信息安全风险评估管理规定
第一章 总则
为规范科技发展部信息安全风险评估工作，为风险评估工作提供指导和支持，特制定本规定。
本规定适用于科技发展部范围内的信息安全风险评估工作。
第二章 组织与职责
信息安全工作指挥小组负责提出信息安全风险评估需求，审批风险评估计划、风险接受的原则、风险评估报告以及风险处理计划。
科技发展部风险管理组负责确定信息安全风险评估的方法，制定风险评估的工作流程，根据风险评估需求制定风险评估计划；组织并指导各部门开展风险评估工作。
各部门的安全组负责本部门的信息风险评估工作的监督与检查；
各部门负责对本部门的信息资产进行识别，对风险进行评估，执行已批准的风险处理计划。
第三章 信息安全风险评估管理规定
科技发展部风险管理组应根据风险评估需求制定风险评估计划，确定风险评估的范围和方法，并组建风险评估团队。
各部门应根据风险评估计划对其职责范围内的信息资产进行识别，根据《信息资产安全管理规定》对信息资产的CIA 属性进行赋值（涉及信息系统的各类信息资产均应按系统等级进行赋值，详见附件二：信息系统等级划分准则）并计算信息资产价值，将重要信息资产列为风险评估对象。
科技发展部风险管理组应组织各部门对被列为风险评估对象的信息资产所面临的威胁、存在的弱点以及现存的安全控制措施进行识别和评估，根据公式计算得出风险值后依照风险分级准则对风险级别进行定义，具体实施方法详见附件三至六。
科技发展部风险管理组应根据风险分级准则对识别出的风险，组织相关部门选择适当的处理方式、制定风险处理计划和实施方案，计划及方案经科技发展部信息安全工作指挥小组审批后执行。
科技发展部风险管理组应对风险处理的实施情况进行跟踪，确保控制措施能够在计划时间内完成。
风险处理完成后，科技发展部风险管理组应组织相关部门对残余风险进行再评估，对于不可接受的残余风险采取进一步的控制措施。
科技发展部全面风险评估应至少每年开展一次，对于核心信息系统应每半年开展一次风险评估。
风险评估各阶段的工作内容应形成记录，各阶段工作的描述及应形成的记录文件详见附件七。
第四章 附则
本规定由科技发展部制定、修订和解释。
本规定自发布之日起生效。
记录文件
《风险评估计划》
《信息资产清单》
《风险评估记录》
《待处理风险及风险处理计划》
《风险评估报告》
附件一：
修订记录
日期（年月日)
版本
描述
作者
审批人
审批日期
20161011
1.0 发布稿
詹学文
乌传欣
20161021
附件二：
信息系统等级划分准则
科技发展部范围内的信息系统共划分为5个等级，即核心信息系统（5级）、关键信息系统（4级）、重要信息系统（3级）、辅助信息系统（2级）和一般信息系统（1级）。
生产系统参照公安部等级保护测评和连续性管理流程中定义的信息系统等级按取最高等级的原则将等级划分为5级至2级，内部管理系统、办公系统视实际情况定义为2级或1级。
生产系统等级与等级保护测评、连续性管理流程定义系统等级的对照表如下：
业务服务等级（参照）
等级保护测评
定义的安全等级
连续性管理流程
定义的服务系统等级
核心（5级）
四级
核心
关键（4级）
三级
关键
重要（3级）
二级
重要
辅助（2级）
一级
辅助
对于已定级的信息系统应参照下表进行CIA属性赋值：
信息系统级别
保密性
完整性
可用性
核心（5级）5 55 关键（4级）4 55 重要（3级）4 44 辅助（2级）3 34 一般（1级）3 33 附件三：
威胁发生可能性的评估标准
赋值
等级
定义5 极高
出现的频率很高（或不少于1次/月），或在大多数情况下几乎不可避免，或可以证实经常发生过4 高
出现的频率较高（或不少于1次/季度），或在大