关于组织开展地方信息安全风险自评估
试点工作的通知

各省辖市网络与信息安全协调小组办公室：

为进一步贯彻落实国务院信息化办公室《关于开展信息安全风险评估工作的意见》（国信办[2006]5号）和省委办公厅、省政府办公厅《关于加强信息安全保障工作的意见》（苏办发[2007]25号），探索、积累风险评估管理工作经验，为普遍推行信息安全风险评估制度创造条件，省信息办决定在各省辖市组织开展信息安全风险自评估试点工作。现将有关事项通知如下：

一、工作目标

按照“严密组织、规范操作、讲求科学、注重实效”的原则，完成20家左右信息网络和重要信息系统的风险自评估工作，探索建立全省风险评估管理、技术规范和工作机制。

二、试点范围

各省辖市党政机关、事业单位拥有、运营或使用的，履行公共管理职能和提供公共服务的非涉密信息网络和重要信息系统。主要包括：

市级电子政务外网，政府门户网站、基础信息数据库等重要信息系统；

各部门、直属机构拥有、运营或使用的信息网络和重要信息系统；

其他领域具有公共管理、服务功能的重要信息系统等。

三、进度安排

（一）启动阶段（4—5月）

各市结合本地实际，明确1—2家试点单位报省信息安全办审定。有条件的市可根据《风险自评估试点技术支持机构基本要求》（见附件1），推荐1家本地技术支持机构报省信息安全办。经省信息安全办核准后，参与本地风险自评估试点工作。无技术支持机构的市，由省信息安全办统一安排。

省信息安全办于5月中旬确定各市试点单位和技术支持机构名单，并组织开展前期相关工作。

（二）实施阶段（6—8月）

各市信息安全办协调组织本地区各试点单位开展风险自评估工作，完成风险自评估报告，并于8月底前报省信息安全办。

试点期间，省信息安全办组织专家对各市试点工作进行现场检查、指导。

（三）验收阶段（9—10月）

省信息安全办组织专家对自评估报告进行初步评审，评选优秀评估报告；召开技术研讨会，对自评估报告和安全保护策略提出完善意见。

四、工作保障

（一）组织保障

省信息安全办成立风险自评估试点工作指导小组，负责对地方试点工作的组织管理和业务指导。各市信息安全办应落实专人负责试点工作的组织协调。

（二）经费保障

为推动各市做好风险自评估试点，省信息安全办提供部分工作经费，由各市信息安全办合理安排，保障试点工作顺利进行。

（三）技术保障

省信息安全办编发《信息安全风险评估规范》（GB/T20984-2007）、《江苏省重要信息系统风险自评估实施指南》等，组织各试点单位、技术支持机构开展风险评估管理与技术培训。

五、相关要求

1．请各市信息安全办组织试点单位，按要求填写《江苏省信息网络和重要信息系统风险自评估试点申请表》（见附件2），于4月21日前，报省信息安全办。

2．请推荐风险评估技术支持机构的市指导推荐机构认真填写《江苏省风险评估技术支持机构申请表》（见附件3），于4月21日前，报省信息安全办。市信息安全办负责对本市参与自评估试点的技术支持机构在试点工作中的技术服务能力提出考核意见，作为下一步省信息安全办确认其是否具有风险自评估技术支持资格的重要依据。

3．省信息安全办将结合年度工作会议，对本次试点工作中的先进个人和优秀评估报告予以表彰。

试点工作中遇有相关问题，请与省信息安全办联系。

联系人：赵江山、陈宇青

电  话：025-83348933，83348935（电话/传真）

邮  箱：zhaojs_xc@js.gov.cn，yuqing8366@gmail.com

地  址：南京市中山北路285号702室（邮编:210003）

附件：

1．风险自评估试点技术支持机构基本要求；

2．江苏省基础信息网络和重要信息系统风险自评估试点申请表；

3．江苏省风险评估技术支持机构申请表。