在涉密计算机日常管理工作中,信息化管理部门需要定期对涉密计算机进行风险自评估,查找存在的威胁,确定风险和隐患,并及时采取整改措施,对所确定的风险和隐患进行整改。风险评估的具体评估情况及整改情况,信息化管理部门要同步报送至保密办公室。
(1)进行风险自评估工作时,要根据不同密级的涉密计算机,按照对应要求的评估周期执行自评估工作。绝密级涉密计算机每半年一次,机密级或秘密级涉密计算机每年一次。如果选择由国家保密行政管理部门设立或者授权的保密测评机构组织或委托组织进行测评或者风险评估,其出具的结论可以视为自评估结论。
(2)进行风险自评估工作时,应当成立评估工作组,确定评估工作的人员和职责,并明确评估的范围、对象、方法、人员分工、应用工具(包括评估过程中需要的各种软硬件工具和记录表格)、时间等内容,Zui终形成评估方案和具体的实施计划。为评估工作做好充分的准备,以保障评估工作的可实施性。在实施评估的过程中,所有参与评估工作的人员需要对所使用的软硬件工具进行限制和控制,防止扩大国家秘密的知悉范围。
(3)自评估工作结束后,信息化管理部门应根据风险自评估的结果,形成《涉密计算机风险评估报告》,研究目前存在的隐患漏洞及其危害性,针对评估的隐患漏洞和风险,进行来源和威胁的分析,及时修改安全策略,并提出可行的管理和技术改进建议,以便后续实施整改。整改落实后应当填写《风险自评估整改记录表》,真正将评估和整改工作落到实处。
(4)风险自评估过程中形成的各种记录、文档、资料和Zui终评估报告要做好归档,妥善保存,以备后续追溯核查。
