常信安〔2016〕1号

关于做好2016年度市级政务信息系统信息安全风险评估工作的通知

各辖市（区）网络与信息安全协调小组，市各委办局，各有关单位：

　　开展信息安全风险评估是提高信息安全管理水平的重要方法和措施。为规范和强化我市政务信息系统信息安全风险评估工作，进一步保障政务信息系统安全，根据《江苏省信息化条例》、《江苏省信息安全风险评估管理办法（试行）》（以下简称《管理办法》），现将有关工作要求通知如下：

　　一、2015年度政府投资信息系统自评估备案

　　根据《关于加强我市政务信息系统信息安全管理工作的通知》（常信安〔2015〕1号）的要求，列入2015年市级政府投资信息化工程项目建设计划的单位（名单见附件1），请于2016年6月30日之前，将已投入使用项目的信息安全自评估报告和整改方案报市信安办备案；尚未投入使用项目报项目信息安全风险自评估情况反馈表（附件2）。

　　二、2016年度政府投资信息系统自评估工作

　　信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，应贯穿于网络和信息系统建设运行的全过程。列入2016年市级政府投资信息化工程项目建设计划的单位（名单见附件3），应按照《江苏省信息化条例》和《管理办法》的要求，将信息安全保障系统与信息化工程项目同步规划、同步建设、同步运行，并在投入使用前开展信息安全风险自评估。

　　三、2016年度重要信息系统检查评估实施计划

　　2015年起，我市根据《管理办法》要求，对市级重要信息系统以抽查的方式开展信息安全风险检查评估。在去年抽查5家的基础上，今年我市还将抽查4～5家重要信息系统，开展检查评估；同时，对2015年已开展检查评估单位（名单见附件4）的整改情况进行监督检查。

　　四、规范开展信息安全风险评估活动

　　信息安全风险评估是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，从而最大限度地为保障网络和信息安全提供科学依据。网络与信息系统的拥有、运营、使用单位和主管部门要按照“谁主管谁负责，谁运营谁负责”的原则，切实负起严格管理的责任，并将开展信息安全风险评估工作制度化，定期组织实施自评估，积极配合有关部门开展检查评估；委托社会力量开展信息系统安全风险评估的，应当选择依法取得信息安全风险评估认证的信息安全服务机构；参与信息安全风险评估工作的单位及其有关人员均应遵守国家有关信息安全和保密的法律法规，并承担相应的责任和义务。

各辖市（区）要充分认识风险评估工作对于提高信息安全管理水平的重要意义，切实加强对风险评估工作的管理。各地信息安全主管部门可参照本通知要求，制定贯彻落实的办法，自行组织开展相关工作。

　　附件：

　　1、2015年市级政府投资信息化工程项目建设计划

　　2、2015年计划项目信息安全风险自评估情况反馈表

　　3、2016年市级政府投资信息化工程项目建设计划

　　4、2015年已开展检查评估单位名单

　　5、2016年度常州市信息安全风险自评估备案机构目录

　　（此页无正文）

常州市网络与信息安全协调小组

                     2016年2月24日

（联系人：戴国俊；联系电话：85681279）