大学信息管理中心信息安全风险评估和审核管理办法.docx

大学信息管理中心信息安全风险评估和审核管理办法第一章总则第一条为了进一步加强*大学信息管理中心（以下简称中心）信息安全管理体系的适用性和有效性管理，及时发现信息系统可能面临的安全风险，特制定本办法。第二条中心开展信息系统安全检查过程的方式包括信息安全风险评估,内部审核和管理评审；信息安全风险评估的内容包括技术评估和管理评估，过程包括风险识别、风险评估和风险处置三部分。第三条信息安全风险评估是信息安全管理体系监督、检查机制的技术体现，通过信息安全风险评估可以科学的判断*大学信息安全现状，是*大学建立信息安全风险管理模式的保障性工作之一。第四条本办法适用于*大学信息管理中心。第二章信息安全风险识别第五条中心各部门应根据实际情况识别各自负责信息资产的保密性、完整性和可用性，并正确评价信息资产在保密性、完整性和可用性损失后的影响，对于影响较大的信息资产应定为*大学的重要信息资产；第六条中心各部门应根据重要信息资产的情况，识别重要信息资产面临的脆弱性、威胁和安全风险。第三章信息安全风险评估第七条信息系统和网络在发生重大变化时应开展信息安全风险评估工作，降低由于变化而对现有运行系统和网络带来的风险。第八条中心可结合信息系统和网络运行情况，定期开展信息安全风险评估工作，发现信息系统和网络运行可能面临的安全风险。第九条中心开展信息安全风险评估工作可以采用自评估方式或第三方评估方式，如采用第三方评估方式需要选择具有相应资质的服务提供商，并在风险评估执行前签署技术承诺协议书与保密协议。第十条信息安全风险评估的内容包括但不限于：(-)信息安全管理评估：信息安全总体策略、信息安全组织制度管理、人员安全管理、信息系统建设安全管理、信息系统运维管理、变更管理和信息安全事件应急响应预案等制度的内容、执行情况以及制度的合理性、有效性；(二)信息安全技术评估：信息系统物理、网络、主机系统、数据库和应用的安全隐患，安全产品和设备的基本情况和发现的安全问题等。第四章信息安全风险处置第十一条开展信息安全风险评估后，若发现信息系统、信息安全管理体系中存在安全隐患和安全风险，应及时形成信息安全风险处置措施。第十二条信息安全领导小组应确保所采用的规避、转嫁等风险控制措施与信息安全总体策略保持一致，对于不予处置的风险应确保是在*大学可以接受的范围内。第五章信息安全管理审核第十三条*大学信息安全领导小组应每年对内部的信息安全管理体系进行一次内部审核，发现信息安全管理体系中存在的不足，并针对信息安全管理体系中遇到的问题进行记录，包括但不限于：（-）是否符合相关标准和法律法规的要求；（二）是否存在可能面临的信息安全风险；（三）是否得到有效保持和实施。第六章附则第十四条本办法由信息安全工作组负责解释和修订。第十五条本办法自发布之日起执行。