横琴新区大数据平台项目(集成开发服务)大横琴科技发展有限公司风险评估管理办法第一章总则第一条为在确保大横琴科技发展有限公司(以下简称科技公司)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,特制定本办法。第二条本办法所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术和管理等方面存在的脆弱性、面临的威胁、威胁发生的可能性以及威胁发生后的影响等情况进行分析,找出安全风险并有针对性的提出改进措施的活动。第二章适用范围第三条风险评估的范围包括科技公司范围内所有的信息资产,并包括与科技公司签订有第三方协议的外部信息资产。安全评估的具体对象包括服务器、网络和应用系统,以及管理和维护这些对象的过程。第三章评估工作宏观要求第四条风险评估以识别网络和信息系统等信息资产的价值,发现信息资产在技术和管理等方面存在的脆弱性、面临的威胁,威胁发生的可能性以及威胁发生后的影响计算安全风险为主要目标,同时有针对性的提出改进措施、技术方案和管理要求第五条评估频次:1.按照监管部门和科技公司管理层要求,安排评估任务;2.科技公司的风险评估需要周期性地进行,并通过实施风险安全控制使科技公司的整体安全保持在一个较高的水平。3.全面的风险评估每年进行一次。风险评估的执行者可以是科技公司信息安全工作组或者是在信息安全工作组的组织下由安全服务提供商执行。4.当引入新的业务系统或者网络,或者业务系统发生重大改变时,需要立刻进行局部或者整体的风险评估。横琴新区大数据平台项目(集成开发服务)第四章组织与职责第六条发起安全风险评估工作的责任主体为科技公司信息安全工作组。第七条总体原则1.在“谁主管、谁负责”总体原则指导下,按照统一管理、分级负责原则,负责网络和系统的安全风险评估工作。2.原则上,安全评估服务与系统建设不能采用同一厂家。第八条信息安全工作组在科技公司信息安全领导小组及上级部门领导下,组织开展全科技公司层面的安全评估工作,其主要职责包括:1.落实上级部门安全风险评估工作总体安排,配合上级部门组织的风险评估工作。在重大活动或敏感时期,根据上级部门安排或者自身需要发起对特定网络及信息系统的专项评估工作;2.建立和完善风险评估工作考核指标和考核办法,组织考核评比;制定严格的管理要求,对风险评估相关文档的发布、保存、流转、更改、作废、销毁各环节进行严格把控,确保风险评估资...
