第一篇:四部門下發《關于開展全國重要信息系統安全等級保護定級工作的通知》(大全)
四部門下發《關于開展全國重要信息系統安全等級
保護定級工作的通知》
關于開展全國重要信息系統安全等級保護定級工作的通知 公信安[2007]861號
各省、自治區、直轄市公安廳(局)、保密局、國家密碼管理局(國家密碼管理委員會辦公室)、信息化領導小組辦公室,新疆生產建設兵團公安局、保密局、國家密碼管理局、信息化領導小組辦公室,中央和國家機關各部委保密委員會辦公室、密碼工作領導小組辦公室、信息化領導小組辦公室,各人民團體保密委員會辦公室:
為進一步貫徹落實《國家信息化領導小組關于加強信息安全保障工作的意見》和公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室《關于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》(以下簡稱《管理辦法》)精神,提高我國基礎信息網絡和重要信息系統的信息安全保護能力和水平,根據國家網絡與信息安全協調小組2007年的工作部署,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室定于2007年7月至10月在全國范圍內組織開展重要信息系統安全等級保護定級工作(以下簡稱“定級工作”)。現就有關事項通知如下:
一、定級范圍
(一)電信、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡,經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統。
(二)鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業、部門的生產、調度、管理、辦公等重要信息系統。
(三)市(地)級以上黨政機關的重要網站和辦公信息系統。
(四)涉及國家秘密的信息系統(以下簡稱“涉密信息系統”)。
二、定級工作的主要內容
(一)開展信息系統基本情況的摸底調查。各行業主管部門、運營使用單位要組織開展對所屬信息系統的摸底調查,全面掌握信息系統的數量、分布、業務類型、應用或服務范圍、系統結構等基本情況,按照《管理辦法》和《信息系統安全等級保護定級指南》的要求,確定定級對象。各行業主管部門要根據行業特點提出指導本地區、本行業定級工作的具體意見。
(二)初步確定安全保護等級。各信息系統主管部門和運營使用單位要按照《管理辦法》和《信息系統安全等級保護定級指南》,初步確定定級對象的安全保護等級,起草定級報告(報告模版見附件1)。跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定安全保護等級。涉密信息系統的等級確定按照國家保密局的有關規定和標準執行。
(三)評審與審批。初步確定信息系統安全保護等級后,可以聘請專家進行評審。對擬確定為第四級以上信息系統的,由運營使用單位或主管部門請國家信息安全保護等級專家評審委員會評審。運營使用單位或主管部門參照評審意見最后確定信息系統安全保護等級,形成定級報告。當專家評審意見與信息系統運營使用單位或其主管部門意見不一致時,由運營使用單位或主管部門自主決定信息系統安全保護等級。信息系統運營使用單位有上級行業主管部門的,所確定的信息系統安全保護等級應當報經上級行業主管部門審批同意。
(四)備案。根據《管理辦法》,信息系統安全保護等級為第二級以上的信息系統運營使用單位或主管部門到公安部網站下載《信息系統安全等級保護備案表》(見附件2)和輔助備案工具,持填寫的備案表和利用輔助備案工具生成的備案電子數據,到公安機關辦理備案手續,提交有關備案材料及電子數據文件。其中,第二級信息系統的備案單位只需填寫備案表中的表
一、表二和表三,第三級以上信息系統的備案單位還應當同時提交備案表表四所列各項內容的書面材料。隸屬于中央的在京單位,其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統,由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統,向當地設區的市級以上公安機關備案。
