风险评估实施操作规程

风险评估实施操作规程

第一章评估计划及评估方案制定阶段

第一条为保证风险评估的实施质量，降低给评估对象带来的安全风险，安全管理员与评估对象相关的系统管理员、应用管理员等共同制定每个评估项目的详细计划和评估方案。

第二条评估计划至少明确：目的，评估对象，评估内容，工作整体进度安排，资金安排，评估项目组人员安排和相关部门职责分工等。

第三条评估方案至少包括：目的，评估对象，评估所依据的标准，具体评估要点及对应评估方法描述，采用的技术手段，各评估要点实施人员，被评估对象责任人配合要求，工作进度，对评估对象的影响分析及风险规避措施，保密要求等。

第二章评估计划及评估方案审批阶段

第一条为确保评估计划的可行性、评估方案的科学性和安全性，在实施之前，均应报网络与信息安全领导小组办公室审核，审核通过方可开展评估工作。

第二条网络与信息安全领导小组办公室组织信息系统有关应用部门和单位对评估计划和评估方案进行审核。

第三条针对三级及三级以上的对象进行风险评估，需报

网络与信息安全领导小组批准。

第三章风险评估实施阶段

第一条在评估计划和评估方案通过审批后，由安全管理员组织评估方与相关系统管理员、应用管理员配合实施安全风险评估方案。

第二条评估过程应有完备的文档记录，至少包括实施经过、原始数据、评估结果等等。

第四章风险评估报告内容

第一条风险评估的目的、被评估对象和评估范围、评估内容。

第二条风险评估的组织形式、标准依据、实施方案、时间安排。

第三条风险评估对象的管理现状、已有安全措施。

第四条被评估对象资产价值、面临的威胁、存在的脆弱点、风险描述及分布。

第五条安全风险处置及改进建议。

第五章风险评估报告验收阶段

第一条组织评估报告评审会，由单位相关部门、各系统管理员、应用管理员等对评估结论的准确性、评估目标的达成情况以及改进建议的合理性进行审核。

第二条向单位主管领导汇报网络安全实际情况及改进建议，并根据审核意见启动风险处置阶段的工作。

第三条经单位管理层以及被评估方确认后，风险评估过程文档、评估报告作为风险评估资料进行保存、备案。同时，将评估报告报网络与信息安全领导小组备案。

第六章风险处置阶段

第一条由安全管理员针对评估所发现的安全风险及改进意见，按照高风险优先处置的原则，结合已有安全措施与相关系统管理员、应用管理员共同制定风险处置计划、改进方案并推动实施。

第二条根据安全性和经济性平衡原则，并考虑现有技术、人员等条件限制，安全管理员、系统管理员、应用管理员共同确定可以改进的风险要点。

第三条风险处置计划和改进方案核准下达后，由相关系统管理员和应用管理员负责按规定时限予以实施，并将实施结果报网络与信息安全领导小组备案。