企事业单位信息系统风险评估制度

企事业单位信息系统风险评估制度一、总则（一）目的与意义为全面、系统地识别、分析和评价本单位信息系统面临的各类安全风险，明确风险等级，制定有效的风险处置策略，保障信息系统的机密性、完整性和可用性，维护单位核心业务的持续稳定运行，保护单位信息资产安全，特制定本制度。信息系统风险评估是单位信息安全保障体系建设的基础性工作，通过规范化的评估流程，有助于提升单位整体信息安全防护能力，为决策层提供准确的风险认知和管理依据。（二）适用范围本制度适用于本单位所有在用及规划建设中的信息系统，包括但不限于业务应用系统、支撑系统（如网络系统、数据库系统、中间件等）以及相关的信息技术基础设施。单位内各部门、下属机构及所有涉及信息系统建设、运维、使用的人员均须遵守本制度。（三）基本原则1.客观性原则：评估过程与结果应基于事实，避免主观臆断，采用科学的方法和可靠的数据支撑。2.系统性原则：从信息系统的整体出发，全面考虑技术、管理、人员、环境等多方面因素。3.规范性原则：评估工作应遵循规定的流程、方法和标准，确保评估过程的可重复性和结果的可比性。4.动态性原则：信息系统风险处于不断变化之中，风险评估应定期进行，并根据系统变更、环境变化等情况及时更新。5.保密性原则：评估过程中涉及的单位敏感信息、系统数据及评估结果等，参与评估的所有人员必须严格保密。二、组织机构与职责（一）领导小组单位应成立信息系统风险评估工作领导小组，由单位分管领导任组长，成员包括信息技术部门、业务部门、安全管理部门及其他相关部门负责人。其主要职责为：*审定单位信息系统风险评估的方针、政策和制度；*审批重大信息系统的风险评估计划和评估报告；*协调解决风险评估工作中遇到的重大问题和资源调配。（二）工作小组在领导小组下设风险评估工作小组，通常由信息技术部门牵头，安全管理部门及各业务部门指定专人参与。其主要职责为：*组织制定和修订具体的风险评估实施细则和操作指南；*制定年度及专项风险评估工作计划并组织实施；*组建或聘请专业的风险评估团队（可内外部结合）；*收集、整理、分析评估数据，形成风险评估报告；*跟踪风险处置措施的落实情况，并进行效果验证；*负责风险评估相关知识的培训与宣贯。（三）各业务部门职责各业务部门是其职责范围内信息系统的直接使用者和管理者，应积极配合风险评估工作，主要职责包括：*提供本部门相关信息系统的业务需求、运行状况及潜在风险点；*参与本部门信息系统的风险识别与分析；*根据风险评估结果，落实本部门职责范围内的风险处置措施；*及时反馈信息系统运行中出现的新的安全问题。三、风险评估范围与周期（一）评估范围确定风险评估范围应根据信息系统的重要程度、业务关联性、数据敏感性以及所面临威胁的可能性综合确定。通常包括：*硬件设备：服务器、网络设备、存储设备、终端设备等；*软件系统：操作系统、数据库管理系统、中间件、业务应用软件等；*数据资产：各类业务数据、配置数据、管理数据等；*网络环境：网络拓扑、通信链路、网络安全设备策略等；*管理制度：安全管理体系、操作规程、应急预案等；*人员因素：人员安全意识、操作技能、岗位职责等。（二）评估周期1.常规评估：对于核心业务系统及重要信息系统，建议至少每年进行一次全面的风险评估；对于一般信息系统，可每两年进行一次。2.专项评估：在以下情况发生时，应及时组织专项风险评估：*信息系统发生重大变更（如系统升级、架构调整、核心业务变更等）；*发生重大安全事件或安全漏洞后；*组织结构或业务流程发生重大调整；*新的法律法规或行业标准对信息安全提出新要求；*单位认为有必要进行评估的其他情形。四、风险评估流程（一）准备阶段此阶段是确保评估工作顺利开展的基础，主要工作包括：*明确评估目标、范围、约束条件及期望输出；*组建评估团队，进行任务分工与技术培训；*制定详细的评估方案，包括时间表、资源配置、沟通机制等；*收集与评估对象相关的资料，如系统架构文档、网络拓扑图、安全策略、历史安全事件记录等；*获得相关方对评估方案的确认与支持。（二）资产识别与价值评估资产识别是风险评估的起点，旨在明确评估范围内的关键资产及其重要性。*资产分类：将信息资产划分为硬件、软件、数据、服务、文档、人员等类别。*资产描述：对每一项资产进行详细描述，包括名称、型号、版本、位置、责任人等。*价值评估：从机密性、完整性、可用性三个维度对资产进行价值赋值，确定关键资产。价值评估应结合业务需求和单位实际情况进行。（三）威胁识别威胁识别旨在找出可能对信息资产造成损害的潜在因素。*威胁来源：包括外部恶意攻击者、内部人员误操作或恶意行为、软硬件故障、自然灾害、供应链安全等。*威胁表现形式：如病毒感染、木马攻击、网络入侵、数据泄露、拒绝服务、设备故障、人员失误等。*识别方法：可采用文档审查、专家访谈、历史事件分析、威胁情报收集、渗透测试（在授权情况下）等方法。（四）脆弱性识别脆弱性是资产自身存在的弱点，可能被威胁利用导致安全事件。*技术脆弱性：如操作系统漏洞、应用软件缺陷、网络设备配置不当、密码策略薄弱、缺乏有效的访问控制等。可通过漏洞扫描、配置核查、代码审计等技术手段进行识别。*管理脆弱性：如安全管理制度不健全、安全意识淡薄、操作规程不完善、应急预案缺失或未演练、人员安全培训不足等。