第一篇:信息安全等級保護工作簡報第2期
信息安全等級保護工作
簡報
第(2)期
國家信息安全等級保護工作協調小組辦公室2007年8月8日
公安部舉辦中央和國家機關重要信息系統
安全等級保護定級工作培訓班
為貫徹落實公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室聯合印發的《信息安全等級保護管理辦法》(公通字[2007]43號)和《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號)文件精神,按照7月20日召開的“全國重要信息系統安全等級保護定級工作電視電話會議”要求,公安部于7月31日在北京舉辦了中央和國家機關重要 — 1 —
信息系統安全等級保護定級工作培訓班。在京的中央和國家機關各部委、國務院各直屬機構、辦事機構、事業單位(共93家單位)有關同志共計150余人參加了此次培訓。
國家網絡與信息安全信息通報中心趙林副主任代表公安部公共信息網絡安全監察局對定級工作提出了明確要求,強調了開展定級工作的重要性和緊迫性,并對定級工作中的關鍵問題和重要環節進行了說明。公安部公共信息網絡安全監察局信息安全等級保護工作指導處郭啟全處長就開展信息安全等級保護工作的政策規范、方法、流程進行了深入、詳盡的講解。公安部信息安全等級保護評估中心同志對等級保護有關技術標準進行了詳細介紹。此次培訓的主要內容有以下幾個方面:
一、強調了開展信息安全等級保護工作的意義
信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法,開展信息安全等級保護工作是促進信息化發展,維護國家信息安全的根本保障。信息安全等級保護是當今發達國家保護關鍵信息基礎設施安全,從而保障信息安全的通行做法,也是我國多年來信息安全工作的經驗總結。開展信息安全等級保護工作,就是要解決我國信息安全面臨的威脅和存在的主要問題,實行國家對重要信息系統進行重點安全保障的重大措施,有效體現“適度安全、保護重點”的目的,將有限的財力、物力、人力投入到重要信息系統安全保護中,按標準建設安全保護措施,建立安全保護制度,落實安全責任,加強監督檢查,有效提高我國 — 2 —
信息和信息系統安全建設的整體水平。
建立信息安全等級保護制度,開展信息安全等級保護工作,有利于在信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協調;有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務;有利于優化信息安全資源的配置,重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全;有利于明確國家、法人和其他組織、公民的信息安全責任,加強信息安全管理;有利于推動信息安全產業的發展,逐步探索出一條適應社會主義市場經濟發展的信息安全模式,切實增強各地區、各行業、各部門落實國家信息安全等級保護制度的責任感、使命感、緊迫感,明確責任分工,密切配合,把信息安全保障工作抓緊、抓實、抓好。
二、明確了重要信息系統安全等級保護定級工作的要求 各單位、各部門按照《關于開展全國重要信息系統安全等級保護定級工作的通知》的要求,重要信息系統安全等級保護定級工作可以一次全面部署,分階段實施,也可以分階段部署,分階段實施。電信、廣電、鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、國防、勞動和社會保障、財政、審計、商務、商務、國土資源、能源、交通、建設、文化、衛生、教育、統計、工商行政管理、質檢、食品藥品監督、安全監管、環保、新聞出版、郵政等行業、部門以及國有骨干企業的基礎信息網絡和生產、調度、管理等重要信息系統的定級、備案工作須在2007 — 3 —
年9月底前完成。上述行業、部門的辦公用重要信息系統,其他單位、部門的重要信息系統,經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統,市(地)級以上黨政機關的重要網站和辦公信息系統的定級備案工作可以放在第二階段開展,2007年10月底前完成。各地區、各部門要結合本地區、本行業開展定級工作的實際,認真總結經驗和不足,提出改進和完善定級方法的意見和建議,及時總結定級工作經驗,形成定級工作總結報告,并于10月中旬報送公安部。涉密信息系統定級工作總結報告向國家保密局報送。