涉密信息系統建設使用單位依據《管理辦法》和國家保密局的有關規定,填寫《涉及國家秘密的信息系統分級保護備案表》(見附件3),按照屬地化管理原則,中央和國家機關單位的涉密信息系統向國家保密局備案;地方單位的涉密信息系統向所在地的市(地)級以上保密工作部門備案;中央和國家機關地方所屬單位的涉密信息系統,向所在地的省級保密工作部門備案。
(五)備案管理。公安機關和國家保密工作部門負責受理備案并進行備案管理。信息系統備案后,公安機關應當對信息系統的備案情況進行審核,對符合等級保護要求的,頒發信息系統安全保護等級備案證明。發現不符合《管理辦法》及有關標準的,應當通知備案單位予以糾正。發現定級不準的,應當通知運營使用單位或其主管部門重新審核確定。各級保密工作部門加強對涉密信息系統定級工作的指導、監督和檢查。
三、定級工作的要求
(一)加強領導,落實保障。各地區、各部門要加強對本地區、本行業信息安全等級保護工作的組織領導,及時掌握工作進展情況,并可組織成立專家組,明確技術支持力量。信息系統運營使用單位要成立等級保護工作組,落實責任部門、責任人員和經費,保障定級工作順利進行。
(二)明確責任,密切配合。定級工作由各級公安機關牽頭,會同國家保密工作部門、國家密碼管理部門和信息化領導小組辦事機構共同組織實施。公安機關負責定級工作的監督、檢查、指導;國家保密工作部門負責涉密系統定級工作的監督、檢查、指導;國家密碼管理部門負責定級工作中有關密碼工作的監督、檢查、指導;信息化領導小組辦事機構負責定級工作的部門間協調。各信息系統主管部門組織本行業、本部門信息系統運營使用單位開展定級工作,督促其落實定級工作各項任務。各信息系統運營使用單位依據《管理辦法》和本通知要求,具體實施定級工作。
(三)動員部署,開展培訓。各地區、各部門要按照統一部署廣泛進行宣傳動員,舉辦形式多樣的培訓班、研討班等,層層培訓。公安部會同國家保密局、國家密碼管理局、國務院信息化工作辦公室對國家有關部委、各省級公安、保密、密碼和信息化領導小組辦事機構就《管理辦法》和《信息系統安全等級保護定級指南》等內容進行培訓。信息系統主管部門對所管轄的信息系統運營使用單位進行培訓。各地參照上述培訓模式開展培訓工作。
(四)及時總結,提出建議。各地區、各部門要結合本地區、本行業開展定級工作的實際,認真總結經驗和不足,提出改進和完善定級方法的意見和建議。各地區、各部門負責等級保護的領導機構要及時總結定級工作經驗,形成定級工作總結報告,并及時報送公安部。涉密信息系統定級工作總結報告向國家保密局報送。
此次定級工作完成后,請各主管部門、運營使用單位按照《管理辦法》和有關技術標準,繼續開展信息系統安全等級保護的系統建設或整改、等級測評、自查自糾等后續工作,各級公安、保密、密碼管理部門要開展等級保護工作的監督、檢查和指導。
公 安 部 國家保密局
國家密碼管理局 國務院信息化工作辦公室
二〇〇七年七月十六日
第二篇:關于開展全國重要信息系統安全等級保護定級工作的通知
附件二:
中華人民共和國公安部 國
家
保
密
局
國家密碼管理局 國務院信息化工作辦公室
關于開展全國重要信息系統安全等級保護
定級工作的通知
公信安[2007]861號
各省、自治區、直轄市公安廳(局)、保密局、國家密碼管理局(國家密碼管理委員會辦公室)、信息化領導小組辦公室,新疆生產建設兵團公安局、保密局、國家密碼管理局、信息化領導小組辦公室,中央和國家機關各部委保密委員會辦公室、密碼工作領導小組辦公室、信息化領導小組辦公室,各人民團體保密委員會辦公室:
為進一步貫徹落實《國家信息化領導小組關于加強信息安全保障工作的意見》和公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室《關于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》(以下簡稱《管理辦法》)精神,提高我國基礎信息網絡和重要信息系統的信息安全保護能力和水平,根據國家網絡與信息安全協調小組2007年的工作部署,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室定于2007年7月至10月在全國范圍內組織開展重要信息系統安全等級保護定級工作(以下簡稱“定級工作”)。現就有關事項通知如下:
一、定級范圍
(一)電信、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡,經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統。
