明确评估目标。信息安全评估是按照信息安全法律法规和评估规范要求,运用科学方法和手段,系统地识别和分析互联网技术、业务或应用可能引发的信息安全风险,评估信息安全事件一旦发生可能造成的危害程度,评估企业配套的信息安全保障能力是否能够将风险控制在可接受的水平,从合法合规的角度提出有针对性的预防信息安全事件发生的管理对策和安全措施,为最大限度地保障互联网技术、业务或应用的信息安全提供科学支撑和管理依据。
建立管理体系。明确新技术新业务信息安全评估管理体系、支撑体系,其中,管理体系分为评估管理单位,评估责任单位,技术、业务或应用开发运营单位三级,支撑体系分为评估审核专家小组、专业测评机构两级。
完善评估流程。明确新技术新业务信息安全评估的三个阶段,即技术、业务或应用开发运营单位编制评估报告,评估责任单位进行评估审查,评估管理单位组织专家小组进行评估审核。其中,评估审查是评估审核的前提条件。
规范评估标准。明确新技术新业务评估需按照工信部、集团评估标准进行,重点对信息内容安全、业务系统安全、数据安全和企业安全保障能力四方面进行评估。各类新技术新业务新应用在规划、立项、实施、上线、运营等环节,均应按照本评估标准要求,做好相应的安全防范工作。
强化监督检查。明确新业务新技术必须经过信息安全评估,确保其应用或运行安全后,方可上线运行,对评估中不符合评估要求的、存在信息安全隐患的、已造成一定后果的,需立即整改。