三、闡述了開展定級工作的主要環節
第一,摸底調查,掌握信息系統底數。各單位、各部門可以組織開展對所屬信息系統(包括信息網絡)進行摸底調查,摸清信息系統底數;掌握信息系統的業務類型、應用或服務范圍、系統結構等基本情況,為下一步明確要求、落實責任奠定基礎。
第二,合理確定定級對象。科學、合理地確定定級對象是定級工作的關鍵。起傳輸作用的基礎網絡要作為單獨的定級對象。應用系統應按照業務類別不同單獨確定為定級對象,不以系統是否進行數據交換、是否獨享設備為確定定級對象條件。
第三,確定信息系統安全保護等級。定級是信息安全等級保護工作的首要環節,是開展信息系統安全建設、等級測評、監督檢查等工作的重要基礎。信息系統的安全保護等級是信息系統的客觀屬性,不以已采取或將采取的安全保護措施為依據,而是以 — 4 —
信息系統的重要性和信息系統遭到破壞后對國家安全、社會秩序和公共利益、人民群眾合法權益的危害程度為依據,確定信息系統的安全保護等級,既要防止個別單位片面追求絕對安全而定級過高,也要防止為了逃避監管定級偏低。信息網絡的安全等級可以參照在其上運行的信息系統的等級、網絡的服務范圍和自身的安全需求確定適當的保護等級,不以在其上運行的信息系統的最高等級或最低等級為標準。
跨省或者全國統一聯網運行的信息系統,可以由主管部門統一確定安全保護等級。由各行業統一規劃、統一建設、統一安全保護策略的信息系統,應由各部委統一確定一個級別;由各部委統一規劃、分級建設、運行的信息系統,應由部、省、地市分別確定系統等級,但各行業應對該類系統提出定級意見,避免出現同類系統定級出現較大偏差問題。
第四,專家評審和主管部門審批。運營使用單位或主管部門在確定系統安全保護等級后,可以聘請專家進行評審。除四級以上由國家信息安全保護等級專家評審委評審外,其余請各地自行組織成立專家組進行評審。當專家意見與運營使用單位意見不一致時,以運營使用單位和主管部門意見為主。主管部門對其主管的運營使用單位定級進行審核把關。主管部門一般是指行業的上級主管部門、監管部門或其派出機構。如果是跨地域聯網運營使用的信息系統,則必須由其上級主管部門審批,確保同類系統或分支系統在各地域分別定級的一致性。
第五,備案。隸屬于中央的在京單位,其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統,由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統,應當向當地設區的市級以上公安機關備案。隸屬于中央的不在京的單位,按照備案要求由定級單位向當地省級公安機關(或省級公安機關指定的單位)備案。備案單位到公安部網站()下載備案工具,填寫備案表,生成備案電子數據,到公安機關辦理備案手續。其中,第二級信息系統的備案單位只需填寫備案表中的表
一、表二和表三。
第六,備案審核。受理備案的公安機關要及時公布備案受理地點、備案聯系方式等,對備案材料進行完整性審核和定級準確性審核。對符合等級保護要求的,頒發信息系統安全等級保護備案證明。
報:國家信息安全等級保護工作協調小組組長。
送:外交部、國家發展和改革委員會、教育部、科學技術部、國防科學技術工業委員會、國家
安全部、財政部、人事部、勞動和社會保障部、國土資源部、建設部、鐵道部、交通部、信息產業部、商務部、中國人民銀行、審計署、國務院國有資產監督委員會、海關總署、國家稅務總局、國家工商行政管理總局、國家質量監督檢驗檢疫總局、國家環境保護總局、中國民用航空總局、國家廣播電影電視總局、國家新聞出版總署、國家統計局、中國科學院、中國銀行業監督管理委員會、中國證券監督管理委員會、中國保險監督管理委員會、國家電力監管委員會、國家郵政總局辦公廳,國務院新聞辦公室、中央610辦公室秘書局,國家保密局、國家密碼管理局、國務院信息化工作辦公室,北京奧組委技術部。
發:各省、自治區、直轄市公安廳(局)公共信息網絡安全監察總隊(處)、信息化領導小組辦
公室,新疆生產建設兵團公安局公共信息網絡安全監察、處信息化領導小組辦公室。
(共印930份,存檔5份)
審批:趙林核稿:郭啟全編校:范春玲— 7 —
第二篇:信息安全等級保護工作簡報第36期
信息安全等級保護工作簡報
(第36期)
來自:國家信息安全等級保護工作協調小組辦公室 時間:2008-01-23
廣東省出臺地方法規實現信息安全等級保護工作
法制化
為加強和規范信息安全等級保護工作,2007