(二)鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業、部門的生產、調度、管理、辦公等重要信息系統。
(三)市(地)級以上黨政機關的重要網站和辦公信息系統。
(四)涉及國家秘密的信息系統(以下簡稱“涉密信息系統”)。
二、定級工作的主要內容
(一)開展信息系統基本情況的摸底調查。各行業主管部門、運營使用單位要組織開展對所屬信息系統的摸底調查,全面掌握信息系統的數量、分布、業務類型、應用或服務范圍、系統結構等基本情況,按照《管理辦法》和《信息系統安全等級保護定級指南》的要求,確定定級對象。各行業主管部門要根據行業特點提出指導本地區、本行業定級工作的具體意見。
(二)初步確定安全保護等級。各信息系統主管部門和運營使用單位要按照《管理辦法》和《信息系統安全等級保護定級指南》,初步確定定級對象的安全保護等級,起草定級報告(報告模版見附件1)。跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定安全保護等級。涉密信息系統的等級確定按照國家保密局的有關規定和標準執行。
(三)評審與審批。初步確定信息系統安全保護等級后,可以聘請專家進行評審。對擬確定為第四級以上信息系統的,由運營使用單位或主管部門請國家信息安全保護等級專家評審委員會評審。運營使用單位或主管部門參照評審意見最后確定信息系統安全保護等級,形成定級報告。當專家評審意見與信息系統運營使用單位或其主管部門意見不一致時,由運營使用單位或主管部門自主決定信息系統安全保護等級。信息系統運營使用單位有上級行業主管部門的,所確定的信息系統安全保護等級應當報經上級行業主管部門審批同意。
(四)備案。根據《管理辦法》,信息系統安全保護等級為第二級以上的信息系統運營使用單位或主管部門到公安部網站下載《信息系統安全等級保護備案表》(見附件2)和輔助備案工具,持填寫的備案表和利用輔助備案工具生成的備案電子數據,到公安機關辦理備案手續,提交有關備案材料及電子數據文件。其中,第二級信息系統的備案單位只需填寫備案表中的表
一、表二和表三,第三級以上信息系統的備案單位還應當同時提交備案表表四所列各項內容的書面材料。隸屬于中央的在京單位,其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統,由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統,向當地設區的市級以上公安機關備案。
涉密信息系統建設使用單位依據《管理辦法》和國家保密局的有關規定,填寫《涉及國家秘密的信息系統分級保護備案表》(見附件3),按照屬地化管理原則,中央和國家機關單位的涉密信息系統向國家保密局備案;地方單位的涉密信息系統向所在地的市(地)級以上保密工作部門備案;中央和國家機關地方所屬單位的涉密信息系統,向所在地的省級保密工作部門備案。
(五)備案管理。公安機關和國家保密工作部門負責受理備案并進行備案管理。信息系統備案后,公安機關應當對信息系統的備案情況進行審核,對符合等級保護要求的,頒發信息系統安全保護等級備案證明。發現不符合《管理辦法》及有關標準的,應當通知備案單位予以糾正。發現定級不準的,應當通知運營使用單位或其主管部門重新審核確定。各級保密工作部門加強對涉密信息系統定級工作的指導、監督和檢查。
三、定級工作的要求
(一)加強領導,落實保障。各地區、各部門要加強對本地區、本行業信息安全等級保護工作的組織領導,及時掌握工作進展情況,并可組織成立專家組,明確技術支持力量。信息系統運營使用單位要成立等級保護工作組,落實責任部門、責任人員和經費,保障定級工作順利進行。
(二)明確責任,密切配合。定級工作由各級公安機關牽頭,會同國家保密工作部門、國家密碼管理部門和信息化領導小組辦事機構共同組織實施。公安機關負責定級工作的監督、檢查、指導;國家保密工作部門負責涉密系統定級工作的監督、檢查、指導;國家密碼管理部門負責定級工作中有關密碼工作的監督、檢查、指導;信息化領導小組辦事機構負責定級工作的部門間協調。各信息系統主管部門組織本行業、本部門信息系統運營使用單位開展定級工作,督促其落實定級工作各項任務。各信息系統運營使用單位依據《管理辦法》和本通知要求,具體實施定級工作。
