2.風險評估相關政策

關于開展信息安全風險評估工作的意見（國信辦[200615號） 信息安全風險評估（基于風險管理）

系統分析網絡與信息系統所面臨的威脅及其存在的脆弱性評估安全事件一旦發生可能造成的危害程度

提出有針對性的抵御威脅的防護對策和整改措施基本工作要求

應貫穿于網絡和信息系統建設運行的全過程（設計、驗收、運維）

信息安全風險評估分自評估、檢查評估兩種形式，應以自評估為主，自評估和檢查評估相互結合、互為補充

相關保障

參照標準：《信息安全風險評估規范》( GB/T20984-2007)、《信息安全風險管理指南》 ( GB/224364-2009)

服務資質（對于涉及國計民生的基礎網絡和重要信息系統的風險評估技術服務，要由國家專控的隊伍來承擔）

《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》（發改高技[2008]2071號）

依據和目的

《國家電子政務工程建設項目管理暫行辦法》一一國家發改委令[2007]第55號

目的是為了貫徹落實中辦發[2003]27號文，加強基礎信息網絡和重要信息系統安全保障，加強和規范國家電子政務工程建設項目信息安全風險評估工作

主要內容

◇分析信息系統資產的重要程度，評估信息系統面臨的安全威脅、存在的脆弱性、已有的安全措施和殘余風險的影響等

◇兩類信息系統的工作開展

涉密信息系統參照“分級保護”

非涉密信息系統參照“等級保護” 相關要點

◇要求將“信息安全風險評估”作為電子政務項目驗收的重要內容 ” ◇對信息安全風險評估機構的指定（1家+3家）

◇投入運行后，應定期開展信息安全風險評估