年12月20日廣東省第十屆人民代表大會常務委員會第三十六次會議通過了《廣東省計算機信息統安全保護條例》(以下簡稱《條例》),并將于2008年4月1日正式實施。該《條例》的出臺,全面實現了廣東省信息安全等級保護工作的法制化,為下一步深入貫徹落實國家信息安全等級保護制度奠定了堅實基礎。
一、工作過程
隨著信息安全等級保護工作的全面實施,廣東省公安廳將《條例》的制定出臺工作提上日程。廣東省公安廳網警總隊組織專門人員起草了《條例》(征求意見稿)和長達5萬多字的立法指引,并廣泛征求了各市公安網監部門以及省直16個單位意見建議,廣東省委常委、公安廳廳長梁偉發同志多次關心立法進展,何廣平副廳長也多次參與研究討論,在此基礎上形成了送審稿報廣東省政府。廣東省政府法制辦在審查核過程中,在互聯網上公開征求了意見,并根據各單位的意見作了進一步的修改后報廣東省人大。在廣東省人大法工委主任的牽頭組織下,省人大法工委、內司委和省政府法制辦、公安廳落實專門人員逐條進行修訂,最終經廣東省人大常委會委員投票,獲全票通過。
二、《條例》規定的主要內容
《條例》共46條,分為總則、安全管理、安全秩序、安全監督、法律責任、附則等六章。《條例》根據《中華人民共和國計算機信息系統安全保護條例》的有關規定,吸收了《關于印發<關于信息安全等級保護工作的實施意見>的通知》(公通字[2004]66號)和《信息安全等保護管理辦法》(公通字[2007]43號)的核心內容,將國家四部委的規范性文件轉化為地方法規予以強制施行,為開展信息安全等級保護工作的提供了依據和保障。
(一)明確了信息系統建設完成后須經等級測評合格才可投入使用。《條例》第十二條規定了第二級以上計算機信息系統建設完成后,運營使用單位或者其主管部門應當選擇符合國家規定的安全等級測評機構,依據國家規定的技術標準,對計算機信息系統安全等級狀況開展等級測評,測評合格后方可投入使用。
(二)規定了信息系統的運營使用單位應當建立的安全管理制度和措施。《條例》第十條、第十一條規定計算機信息系統的運營使用單位應當建立、健全計算機信息系統安全管理制度,確定安全管理責任人。第二級以上計算機信息系統的運營使用單位應當建立安全保護組織,并報地級以上市人民政府公安機關備案。同時,《條例》第十八條規定第二級以上計算機信息系統應當建立并落實的9項安全管理制度,包括計算機機房安全管理制度、安全責任制度、網絡安全漏洞檢測和系統升級制度、系統安全風險管理和應急處置制度、操作權限管理制度、用戶登記制度、重要設備、介質管理制度、信息發布審查、登記、保存、清除和備份制度、信息群發服務管理制度,并在第十九條規定了相應的安全保護技術措施。
(三)明確了突發事件應急處置制度。《條例》第十六條、第十七條、第三十四條規定了計算機信息系統運營使用單位的報告義務、預案制定義務、協作義務以及公安機關的應急處置職權,即對計算機信息系統中發生的案件和重大安全事故,計算機信息系統的運營使用單位應當在二十四小時內報告縣級以上人民政府公安機關,并保留有關原始記錄。第二級以上計算機信息系統發生重大突發事件,有關單位應當按照應急處置預案的要求采取相應的處置措施,并服從公安機關和國家指定的專門部門的調度。地級市以上人民政府公安機關、國家安全機關為保護計算機信息系統安全,在發生重大突發事件,危及國家安全、公共安全及社會穩定的緊急情況下,可以采取二十四小時內暫時停機、暫停聯網、備份數據等措施。
(四)《條例》規范了安全服務行業的管理。《條例》規定公安機關加強對計算機信息系統安全服務機構的指導,推動安全服務質量和技術水平的提高。鑒于信息安全產品的雙刃劍作用,《條例》第三十條確立對病毒防治、遠程控制、密碼猜解、漏洞檢測、信息群發等技術產品和工具的生產、銷售和提供等行為實施備案制度,便于掌握相關情況,確保信息系統安全。同時,為加強對信息安全工作人員的管理,《條例》第三十七條規定了地級市以上人民政府公安機關和人事部門應當組織計算機信息系統的運營使用單位的安全保護組織成員、管理責任人、信息審查員參加信息安全專業技術培訓。
(五)《條例》規定了明確的法律責任。《條例》第四十條、第四十二條、第四十三條對違反計算機信息系統安全保護規定的行為明確了相應的法律責任,對計算機信息系統運營使用單位違反信息安全等級保護相關要求,如系統投入使用前未經符合國家規定的安全等級測評機構測評合格的,未履行備案義務,未建立安全保護組織,未落實安全措施,在突發事件處置中不服從調度指揮的,公安機關可處以警告、罰款、停機整頓等處罰,為信息安全等級保護工作的推進提供了強有力的法律武器。