(三)動員部署,開展培訓。各地區、各部門要按照統一部署廣泛進行宣傳動員,舉辦形式多樣的培訓班、研討班等,層層培訓。公安部會同國家保密局、國家密碼管理局、國務院信息化工作辦公室對國家有關部委、各省級公安、保密、密碼和信息化領導小組辦事機構就《管理辦法》和《信息系統安全等級保護定級指南》等內容進行培訓。信息系統主管部門對所管轄的信息系統運營使用單位進行培訓。各地參照上述培訓模式開展培訓工作。
(四)及時總結,提出建議。各地區、各部門要結合本地區、本行業開展定級工作的實際,認真總結經驗和不足,提出改進和完善定級方法的意見和建議。各地區、各部門負責等級保護的領導機構要及時總結定級工作經驗,形成定級工作總結報告,并及時報送公安部。涉密信息系統定級工作總結報告向國家保密局報送。
此次定級工作完成后,請各主管部門、運營使用單位按照《管理辦法》和有關技術標準,繼續開展信息系統安全等級保護的系統建設或整改、等級測評、自查自糾等后續工作,各級公安、保密、密碼管理部門要開展等級保護工作的監督、檢查和指導。
執行中有何問題,請及時報告。
公安部聯系人郭啟全,聯系電話:010-66261745 國家保密局聯系人魏力,聯系電話:010-83086085 國家密碼管理局聯系人王家瑋,聯系電話:010-83084734 國務院信息辦聯系人李強,聯系電話:010-83083664 公安部網址:www.tmdps.cn(互聯網);
ftp://10.1.185.68(公安網)。技術咨詢電話:010—88530013、88530015。
附件:
1、《信息系統安全等級保護定級報告》模版
2、《信息系統安全等級保護備案表》
3、《涉及國家秘密的信息系統分級保護備案表》
公 安 部
國家保密局
國家密碼管理局
國務院信息化工作辦公室
二〇〇七年七月十六日
附件一:《信息系統安全等級保護定級報告》模版
《信息系統安全等級保護定級報告》
一、XXX信息系統描述
簡述確定該系統為定級對象的理由。從三方面進行說明:一是描述承擔信息系統安全責任的相關單位或部門,說明本單位或部門對信息系統具有信息安全保護責任,該信息系統為本單位或部門的定級對象;二是該定級對象是否具有信息系統的基本要素,描述基本要素、系統網絡結構、系統邊界和邊界設備;三是該定級對象是否承載著單一或相對獨立的業務,業務情況描述。
二、XXX信息系統安全保護等級確定(定級方法參見國家標準《信息系統安全等級保護定級指南》)
(一)業務信息安全保護等級的確定
1、業務信息描述
描述信息系統處理的主要業務信息等。
2、業務信息受到破壞時所侵害客體的確定
說明信息受到破壞時侵害的客體是什么,即對三個客體(國家安全;社會秩序和公眾利益;公民、法人和其他組織的合法權益)中的哪些客體造成侵害。
3、信息受到破壞后對侵害客體的侵害程度的確定 說明信息受到破壞后,會對侵害客體造成什么程度的侵害,即說明是一般損害、嚴重損害還是特別嚴重損害。
4、業務信息安全等級的確定
依據信息受到破壞時所侵害的客體以及侵害程度,確定業務信息安全等級。
(二)系統服務安全保護等級的確定
1、系統服務描述
描述信息系統的服務范圍、服務對象等。
2、系統服務受到破壞時所侵害客體的確定
說明系統服務受到破壞時侵害的客體是什么,即對三個客體(國家安全;社會秩序和公眾利益;公民、法人和其他組織的合法權益)中的哪些客體造成侵害。
3、系統服務受到破壞后對侵害客體的侵害程度的確定 說明系統服務受到破壞后,會對侵害客體造成什么程度的侵害,即說明是一般損害、嚴重損害還是特別嚴重損害。
4、系統服務安全等級的確定
依據系統服務受到破壞時所侵害的客體以及侵害程度確定系統服務安全等級。
(三)安全保護等級的確定 信息系統的安全保護等級由業務信息安全等級和系統服務安全等級較高者決定,最終確定XXX系統安全保護等級為第幾級。
信息系統名稱 XXX信息系統 安全保護等級
X
業務信息安全等級
X
系統服務安全等級
X
第三篇:關于開展電力行業信息系統安全等級保護定級工作的通知
關于開展電力行業信息系統安全等級保護定級工作的通知
電監信息〔2007〕34號
國家電網公司,南方電網公司,華能、大唐、華電、國電、中電投集團公司,各有關電力公司:
為貫徹落實公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室《關于印發<信息安全等級保護管理辦法>的通知》(公通字〔2007〕43號)和《關于開展全國重要信息系統安全
