保密单位应当定期对涉密信息系统、涉密信息设备和涉密存储设备进行风险自评估,查找脆弱性和威胁,确定风险和隐患,及时采取整改措施,并报信息化管理部门和分管业务负责人。
1. 风险自评估是指单位信息化管理部门在保密工作机构的指导下,根据设计报告和日常检查情况,组织运行维护机构利用管理和技术手段,对涉密信息系统、涉密信息设备和涉密存储设备进行的综合安全分析和评估。
2. 风险自评估,绝密级信息系统和信息设备每半年一次,机密级或秘密级信息系统和信息设备每年一次。由国家保密行政管理部门设立或者授权的保密测评机构组织或委托组织的测评或者风险评估,其出具的结论可视为自评估结论。
3. 风险自评估时,应当成立评估工作组,确定评估工作的人员和职责,明确评估的范围、对象、方法、人员分工、应用工具(包括评估过程中需要的各种软硬件工具和记录表格)、时间等内容,形成评估方案和具体的实施计划。评估过程中,应当对所使用的软硬件工具进行限制和控制,防止扩大国家秘密的知悉范围。
4.风险自评估如果委托保密行政管理部门设立或者授权的保密测评机构进行,评估前应当对涉密信息采取必要的保护措施,防止涉及国家秘密信息被非授权查看和获取。评估过程中形成的记录、文档、数据、资料应当交由自评估单位保存,受委托进行风险(自)评估的第三方机构不得保留。
5. 运行维护机构应当根据风险自评估的结果,形成风险自评估报告,进行隐患漏洞和危害分析评估,针对隐患漏洞和风险,进行来源和威胁分析,及时修改安全策略,并提出可行的管理和技术改进措施建议。
6.风险自评估报告应当上报单位信息化管理部门以及单位分管业务负责人,信息化管理部门和单位分管业务负责人应当通过风险评估报告,了解和掌握单位信息系统、信息设备和存储设备的安全风险情况,根据运行维护机构的建议决定整改方案,提供人力、财力、物力的支持,监督整改落实,并留有文字记录。运行维护机构应当依据方案尽快落实整改措施。
7.风险自评估过程中形成的各种记录、文档、资料和最终评估报告应当归档,妥善保管。