第三篇:信息安全等級保護工作簡報第32期
信息安全等級保護工作簡報
(第32期)
來自:國家信息安全等級保護工作協調小組辦公室時間:2007-12-20
北京奧運網絡與信息系統安全等級保護工作快速推進
隨著北京奧運會的臨近,有效保護奧運會網絡與信息系統安全的重要性、緊迫性日益凸顯,奧運網絡與信息系統的安全已成為北京奧運會能否順利舉辦的關鍵問題之一。為此,北京奧組委信息網絡安全委員會和技術部高度重視奧運網絡與信息系統安全等級保護工作,積極行動,認真協調,快速有效地推進等級保護各項工作的開展,為全面提高奧運會網絡與信息系統的安全保護能力發揮出了重要的作用。目前,北京奧運網絡與信息系統的定級、備案、安全等級技術測評工作已經完成,目前正在根據測評情況全面開展安全建設整改工作。
一、高度重視,認真部署
7月20日“全國重要信息系統安全等級保護定級工作電視電話
會議”后,北京奧組委技術部在國家信息安全等級保護工作協調小組辦公室的指導下,會同北京市公安局網監處、公安部信息安全等級保護評估中心、奧運網絡與信息系統承建運營方等部門共同研究開展奧運網絡與信息系統安全等級保護定級工作。為便于奧運網絡與信息系統定級工作的快速推進,國家信息安全等級保護工作協調小組辦公室、奧組委技術部、北京市公安局、公安部信息安全等級保護評估中心聯合成立了工作組,制定工作方案,組織協調奧運網絡與信息系統等級保護各項工作的開展。
二、認真開展基礎調查,確定定級對象
北京奧組委技術部會同有關部門,認真梳理奧運網絡與信息系統,專門聽取了搜狐公司、奧組委票務中心、北京網通等承建運營方的詳細介紹,對奧運主要網絡和信息系統的種類、規模、承載主要業務、應用范圍、責任部門等情況進行了詳細的摸底調查,深入了解了奧運辦公外網、奧運辦公內網、票務網站和票務管理系統、奧運官方網站等基本情況。在此基礎上,依據《信息安全等級保護管理辦法》以及相關配套技術標準,確定了等級保護定級對象。
三、認真研究,合理確定信息系統安全保護等級
奧組委技術部根據奧運辦公外網、奧運辦公內網、票務網站和票務管理系統、奧運官方網站的重要性,以及其損害后對北京奧運會的危害性,初步確定了系統的安全保護等級。為確保定級準確,奧組委技術部邀請沈昌祥院士等專家對奧運網絡和信息系統所定等級進行了評審,并對奧運所有網絡和信息系統進行了全面梳理。奧組委技術部根據專家意見,最終科學、合理確定了各系統的安全保護等級。奧運網絡與信息系統安全保護等級確定后,奧組委技術部組織奧運網絡與信息系統運營使用相關單位按照《信息安全等級保護管理辦法》關于定級備案的規定和要求,及時向北京市公安局完成了備案工作。
四、開展等級技術測評,認真落實整改措施
定級備案工作完成后,為全面掌握奧運網絡與信息系統的安全保護狀況,以及其符合信息系統安全保護等級基本要求的情況,2007年11月份,奧組委技術部聘請公安部信息安全等級保護評估中心,依據信息系統的等級保護基本要求及奧組委信息系統的特殊安全需求,對北京奧組委官方網站、辦公內網和辦公外網進行了安全等級技術測評。測評內容涵蓋物理安全、網絡安全、主機系統安全、應用系統安全、數據安全等多個層面。公安部信息安全等級保護評估中心根據測評情況,及時出具了測評報告。目前,奧組委技
術部針對測評發現的安全隱患和問題,制定了詳細的整改計劃,正在組織有關部門對奧運網絡和信息系統開展安全建設、整改,落實安全責任,建設安全設施、落實安全措施和安全管理制度,全力保障奧運網絡與信息系統安全。
第四篇:信息安全等級保護工作簡報第74期
信息安全等級保護工作
簡
報
第(74)期 國家信息安全等級保護工作協調小組辦公室
2009年12月25日
國家信息安全等級保護安全建設指導
專家委員會在京成立
為確保信息安全等級保護安全建設整改工作順利開展,加強對重要信息系統運營使用單位及其主管部門的政策和技術指導,公安部于近期成立了國家信息安全等級保護安全建設指導專家委員會(以下簡稱“專家委”),充分發揮社會資源優勢,共同推動等級保護安全建設整改工作。
一、聘請了專家委的主任和委員。信息安全等級保護安全建設整改工作是一項長期的系統工程,需要有國家政策和標準的指引、— 1 — 行業主管部門的重視和實施、專家和信息安全企業的服務與支持,為使專家委成員能夠覆蓋到等級保護安全建設整改工作的各個領域,更好的為重要行業、重要部門提供政策和技術指導,經認真研究及專家所在單位推薦,聘請沈昌祥院士擔任專家委主任,聘請方濱興院士擔任專家委副主任,并從科研院所、行業主管部門和信息安全企業聘請了28位具有豐富信息安全等級保護工作經驗的同志為專家委委員(專家委名單附后)。
