第三方风险评估管理制度

1、总则

1.1、目的

为了规范XXXXX单位开展第三方信息安全风险评估的工作，特制定本制度。

1.2、范围

本制度适用于XXXXX单位开展第三方信息安全风险评估工作的过程管理。

1.3、职责

信息安全工作小组负责第三方信息安全风险评估工作的落实，信息安全领导小组负责第三方信息安全风险评估结果的审核。

2、管理细则

2.1、基本原则

1. 标准性原则

信息系统的安全风险评估，应按照GB/T 20984-2007中规定的评估流程进行实施，包括各阶段性的评估工作。

1. 关键业务原则

信息安全风险评估应以被评估组织的关键业务作为评估工作的核心，把涉及这些业务的相关网络与系统，包括基础网络、业务网络、应用基础平台、业务应用平台等作为评估的重点。

1. 可控性原则

在风险评估项目实施过程中，应严格按照标准的项目管理方法对服务过程、人员和工具等进行控制，以保证风险评估实施过程的可控和安全。

1. 服务可控性

评估方应事先在评估工作沟通会议中向用户介绍评估服务流程，明确需要得到被评估组织协作的工作内容，确保安全评估服务工作的顺利进行。

1. 人员与信息可控性

所有参与评估的人员应签署保密协议，以保证项目信息的安全；应对工作过程数据和结果数据严格管理，未经授权不得泄露给任何单位和个人。

1. 过程可控性

应按照项目管理要求，成立项目实施团队，项目组长负责制，达到项目过程的可控。

1. 工具可控性

安全评估人员所使用的评估工具应该事先通告用户，并在项目实施前获得用户的许可，包括产品本身、测试策略等。

1. 最小影响原则

对于在线业务系统的风险评估，应采用最小影响原则，即首要保障业务系统的稳定运行，而对于需要进行攻击性测试的工作内容，需与用户沟通并进行应急备份，同时选择避开业务的高峰时间进行。

2.2、风险评价的管理

2.2.1、评价机构的选择

对评估机构选择，不同安全等级应有选择地满足以下要求的一项：

1. 按资质和信誉选择：应选择有国家主管部门认可的安全服务资质且有良好信誉的评估机构进行信息系统风险评估；
2. 在上级认可的范围内选择：应在经过本行业主管部门认可或上级行政领导部门批准的选择范围内，确定有国家主管部门认可的安全服务资质且有良好信誉的评估机构，进行信息系统风险评估；
3. 组织专门的评估：应按照国家主管部门有关管理规定选择可信评估机构，必要时应由国家指定专门部门、专门机构组织进行信息系统风险评估。

2.2.2、评价机构保密要求

对评估机构的保密要求，不同安全等级应有选择地满足以下要求的一项：

1. 签署保密协议：评估机构人员应按照第三方人员管理要求，签署保密协议；
2. 专人监督检查：应有专人在整个评估过程中监督检查评估机构对保密协议的执行情况；
3. 制定具体办法：对专门评估组的保密要求应参照《中华人民共和国保守国家秘密法》的要求，结合实际情况制定具体实施办法。

2.2.3、评价信息的管理

对评估信息的管理，不同安全等级应有选择地满足以下要求的一项：

1. 规定交接手续：提交涉及评估需要的资料、数据等各种信息，应规定办理交接手续，防止丢失；
2. 替换敏感参数：提交涉及评估需要的资料、数据等各种信息，必要时可以隐藏或替换核心的或敏感的参数；
3. 不得带出指定区域：所有提交涉及评估需要的资料、数据等各种信息，只能存放在被评估方指定的计算机内，不得带出指定办公区域。

2.2.4、技术测试过程管理

新投入运行的信息系统或经过风险评估对安全机制有较大变动的信息系统应进行技术测试。对技术测试过程的管理，不同安全等级应有选择地满足以下要求的一项：

1. 必须经过授权：使用工具或手工进行技术测试，应事先提交测试的技术方案，并得到授权方可进行；
2. 在监督下进行：使用工具或手工进行技术测试，应在被测试方专人监督下按技术方案进行；
3. 由被评估方操作：使用工具或手工进行技术测试，可以采用由被评估方技术人员按技术方案进行操作，评估机构技术人员进行场外指导；
4. 过滤测试结果：使用工具或手工进行技术测试，应由被评估方技术人员按技术方案进行操作，对测试结果过滤敏感或涉及国家秘密信息后再交评估方分析。

3、附则

本管理制度由XXXXX单位负责解释，自发布之日起实施。