發改高技〔2008〕2071號

關於加強國家電子政務工程建設項目
信息安全風險評估工作的通知

中央和國家機關各部委，國務院各直屬機構、辦事機構、事業單位，各省、自治區、直轄市及計劃單列市、新疆生産建設兵團發展改革委、公安廳、保密局：
　　為了貫徹落實《國家信息化領導小組關於加強信息安全保障工作的意見》（中辦發〔2003〕27號），加強基礎信息網絡和重要信息系統安全保障，按照《國家電子政務工程建設項目管理暫行辦法》（國家發展和改革委員會令〔2007〕第55號）的有關規定，加強和規範國家電子政務工程建設項目信息安全風險評估工作，現就有關事項通知如下：
　　一、國家的電子政務網絡、重點業務信息系統、基礎信息庫以及相關支撐體系等國家電子政務工程建設項目（以下簡稱電子政務項目），應開展信息安全風險評估工作。
　　二、電子政務項目信息安全風險評估的主要內容包括：分析信息系統資産的重要程度，評估信息系統面臨的安全威脅、存在的脆弱性、已有的安全措施和殘余風險的影響等。
　　三、電子政務項目信息安全風險評估工作按照涉及國家秘密的信息系統（以下簡稱涉密信息系統）和非涉密信息系統兩部分組織開展。
　　四、涉密信息系統的信息安全風險評估應按照《涉及國家秘密的信息系統分級保護管理辦法》、《涉及國家秘密的信息系統審批管理規定》、《涉及國家秘密的信息系統分級保護測評指南》等國家有關保密規定和標準，進行系統測評並履行審批手續。
　　五、非涉密信息系統的信息安全風險評估應按照《信息安全等級保護管理辦法》、《信息系統安全等級保護定級指南》、《信息系統安全等級保護基本要求》、《信息系統安全等級保護實施指南》和《信息安全風險評估規範》等有關要求，可委託同一專業測評機構完成等級測評和風險評估工作，並形成等級測評報告和風險評估報告。等級測評報告參照公安部門制訂的格式編制，風險評估報告參考《國家電子政務工程建設項目非涉密信息系統信息安全風險評估報告格式》（見附件）編制。
　　六、電子政務項目涉密信息系統的信息安全風險評估，由國家保密局涉密信息系統安全保密測評中心承擔。非涉密信息系統的信息安全風險評估，由國家信息技術安全研究中心、中國信息安全測評中心、公安部信息安全等級保護評估中心等三家專業測評機構承擔。
　　七、項目建設單位應在項目建設任務完成後試運行期間，組織開展該項目的信息安全風險評估工作，並形成相關文檔，該文檔應作為項目驗收的重要內容。
　　八、項目建設單位向審批部門提出項目竣工驗收申請時，應提交該項目信息安全風險評估相關文檔。主要包括：《涉及國家秘密的信息系統使用許可證》和《涉及國家秘密的信息系統檢測評估報告》，非涉密信息系統安全保護等級備案證明，以及相應的安全等級測評報告和信息安全風險評估報告等。
　　九、電子政務項目信息安全風險評估經費計入該項目總投資。
　　十、電子政務項目投入運行後，項目建設單位應定期開展信息安全風險評估，檢驗信息系統對安全環境變化的適應性及安全措施的有效性，保障信息系統的安全可靠。
　　十一、中央和地方共建電子政務項目中的地方建設部分信息安全風險評估工作參照本通知執行。
　　　　　　　　　　　　　　　　　　　　　　　　　國家發展改革委
　　　　　　　　　　　　　　　　　　　　　　　　　　公 安 部
　　　　　　　　　　　　　　　　　　　　　　　　　國 家 保 密 局
　　　　　　　　　　　　　　　　　　　　　　　　二○○八年八月六日