二、明確了專家委的主要職責。一是配合公安部宣傳信息安全等級保護安全建設相關政策,根據等級保護安全建設總體部署,指導備案單位研究擬定信息安全等級保護安全建設的貫徹實施意見和建設規劃;二是宣傳國家信息安全等級保護安全建設相關技術標準,并結合行業特點,研究、指導備案單位等級保護安全建設相關技術標準的行業應用,指導備案單位研究擬定行業技術標準規范;三是參與備案單位信息安全等級保護安全建設整改方案的論證、評審,指導備案單位信息安全等級保護安全建設工作;四是了解掌握并研究探索行業開展信息安全等級保護安全建設工作中安全管理、安全技術和工程建設、工程管理等最佳實踐,總結成功經驗,樹立典型并提出推廣意見;五是跟蹤國內外信息安全技術最新發展,組織和引導信息安全研究機構和企業開展信息安全等級保護共性技術和關鍵技術專題研究,推動等級保護技術研究工作,促進信息安全產業發展;六是研究提出完善國家信息安全等級保護政策體系和技術體
— 2 — 系的意見和建議。
三、召開了專家委成立大會。12月22日,公安部網絡安全保衛局在北京召開了專家委成立大會。會上,公安部網絡安全保衛局趙林副局長高度贊揚了專家在等級保護制度貫徹落實過程中發揮的重要作用,宣布了專家委成員名單和主要職責,顧建國局長為專家發放了聘書,并作了總結講話。沈院士、方院士、崔書昆委員、周德銘委員、李京春委員等5位專家結合自身的工作情況和切身感受,簡要回顧了十幾年來等級保護工作的發展歷程,充分肯定了等級保護工作取得的顯著成效,沈院士還專門概括等級保護工作很重要、很正確、很緊迫。專家們表示,在國家信息安全等級保護工作協調小組的領導下,在公安部的具體組織和指導下,各單位、各部門高度重視,堅決貫徹落實等級保護制度要求,等級保護工作取得了令人矚目的成績,目前已經基本形成了等級保護制度的政策體系和標準體系,下一階段,要在等級保護定級備案工作的基礎上,充分發揮專家作用,全力配合公安部工作,為重要行業、重要部門開展等級保護安全建設整改工作做好技術支持和服務。
趙林副局長在會上表示,自等級保護工作開展以來,以沈院士為代表的一大批在我國享有盛譽的信息安全專家,以高度的政治責任感和大局意識,以高度負責的態度,以高超精湛的技術素養和豐富的專業知識,勇于探索,扎實工作,無私奉獻,團結協作,積極為等級保護制度的制定和實施獻計獻策,為我國信息安全等級保護政策和標準制定、技術研發、產業發展以及重要信息系統等級保護
— 3 — 定級、測評、安全建設等工作付出了心血,為建立具有我國特色的信息安全等級保護制度發揮了極其重要的作用,為等級保護制度的貫徹落實和工作的深入推進奠定了堅實的基礎,為國家信息安全保障事業作出了重要貢獻。等級保護安全建設整改工作是當前和今后一個時期等級保護工作的一項主要任務,相信有各位專家的大力支持,有各行各業的共同努力,我國的信息安全等級保護工作目標一定能夠實現,我國的信息安全保障水平一定能夠再上一個新臺階。
顧建國局長總結了信息安全等級保護工作的開展情況,充分肯定了專家在等級保護工作做出的貢獻,并對今后的工作提出了要求。他指出,成立專家委是推進國家信息安全等級保護事業的需要。國家實施信息安全等級保護是一項偉大的、浩大的工程,需要一批實干的、有影響力的、高水平的專家來帶領和指導這項事業不斷地往前推進。等級保護既是他山之石又有更多的中國特色,是走前人沒有走過的路,是一項新的事業,有許多工作需要探索。這次成立由沈院士和方院士領銜的專家委,水平很高,是把等級保護工作不斷推向前進的可靠保障。成立專家委是公安部推進信息安全等級保護工作的需要。等級保護工作這是一個歷史造成的任務,公安部作為信息安全等級保護工作的牽頭部門,近年來投入了很多人力物力,在各位專家、各部門的大力支持下,這項工作取得了初步成效。但這項工作只靠公安部自身的能力是承擔不好的,迫切希望各位專家的指導和幫助。各位專家的背景不同,在各自實際工作領域更有發言權和權威性,有利于我們解決各行各業在落實等級保護制度中遇
— 4 — 到的困難和問題,推動等級保護工作不斷前進。對于下一步專家的工作,顧局長提出了三點希望:一是希望各位專家要多多參與,多出成效,使得等級保護工作不斷推進;二是希望各位專家多提意見,多出主意,建立溝通渠道和機制,推動公安部各項工作的開展;三是希望各位專家加強學習,加強交流,不斷掌握新情況,研究新問題,適應新形勢,為推進等級保護工作做出更大貢獻。
國家信息安全等級保護安全建設指導
主 任:沈昌祥 副主任:方濱興
