(七)关于加强国家电子政务工程建设项目信息安全风险评估工作的通知

—1—国家发展和改革委员会文件中华人民共和国公安部国家保密局发改高技[2008]2071号关于加强国家电子政务工程建设项目信息安全风险评估工作的通知中央和国家机关各部委，国务院各直属机构、办事机构、事业单位，各省、自治区、直辖市及计划单列市、新疆生产建设兵团发展改革委、公安厅、保密局：为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号），加强基础信息网络和重要信息系统安全保障，按照《国家电子政务工程建设项目管理暂行办法》（国家发展和改革委员会令[2007]第55号）的有关规定，加强和规范国家电子政务工程建设项目信息安全风险评估工作，现就有关事项通知如下：一、国家的电子政务网络、重点业务信息系统、基础信息库以—2—及相关支撑体系等国家电子政务工程建设项目（以下简称电子政务项目），应开展信息安全风险评估工作。二、电子政务项目信息安全风险评估的主要内容包括：分析信息系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等。三、电子政务项目信息安全风险评估工作按照涉及国家秘密的信息系统（以下简称涉密信息系统）和非涉密信息系统两部分组织开展。四、涉密信息系统的信息安全风险评估应按照《涉及国家秘密的信息系统分级保护管理办法》、《涉及国家秘密的信息系统审批管理规定》、《涉及国家秘密的信息系统分级保护测评指南》等国家有关保密规定和标准，进行系统测评并履行审批手续。五、非涉密信息系统的信息安全风险评估应按照《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》和《信息安全风险评估规范》等有关要求，可委托同一专业测评机构完成等级测评和风险评估工作，并形成等级测评报告和风险评估报告。等级测评报告参照公安部门制订的格式编制，风险评估报告参考《国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式》（见附件）编制。六、电子政务项目涉密信息系统的信息安全风险评估，由国家保密局涉密信息系统安全保密测评中心承担。非涉密信息系统的信息安全风险评估，由国家信息技术安全研究中心、中国信息安全测—3—评中心、公安部信息安全等级保护评估中心等三家专业测评机构承担。七、项目建设单位应在项目建设任务完成后试运行期间，组织开展该项目的信息安全风险评估工作，并形成相关文档，该文档应作为项目验收的重要内容。八、项目建设单位向审批部门提出项目竣工验收申请时，应提交该项目信息安全风险评估相关文档。主要包括：《涉及国家秘密的信息系统使用许可证》和《涉及国家秘密的信息系统检测评估报告》，非涉密信息系统安全保护等级备案证明，以及相应的安全等级测评报告和信息安全风险评估报告等。九、电子政务项目信息安全风险评估经费计入该项目总投资。十、电子政务项目投入运行后，项目建设单位应定期开展信息安全风险评估，检验信息系统对安全环境变化的适应性及安全措施的有效性，保障信息系统的安全可靠。十一、中央和地方共建电子政务项目中的地方建设部分信息安全风险评估工作参照本通知执行。附件：《国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式》—4—（此页无正文）国家发展改革委公安部国家保密局二○○八年八月六日主题词：风险评估通知抄送：中央办公厅、全国人民代表大会常务委员会办公厅、国务院办公厅、中国人民政治协商会议全国委员会办公厅、最高法院办公厅、最高检察院办公厅附件：国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式项目名称：项目建设单位：风险评估单位：年月日目录一、风险评估项目概述..................................................................................................................11.1工程项目概况..........................................................................................................................11.1.1建设项目基本信息........................................................................................................11.1.2建设单位基本信息........................................................................................................11.1.3承建单位基本信息..........................................................................................................21.2风险评估实施单位基本情况.............................................................................................2二、风险评估活动概述..................................................................................................................22.1风险评估工作组织管理......................................................................................................22.2风险评估工作过程................................................................................................................22.3依据的技术标准及相关法规文件...................................................................................22.4保障与限制条件.....................................................................................................................3三、评估对象.....................................................................................................................................33.1评估对象构成与定级...........................................................................................................33.1.1网络结构...........................................................................................................................33.1.2业务应用...........................................................................................................................33.1.3子系统构成及定级........................................................................................................33.2评估对象等级保护措施......................................................................................................33.2.1XX子系统的等级保护措施.....................................................................................33.2.2子系统N的等级保护措施.......................................................................................3四、资产识别与分析.......................................................................................................................44.1资产类型与赋值.....................................................................................................................44.1.1资产类型.............................................................................................................................44.1.2资产赋值.............................................................................................................................44.2关键资产说明..........................................................................................................................4五、威胁识别与分析.......................................................................................................................45.1威胁数据采集..........................................................................................................................55.2威胁描述与分析.....................................................................................................................55.2.1威胁源分析.......................................................................................................................55.2.2威胁行为分析.......................