保密單位應(yīng)當(dāng)定期對(duì)涉密信息系統(tǒng)、涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備進(jìn)行風(fēng)險(xiǎn)自評(píng)估，查找脆弱性和威脅，確定風(fēng)險(xiǎn)和隱患，及時(shí)采取整改措施，并報(bào)信息化管理部門(mén)和分管業(yè)務(wù)負(fù)責(zé)人。

1. 風(fēng)險(xiǎn)自評(píng)估是指單位信息化管理部門(mén)在保密工作機(jī)構(gòu)的指導(dǎo)下，根據(jù)設(shè)計(jì)報(bào)告和日常檢查情況，組織運(yùn)行維護(hù)機(jī)構(gòu)利用管理和技術(shù)手段，對(duì)涉密信息系統(tǒng)、涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備進(jìn)行的綜合安全分析和評(píng)估。

2. 風(fēng)險(xiǎn)自評(píng)估，絕密級(jí)信息系統(tǒng)和信息設(shè)備每半年一次，機(jī)密級(jí)或秘密級(jí)信息系統(tǒng)和信息設(shè)備每年一次。由國(guó)家保密行政管理部門(mén)設(shè)立或者授權(quán)的保密測(cè)評(píng)機(jī)構(gòu)組織或委托組織的測(cè)評(píng)或者風(fēng)險(xiǎn)評(píng)估，其出具的結(jié)論可視為自評(píng)估結(jié)論。

3. 風(fēng)險(xiǎn)自評(píng)估時(shí)，應(yīng)當(dāng)成立評(píng)估工作組，確定評(píng)估工作的人員和職責(zé)，明確評(píng)估的范圍、對(duì)象、方法、人員分工、應(yīng)用工具(包括評(píng)估過(guò)程中需要的各種軟硬件工具和記錄表格)、時(shí)間等內(nèi)容，形成評(píng)估方案和具體的實(shí)施計(jì)劃。評(píng)估過(guò)程中，應(yīng)當(dāng)對(duì)所使用的軟硬件工具進(jìn)行限制和控制，防止擴(kuò)大國(guó)家秘密的知悉范圍。

4.風(fēng)險(xiǎn)自評(píng)估如果委托保密行政管理部門(mén)設(shè)立或者授權(quán)的保密測(cè)評(píng)機(jī)構(gòu)進(jìn)行，評(píng)估前應(yīng)當(dāng)對(duì)涉密信息采取必要的保護(hù)措施，防止涉及國(guó)家秘密信息被非授權(quán)查看和獲取。評(píng)估過(guò)程中形成的記錄、文檔、數(shù)據(jù)、資料應(yīng)當(dāng)交由自評(píng)估單位保存，受委托進(jìn)行風(fēng)險(xiǎn)(自)評(píng)估的第三方機(jī)構(gòu)不得保留。

5. 運(yùn)行維護(hù)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)風(fēng)險(xiǎn)自評(píng)估的結(jié)果，形成風(fēng)險(xiǎn)自評(píng)估報(bào)告，進(jìn)行隱患漏洞和危害分析評(píng)估，針對(duì)隱患漏洞和風(fēng)險(xiǎn)，進(jìn)行來(lái)源和威脅分析，及時(shí)修改安全策略，并提出可行的管理和技術(shù)改進(jìn)措施建議。

6.風(fēng)險(xiǎn)自評(píng)估報(bào)告應(yīng)當(dāng)上報(bào)單位信息化管理部門(mén)以及單位分管業(yè)務(wù)負(fù)責(zé)人，信息化管理部門(mén)和單位分管業(yè)務(wù)負(fù)責(zé)人應(yīng)當(dāng)通過(guò)風(fēng)險(xiǎn)評(píng)估報(bào)告，了解和掌握單位信息系統(tǒng)、信息設(shè)備和存儲(chǔ)設(shè)備的安全風(fēng)險(xiǎn)情況，根據(jù)運(yùn)行維護(hù)機(jī)構(gòu)的建議決定整改方案，提供人力、財(cái)力、物力的支持，監(jiān)督整改落實(shí)，并留有文字記錄。運(yùn)行維護(hù)機(jī)構(gòu)應(yīng)當(dāng)依據(jù)方案盡快落實(shí)整改措施。

7.風(fēng)險(xiǎn)自評(píng)估過(guò)程中形成的各種記錄、文檔、資料和最終評(píng)估報(bào)告應(yīng)當(dāng)歸檔，妥善保管。