委 員:崔書昆 王立福 袁文恭 王
娜 郭全明 張瑞芝 劉祖瀧 李建彬 李宏圖 閆宏強 周德銘 劉長虹 專家委員會專家名單
海軍計算技術研究所
院士
北京郵電大學校長
院士
解放軍信息安全測評認證中心研究員 北京大學教授
國家信息安全工程技術研究中心研究員 國家發展和改革委員會高技術司處長 人民銀行科技司處長
國家廣播電影電視總局安調中心副總工程師 鐵道部信息辦處長
國家稅務總局電子稅務管理中心副處長 海關總署科技發展司副處長 工業與信息化部通信保障局副處長 國家審計署信息辦主任
國有資產監督管理委員會信息辦副主任
王連印
國家質量監督檢驗檢疫總局信息中心副主任 馬曉東
公安部科技與信息化局總工程師 王才有
衛生部統計信息中心副主任 蔡
陽
水利部水利信息中心副主任 顧炳中
栗演兵
王繼業
羅
凱
朱建平
李京春
王
軍
顧
健
陳建民
劉科全
趙呈東
孫
鐵
國土資源部信息中心總工程師 民政部信息中心總工程師 國家電網公司信息化工作部 副主任 中國證券監督管理委員會信息中心總工程師 公安部信息安全等級保護評估中心副主任 國家信息技術安全研究中心 總工程師 中國信息安全測評中心總工程師 公安部信息安全產品檢測中心副主任 計算機病毒防治產品檢驗中心副主任 聯想網御科技(北京)有限公司總裁 北京啟明星辰信息技術有限公司總監 北京神州綠盟科技有限公司 技術顧問
報:國家信息安全等級保護工作協調小組組長。
送:外交部、國家發展和改革委員會、教育部、科學技術部、工業和信息化部、國家民族事務委員會、國家安全部、民政部、司法部、財政部、人力資源和社會保障部、國土資源部、環境保護部、住房和城鄉建設部、交通運輸部、鐵道部、水利部、農業部、商務部、文化部、衛生部、中國人民銀行、審計署、海關總署、國家新聞出版總署、國家稅務總局、國家工商行政管理總局、國家質量監督檢驗檢疫總局、國家廣播電影電視總局、中國民用航空總局、國家郵政總局、國家體育總局、國家安全生產監督管理總局、國家統計局、國家林業局、國家食品藥品監督管理局、中國氣象局、中國地震局、國家信訪局、國家糧食局、國家煙草專賣局、國家海洋局、國家測繪局、國家機關事務管理局、國家檔案局、國家外國專家局、國務院國有資產監督委員會、中國銀行業監督管理委員會、中國證券監督管理委員會、中國保險監督管理委員會、國家電力監管委員會、最高人民法院、最高人民檢察院、新華通訊社、中國科學院、中國社會科學院、中國工程院辦公廳,國務院法制辦公室、國務院新聞辦公室、中央610辦公室秘書局,國家保密局、國家密碼管理局。
發:各省、自治區、直轄市公安廳(局)公共信息網絡安全監察總隊(處)、信息化領導小組辦公室,新疆生產建設兵團公安局公共信息網絡安全監察處、信息化領導小組辦公室。
(共印1000份,存檔5份)
審批:趙
林
核稿:郭啟全
編校:祝國邦
第五篇:信息安全等級保護工作簡報第33期
信息安全等級保護工作簡報
(第33期)
來自:國家信息安全等級保護工作協調小組辦公室 時間:2008-01-04
全國重要信息系統安全等級保護定級工作取得
重大成效
為了保障黨的“十七大”勝利召開和北京奧運會的順利舉辦,按照《國家網絡與信息安全協調小組關于確保黨的十七大信息安全的意見》和《國家網絡與信息安全協調小組2007年工作要點》安排,公安部會同國家保密局、國家密碼管理局、國務院信息辦于2007年7月份開始,在全國范圍內部署開展了重要信息系統安全等級保護定級工作(以下簡稱“定級工作”)。幾個月來,各級公安、保密、密碼、信息辦密切配合,周密部署,廣泛宣傳,加強指導,各重要信息系統運營使用單位及其主管部門認真組織,積極落實,定級備案工作取得重大成效,基本完成了全國重要信息系統的定級工作任務。
一、定級工作明確重點、突出重點,有力地推動了國家信息安全保障工作
此次定級的范圍和對象主要是電信、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡;涉及國計民生的重要行業中生產、調度、指揮、控制、管理、辦公等重要信息系統;國有大型骨干企業的重要信息系統;市(地)級以上黨政機關的重要網站、管理系統和辦公系統;涉及國家秘密的信息系統。定級工作覆蓋了國家重要領域、重要部門,明確了重點、突出了重點。絕大多數備案信息系統定級準確、備案及時,為深入開展信息安全等級保護工作,全面落實《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號),提高國家基礎網絡和重要信息系統安全保護能力奠定了堅實基礎。
