重要信息系统应当至少每3年一次。要适时、有效开展风险评估，重要信息系统至少每三年一次。