可通过制度文件审查、人员访谈、流程穿行测试等方式进行识别。（五）风险分析风险分析是在资产识别、威胁识别和脆弱性识别的基础上，分析威胁发生的可能性以及一旦发生可能造成的影响。*可能性分析：结合威胁源的动机、能力，现有控制措施的有效性，以及脆弱性被利用的难易程度，评估威胁事件发生的可能性等级。*影响分析：从技术层面（系统中断、数据损坏）、业务层面（业务流程受阻、服务质量下降）、财务层面（直接经济损失、恢复成本）、声誉层面（单位形象受损、客户信任度降低）等方面，评估安全事件发生后对单位造成的影响程度。*现有控制措施评估：分析当前已有的安全控制措施对降低威胁可能性和影响程度的有效性。（六）风险评价风险评价是将风险分析的结果与预先设定的风险准则进行比较，确定风险等级，为风险处置提供依据。*风险等级计算：通常综合考虑威胁发生的可能性和影响程度，通过建立风险矩阵或采用适当的算法，将风险划分为不同的等级（如高、中、低）。*风险等级划分标准：应在单位内部形成统一的、明确的风险等级定义和划分标准。*风险优先级排序：根据风险等级，对识别出的风险进行排序，优先关注高等级风险。（七）风险处置建议根据风险评价结果，针对不同等级的风险，提出合理的风险处置建议。风险处置策略包括：*风险规避：通过改变业务流程、停止使用存在高风险的系统或服务等方式，避免风险的发生。*风险降低：采取技术或管理措施，降低威胁发生的可能性或减轻其造成的影响，如修复漏洞、加强访问控制、部署安全设备、完善管理制度、加强人员培训等。这是最常用的风险处置方式。*风险转移：通过购买保险、外包给专业服务商等方式，将风险的全部或部分影响转移给第三方。*风险接受：对于一些发生可能性极低或影响轻微，且处置成本过高的低等级风险，在权衡利弊后可选择接受，但需持续监控。风险处置建议应具有针对性、可行性和成本效益性。（八）报告编制与提交评估工作完成后，应形成正式的风险评估报告，主要内容包括：*评估项目概述（目的、范围、方法、时间等）；*资产识别与价值评估结果；*威胁、脆弱性识别结果；*风险分析与评价结果（包括风险清单、风险等级分布）；*主要风险点描述及原因分析；*针对各类风险的处置建议和优先级；*总体风险水平评估及改进建议；*评估过程中发现的亮点与不足。报告应提交给风险评估工作领导小组审批，并分发至相关部门。五、风险评估方法风险评估可采用定性、定量或定性与定量相结合的方法。*定性方法：主要依靠专家经验和主观判断，对风险的可能性和影响程度进行定性描述（如高、中、低）。该方法操作简单，适用于数据不足或难以量化的场景。常见方法有问卷调查、访谈、头脑风暴、德尔菲法等。*定量方法：通过收集具体数据，运用数学模型进行计算，得出风险发生的概率、损失金额等量化结果。该方法更为精确，但对数据质量和评估人员能力要求较高。常见方法有概率分析、统计模型、蒙特卡洛模拟等。在实际操作中，通常采用定性与定量相结合的方法，以定性分析为基础，对关键风险点尝试进行定量分析，以提高评估结果的准确性和说服力。六、风险等级划分标准单位应根据自身业务特点和风险承受能力，制定明确的风险等级划分标准。一般将风险等级划分为高、中、低三个级别，也可进一步细分。*高风险：指发生可能性高，一旦发生将对单位核心业务、重要数据或声誉造成严重影响，必须立即采取措施进行处置。*中风险：指发生可能性中等或影响程度中等，需要制定明确的整改计划和时间表，在规定期限内降低风险。*低风险：指发生可能性低且影响程度轻微，或通过现有控制措施基本可以控制的风险，可选择接受风险并进行持续监控。具体的等级定义和判定标准应在单位内部风险评估实施细则中予以明确。七、风险处置与监控（一）风险处置计划针对评估报告中提出的风险处置建议，相关责任部门应制定详细的风险处置计划，明确整改措施、责任人、完成时限、资源需求等。（二）风险处置实施各责任部门应按照风险处置计划积极组织实施，工作小组负责跟踪、协调和督促。对于高等级风险，应优先处理。（三）效果验证与反馈风险处置措施完成后，工作小组应组织对处置效果进行验证和评估，确认风险是否得到有效降低。如未达到预期效果，应分析原因并调整处置措施。（四）持续监控信息系统风险是动态变化的，单位应建立常态化的风险监控机制，对已识别风险的变化情况、新出现的风险以及风险处置措施的有效性进行持续跟踪和关注，确保风险始终处于可控状态。八、风险评估报告管理风险评估报告是单位重要的信息资产，应严格按照保密规定进行管理。*报告的编制、审核、审批、分发、借阅、销毁等环节应有明确的记录和控制。*报告的存放应确保安全，防止非授权访问、泄露或篡改。*评估过程中产生的原始数据、分析记录等支撑材料应与报告一并存档。*报告的有效期通常与下次评估周期相关，过期报告需妥善处理。九、保障措施（一）组织保障明确各级组织和人员在风险评估工作中的职责，确保领导到位、责任到人、协调有力。（二）制度保障不断完善风险评估相关的制度体系，确保评估工作有章可循、规范有序。（三）资源保障合理配置风险评估所需的经费、工具、技术和专业人才资源，支持评估工作的有效开展。（四）培训与宣贯定期组织开展信息安全及风险评估相关知识的培训和宣贯活动，提高全员风险意识和参与度。十、附则（一）制度解释权本制度由单位信息技术部门（