二、各地區、各部門高度重視,狠抓落實
(一)及時成立等級保護工作領導機構,為定級工作的順利開展提供了組織保證。2007年7月20日,公安部、國家保密局、國家密碼管理局和國務院信息辦組織召開“全國重要信息系統安全等級保護定級工作電視電話會議”后,各級黨委政府和主要領導高度重視,迅速作出了明確批示或指示。各省(區、市)和各部(委、局)根據全國定級工作電視電話會議和四部委通知精神,結合本地區、本行業實際,研究制定下發定級工作指導意見或實施方案。人民銀行、鐵道部、海關總署、電監會、水利部、信息產業部、廣電總局、稅務總局、證監會等50多個部(委、局)專門成立了由主要領導掛帥的等級保護領導(協調)機構,確定責任部門,召開全系統會議,部署定級工作,為定級工作的順利開展提供了組織保證。各省(區、市)或專門成立了由主要領導掛帥的等級保護領導(協調)機構,或由網絡與信息安全協調小組領導開展定級工作,并落實了由公安機關牽頭,保密部門、密碼部門、信息辦參加的等級保護工作辦公室。
(二)各地區、各部門認真貫徹定級工作會議和通知精神,認真抓好落實。各省(區、市)和各部(委、局)根據全國定級工作電視電話會議和四部委通知精神,結合本地區、本行業實際,研究制定下發定級工作指導意見或實施方案,確定技術支持單位,組建專家組,認真開展定級工作。鐵道部、人民銀行、海關總署、國稅總局、證監會、電監會、國防科工委、民航總局、農業部、商務部、國家統計局、質檢總局、水利部、文化部、科技部、國家體育總局、國資委、國家民委、國土資源部、國家地震局、國家海洋局、國家外匯管理局、中國進出口銀行等40多個部(委、局)以及國家電網公司、中石油集團、中石化集團、中材集團、建筑設計院等中央骨干企業還召開了專門會議,部署定級工作或開展集中培訓。通過培訓,各單位、各部門準確理解等級保護政策和標準,定級工作趨于規范化。人民銀行、勞動和社會保障部、國家體育總局、水利部、發改委、商務部、衛生部、證監會、新華社等30多個部(委、局)請專家對定級系統進行了評審。通過開展定級工作,各單位、各部門提高了對國家信息安全保障工作重要性的認識,加深了對信息安全等級保護制度的理解,同時,培養和鍛煉了信息安全隊伍。
三、各級公安、保密、密碼、信息辦密切配合,認真組織,確保定級工作順利實施
公安機關與保密部門、密碼部門、信息辦密切配合,按照全國重要信息系統安全等級保護定級工作電視電話會議精神和部署,積極組織各行各業開展定級工作。主要措施是:
(一)及時舉辦了定級工作培訓班。2007年7月31日,公安部在北京舉辦了為期一天的中央和國家機關定級工作培訓班。在京的中央和國家機關各部委、國務院各直屬機構、辦事機構、事業單位共93家單位150余人參加了培訓。各省(區、市)公安機關也舉辦了相關部門參加的培訓班,重點就開展定級工作的政策、內容、要求以及相關技術進行了培訓。
(二)召開了全國公安機關信息安全等級保護工作會議。2007年8月2日至3日,公安部在黑龍江召開了全國各省(區、市)、計劃單列市和副省級以上城市公安機關網監部門的分管領導和業務骨干共120余人參加的信息安全等級保護工作會議,對全國公安機關牽頭組織開展信息安全等級保護工作進行了全面部署。各省(區、市)公安機關也按照公安部的部署,及時召開了公安機關信息安全等級保護工作會議,對本省(區、市)公安機關牽頭組織開展信息安全等級保護工作進行了部署。
(三)開展了對信息系統主管部門和運營使用單位定級工作的監督、檢查和指導。一是組織召開了十部委定級工作匯報交流會。2007年9月18日,公安部召集信息產業部、廣電總局、鐵道部、人民銀行、海關總署、國稅總局、民航總局、證監會、電監會、保監會等十家基礎信息網絡和重要信息系統主管部門的有關處長召開了定級工作匯報交流會,聽取了十部委定級工作部署開展情況的工作匯報和工作建議,交流了定級工作經驗和體會,并就加快開展定級工作提出了明確要求。二是加強對有關部門定級工作的指導和支持。從2007年9月24日開始到現在,公安部會同有關專家,對國家工商總局、國土資源部、教育部、衛生部、勞動與社會保障部、交通部、廣電總局、鐵道部、人民銀行、海關總署、國稅總局、民航總局、證監會、電監會、保監會、科技部、財政部、外交部、人事部、氣象局等20多個部委的定級工作進行上門指導和調研,各地公安機關也同步開展上門指導工作,進行政策解讀,協助解決工作中存在的問題,推動了所到單位定級工作的開展。三是配合有關部門開展定級工作培訓。