1、 横琴新区大数据平台项目(集成开发服务)大横琴科技发展有限公司风险评估管理办法第一章 总则第一条 为在确保大横琴科技发展有限公司(以下简称科技公司)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,特制定本办法。第二条 本办法所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术和管理等方面存在的脆弱性、面临的威胁、威胁发生的可能性以及威胁发生后的影响等情况进行分析,找出安全风险并有针对性的提出改进措施的活动。第二章 适用范围第三条 风险评估的范围包括科技公司范围内所有的信息资产,并包括与科技公司签订有第三方协议的外部信息资产。安全评估的具体对象
2、包括服务器、网络和应用系统,以及管理和维护这些对象的过程。第三章 评估工作宏观要求第四条 风险评估以识别网络和信息系统等信息资产的价值,发现信息资产在技术和管理等方面存在的脆弱性、面临的威胁,威胁发生的可能性以及威胁发生后的影响,计算安全风险为主要目标,同时有针对性的提出改进措施、技术方案和管理要求。第五条 评估频次:1. 按照监管部门和科技公司管理层要求,安排评估任务;2. 科技公司的风险评估需要周期性地进行,并通过实施风险安全控制使科技公司的整体安全保持在一个较高的水平。3. 全面的风险评估每年进行一次。风险评估的执行者可以是科技公司信息安全工作组或者是在信息安全工作组的组织下由安全服务提
3、供商执行。4. 当引入新的业务系统或者网络,或者业务系统发生重大改变时,需要立刻进行局部或者整体的风险评估。第四章 组织与职责第六条 发起安全风险评估工作的责任主体为科技公司信息安全工作组。第七条 总体原则1. 在“谁主管、谁负责”总体原则指导下,按照统一管理、分级负责原则,负责网络和系统的安全风险评估工作。2. 原则上,安全评估服务与系统建设不能采用同一厂家。第八条 信息安全工作组在科技公司信息安全领导小组及上级部门领导下,组织开展全科技公司层面的安全评估工作,其主要职责包括:1. 落实上级部门安全风险评估工作总体安排,配合上级部门组织的风险评估工作。在重大活动或敏感时期,根据上级部门安排或
4、者自身需要发起对特定网络及信息系统的专项评估工作;2. 建立和完善风险评估工作考核指标和考核办法,组织考核评比;制定严格的管理要求,对风险评估相关文档的发布、保存、流转、更改、作废、销毁各环节进行严格把控,确保风险评估资料的机密性、完整性和可用性;3. 作为全科技公司范围安全风险评估工作的责任主体,按照相关要求、组织制定全科技公司的安全风险评估计划,并组织实施全网性大规模评估;4. 汇总、审阅安全风险评估报告,审核改进方案,督促解决安全风险评估中发现的突出问题。出现涉及全科技公司层面的重大问题或者需要对技术或者管理流程做出重大调整时,应向科技公司信息安全主管及上级主管部门汇报。第九条 接接受安
5、全风险评估的部门应参与制定安全风险评估计划及评估方案,了解评估可能造成的影响及规避措施,配合实施安全风险评估工作。第十条 参与安全风险评估人员应严格遵守公司保密管理规定,对接触到的敏感信息、漏洞情况等严格保密。第十一条 如委托第三方进行风险评估,应选择符合国家、科技公司要求的风险评估服务机构,并在与其签订的协议中,明确保密要求及禁止利用科技公司提供的权限、信息进行其它破坏性或者信息刺探等非法活动,保障科技公司利益。第五章风险评估项目实施步骤第十二条 项目计划及评估方案制定阶段。为保证各风险评估项目的实施质量,降低给评估对象带来的安全风险,信息安全工作组应与被评估方一起制定每个评估项目的详细计划
6、和评估方案:1. 评估计划至少应明确:目的,评估对象,评估内容概述,工作进度整体安排,资金安排,评估项目组人员安排和相关部门职责分工等。2. 评估方案至少应包括:目的,评估对象,评估所依据的标准,具体评估要点及对应评估方法描述,采用的技术手段,各评估要点实施人员,被评估单位配合要求,工作进度,对评估对象的影响分析及风险规避措施,保密要求等。第十三条 项目计划及评估方案审批阶段。为确保评估计划的可行性、评估方案的科学性和安全性,在实施之前,应报安全领导小组或者上级主管部门审核,审核通过方可开展评估工作。第十四条 风险评估实施阶段。在评估计划和评估方案通过审批后,信息安全工作组应在被评估部门的配合
7、下,按照评估方案组织实施。评估过程应有完备的文档记录,至少包括实施经过、原始数据、评估结果等。第十五条 风险评估总结阶段。风险评估完成后,应形成本项目完整的风险评估报告。风险评估报告至少包括以下内容:1. 本风险评估项目的目的、被评估对象和评估范围、评估内容;2. 本风险评估项目的组织形式、标准依据、实施方案、时间安排;3. 本次风险评估对象的管理现状、已有安全措施;4. 被评估对象资产价值、面临的威胁、存在的脆弱点、风险描述及分布;5. 安全风险处置及改进建议。第十六条 风险评估报告验收阶段。1. 信息安全工作组组织评估报告评审会,由被评估方对评估结论的准确性、评估目标的达成情况以及改进建议
8、的合理性进行审核;2. 向安全领导小组汇报网络安全实际情况及改进建议,并根据安全领导小组意见启动风险处置阶段的工作;3. 经安全领导小组以及被评估方确认后,风险评估过程文档、评估报告作为风险评估资料进行保存、备案。第十七条 风险处置阶段。针对评估所发现的安全风险及改进意见,按照高风险优先处置的原则,结合已有安全措施制定风险处置计划、改进方案并推动实施。1. 由被评估方组织实施;2. 根据安全性和经济性平衡原则,并考虑现有技术、人员等条件限制,确定可以改进的风险要点;3. 制定改进工作计划,明确工作目标、任务描述,任务分解,明确相关部门职责和具体责任人、时间安排、项目风险及规避措施;4. 将处置计划、改进方案报信息安全工作组审批、审核、备案;5. 风险处置计划和改进方案核准下达后,予以实施,并将实施结果报信息安全工作组备案。第十八条 后评估阶段。风险处置工作完成后,进行改进工作有效性评估,找出残余风险,确定所需要的安全管理措施,并监督执行。第五章 标准维护与解释第十九条 本管理办法由科技公司信息安全领导小组每年复核一次,在必要时进行修订,并颁发执行。第二十条 本管理办法解释权归大横琴科技发展有限公司。第二十一条 本管理办法自下发之日起生效。