科学依据。 信息安全风险评估分为自评估、检查评估两种形式。自评估是指网络与信息 系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。检查评估 是指信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估。信 息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充。自评 估和检查评估可依托自身技术力量进行，也可委托第三方机构提供技术支持。 信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实效” 的原则开展。要重视和加强对信息安全风险评估工作的组织领导，完善相应的评 估制度，形成预防为主、持续改进的信息安全风险评估机制。开展信息安全风险 评估工作要遵循国家相关法规和信息安全管理工作的规章，参照相关标准规范及 1 评估流程，切实把握好关键环节和评估步骤，保证信息安全风险评估工作的科学 性、规范性和客观性。涉及国家秘密的信息系统的信息安全风险评估工作，必须 遵循党和国家有关保密规定的要求。 二、信息安全风险评估工作的基本要求 信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，应贯穿 于网络和信息系统建设运行的全过程。在网络与信息系统的设计、验收及运行维 护阶段均应当进行信息安全风险评估。 在网络与信息系统规划设计阶段，应通过信息安全风险评估进一步明确安全 需求和安全目标；在网络与信息系统验收阶段，应通过信息安全风险评估验证已 设计安装的安全措施能否实现安全目标；在网络与信息系统运行维护阶段，应定 期进行信息安全风险评估工作，检验安全措施的有效性及对安全环境变化的适应 性，以保障安全目标的实现。当安全形势发生重大变化或网络与信息系统使命有 重大变更时，应及时进行信息安全风险评估。 要将开展信息安全风险评估作为提高信息安全管理水平的重要方法和措施。 要加强网络与信息系统规划设计阶段的信息安全风险评估，避免安全建设的盲目 性。网络与信息系统的拥有、运营、使用单位要将开展信息安全风险评估工作制 度化，定期组织实施网络与信息系统自评估，并积极配合有关部门的检查评估。 有关部门要将开展信息安全风险评估作为基础信息网络和重要信息系统规划、建 设和落实等级保护工作要求的重要内容，并对有关经费予以保障。 信息安全风险评估工作敏感性强，涉及网络与信息系统的关键资产和核心信 息，网络与信息系统的拥有、运营、使用单位和主管部门要按照“谁主管谁负责， 谁运营谁负责”的原则，切实负起严格管理的责任。参与信息安全风险评估工作 的单位及其有关人员均应遵守国家有关信息安全和保密的法律法规，并承担相应 的责任和义务。信息安全风险评估工作可能涉及个人隐私、工作或商业敏感信息， 甚至国家秘密信息，风险评估工作的发起方必须与参与评估的有关单位或人员签 订具有法律约束力的保密协议。 国家基础信息网络和关系国计民生的重要信息系统的信息安全风险评估工 作，应按有关规定进行。 三、开展信息安全风险评估工作的有关安排 2 加强信息安全风险评估的基础性工作。要加快制定和完善信息安全风险评估 有关技术标准，尽快完善并颁布《信息安全风险评估指南》和《信息安全风险管 理指南》等国家标准。各行业主管部门也可根据本行业特点制定相应的技术规范。 重视信息安全风险评估核心技术、方法和工具的研究与攻关，积极开展信息安全 风险评估的培训与交流。抓紧研究制定有关信息安全服务资质的管理办法。加强 信息安全风险意识的宣传教育，加快培养信息安全风险评估的专门人才。 加强信息安全风险评估工作的组织领导。各信息化和信息安全主管部门要充 分认识风险评估工作对于提高信息安全管理水平的重要意义，高度重视对风险评 估工作的组织领导，切实加强对风险评估工作的管理，抓紧制定贯彻落实的办法， 积极稳妥地推进。要从抓试点开始，逐步探索组织实施和管理的经验，用三年左 右的时间在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作， 全面提高我国信息安全的科学管理水平，提升网络与信息系统安全保障能力，为 保障和促进我国信息化发展服务。 3