截至目前,公安部應邀參加了鐵道部、人民銀行、海關總署、國稅總局、證監會、電監會、國防科工委、民航總局、農業部、商務部、國家統計局、質檢總局、水利部、文化部、科技部、國家體育總局、國資委、國家民委、國土資源部、國家地震局、國家海洋局、國家外匯管理局、中國進出口銀行等40多個部(委、局)以及國家電網公司、中石油集團、中石化集團、中材集團、建筑設計院等中央骨干企業的定級培訓班,直接為培訓人員講解有關政策和標準,為有關部門的定級工作提供支持。各地公安機關也為本地相關部門組織的培訓班提供了指導和幫助。四是及時反映各地區、各部門的工作進展,加強工作經驗交流。為及時反映、交流各地區、各部門開展定級工作的做法和經驗,公安部以國家信息安全等級保護工作協調小組辦公室名義編發了《信息安全等級保護工作簡報》30多期,發各部委、奧組委和全國公安網監部門、信息辦,強化了對定級工作的指導。
(四)及時出臺備案、監督檢查等工作規范,使定級備案、監督檢查工作法制化。各級公安機關精心組織受理備案和備案材料的審核工作,嚴格把關。公安部及時出臺《信息安全等級保護備案實施細則》,確保了定級備案工作的順利進行,正在研究制定《公安機關信息安全等級保護監督檢查規范》,為下一步開展監督檢查工作打下良好基礎。
四、分析定級備案數據,進一步明確等級保護工作重點
全國重要信息系統定級工作是等級保護工作的首要環節和關鍵環節,這項工作的基本完成,標志著我國信息安全保障工作步入科學化、規范化、標準化階段,對我國信息安全保障工作將會起到巨大的推動作用。根據此次定級備案的情況,對反映出的國家信息安全狀況作初步分析:
(一)高依賴度的信息系統所占比例大、數量多,反映出我國信息化發展迅猛,社會進步、經濟發展對重要信息系統具有強依賴性。根據備案數據統計,銀行、鐵路、民航、稅務、海關、電力、證券等重要領域的生產、調度、管理、控制、指揮等重要業務完全依賴或較強依賴的信息系統占備案總數的較大比例。說明這些重要業務均已實現了信息化,并對信息系統具有很強的依賴性,這些系統一旦癱瘓,重要領域、部門的生產、調度、辦公等重要業務工作將完全停頓或受到嚴重影響。因此,在定級備案后,各部門、各單位應及時按標準開展安全建設整改和等級測評工作,解決隨時可能發生的安全事件和事故,堵塞漏洞和安全隱患。
(二)重要信息系統集中在廣電、銀行等重要行業,需要盡快落實安全措施重點保護。根據備案數據統計,第三級以上的重要信息系統主要分布在電信、廣電、銀行、鐵道、海關、稅務、民航、證券、電力、公安、財政、教育、科技、國防、交通、文化、工商、勞動保障、水利、衛生、統計等涉及經濟命脈、社會發展的重點行業、重點領域。全國范圍服務的特大型信息系統占有較大比重。因此必須重點維護和保障這些重要行業信息系統,特別是涉及全國范圍的特大型信息系統的安全,從根本上提升國家基礎信息網絡和重要信息系統整體安全保護水平。
(三)有些部門信息安全責任、安全措施和安全制度不落實,信息系統存在嚴重的安全隱患和問題。公安機關在督促、檢查、指導有關單位定級工作中發現,一些重要信息系統的安全狀況十分令人擔憂,以至發生嚴重的信息安全事件,直接威脅國家安全和北京奧運會的順利舉辦。信息系統主管部門和運營使用單位必須通過實施等級保護,突出重點,嚴格進行安全建設、整改,落實安全責任,建設安全設施,落實安全措施,從根本上解決重要信息系統存在的嚴重問題,扭轉信息安全面臨的被動局面。
(四)加快開展信息系統安全建設整改和等級測評工作,全面落實國家信息安全等級保護制度。重要信息系統定級備案情況表明,我國基礎信息網絡和重要信息系統業已成為國家關鍵基礎設施,在國家經濟發展、社會進步中的基礎性、關鍵性、全局性作用日益增強,全面加快和推進國家信息安全等級保護工作,有效保護基礎信息網絡和重要信息系統安全至關重要。2008年北京奧運日益臨近,奧運網絡以及為奧運提供服務保障的基礎網絡和重要信息系統的安全直接影響奧運會的順利舉辦。雖然全國重要信息系統的定級備案工作基本完成,但國家信息安全等級保護工作才剛剛開始,因此,各部門、各單位要在定級備案工作的基礎上,選擇技術支撐力量,制定安全建設整改規劃和方案,按照《信息安全等級保護管理辦法》和《信息系統安全等級保護基本要求》等規范標準,加快對三級以上信息系統開展安全建設整改、等級測評、自查等工作,并配合公安機關、國家保密部門和國家密碼工作部門開展監督、檢查。各級財政和發展改革部門應對重要信息系統安全建設整改和等級測評工作給予支持,以確保國家信息安全等級保護制度的有效貫徹和實施。
點擊咨詢 