等級保護定級工作的通知》(公信安〔2007〕861號)要求,提高電力行業網絡和信息系統的信息安全保護能力和水平,定于2007年8月至10月在電力行業組織開展信息系統安全等級保護定級工作。現就有關事項通知如下:
一、工作組織
電力行業網絡與信息安全領導小組:統一協調領導電力行業信息系統安全等級保護定級工作。
電力行業網絡與信息安全領導小組辦公室(以下簡稱領導小組辦公室):具體負責組織開展電力行業信息系統安全等級保護定級工作,監督指導信息系統運營使用單位的定級工作。
電力行業信息系統安全等級保護定級工作專家組(以下簡稱專家組):對電力行業信息系統安全定級工作進行指導、咨詢,對定級結果進行評審。
各有關電力公司(名單附后)等級保護責任部門(以下簡稱公司責任部門):負責組織開展本單位(系統)信息系統安全等級保護定級工作。
信息系統運營使用單位(以下簡稱運營使用單位):具體負責所運營、使用的信息系統的安全定級工作。
技術支持單位:中國電力科學研究院信息安全研究所等單位為本次信息系統安全定級工作的技術支持單位,負責提供技術支持。
二、主要工作內容
1、摸底調查
各公司責任部門要組織本系統的信息系統運營使用單位,開展對所屬網絡和信息系統的摸底調查工作,全面掌握信息網絡和信息系統的數量、分布、業務類型、系統結構、應用或服務范圍等基本情況。
2、初步定級
各單位在摸底調查的基礎上,要按照《信息安全等級保護管理辦法》(以下簡稱《管理辦法》,附件1)和《信息系統安全等級保護定級指南》(附件2)的要求,確定各定級對象。并初步確定定級對象的安全保護等級,起草定級報告(報告模板見附件3)。各公司責任部門將本單位(系統)運營使用單位的定級報告匯總后統一報送領導小組辦公室。
涉密信息系統的等級確定按照國家保密局的有關規定和標準執行。
3、評審
領導小組辦公室組織專家對上報的定級報告進行分類評審。評審后領導小組辦公室印發《電力行業信息系統安全等級保護定級實施指南》,指導各電力公司和信息系統運營使用單位的定級工作。
對于跨電力公司聯網運行的信息系統,由領導小組辦公室統一確定安全保護等級。
對于屬同一電力公司,但跨省聯網運行的信息系統,由公司責任部門統一確定安全保護等級。對于通用信息系統,由領導小組辦公室提出安全保護等級建議,運營使用單位自主確定安全保護等級。
對于運營使用單位所特有的信息系統,各運營使用單位自行確定安全保護等級。
對擬確定為第四級以上信息系統的,由領導小組辦公室邀請國家信息安全保護等級專家評審委員會評審。
4、審批與備案
根據《管理辦法》,信息系統安全等級確定為二級以上的信息系統運營使用單位到公安部網站下載《信息系統安全等級保護備案表》(見附件4)和輔助備案工具,持填寫的備案表和利用輔助備案工具生成的備案電子數據,到公安機關辦理備案手續,提交有關備案材料及電子數據文件。其中,第二級信息系統的備案單位只需填寫備案表中的表
一、表二和表三,第三級以上信息系統的備案單位還應當同時提交備案表表四所列各項內容的書面材料。
各運營使用單位要參照《電力行業信息系統安全等級保護定級實施指南》,結合本單位實際,填寫備案表,由公司責任部門審定后,統一匯總報送領導小組辦公室審批。
備案表經領導小組辦公室審查批準后,各有關單位應根據下列要求到公安機關辦理備案手續。
(1)跨電力公司聯網運行,且由領導小組辦公室統一確定安全等級的信息系統,領導小組辦公室負責統一向公安部辦理備案手續。
(2)電力公司內部跨省聯網運行,且由公司責任部門統一確定安全等級的信息系統,由公司責任部門負責統一向公安部辦理備案手續。
(3)其它信息系統的由運營使用單位直接向當地設區的市級以上公安機關備案。
(4)跨省聯網運行的信息系統,在各地運行、應用的分支系統,向當地設區的市級以上公安機關備案。
涉密信息系統建設使用單位依據《管理辦法》和國家保密局的有關規定,填寫《涉及國家秘密的信息系統分級 保護備案表》(見附件5),按照屬地化管理原則,中央和國家機關單位的涉密信息系統向國家保密局備案;地方單位的涉密信息系統向所在地的市(地)級以上保密工作部門備案;中央和國家機關地方所屬單位的涉密信息系統,向所在地的省級保密工作部門備案。
5、備案管理
公安機關和國家保密工作部門負責受理電力行業信息系統等級保護定級備案,并進行備案管理。信息系統備案后,公安機關對信息系統的備案情況進行審核,對符合等級保護要求的,頒發信息系統安全保護等級備案證明。發現不符合《管理辦法》及有關標準的,將通知備案單位予以糾正。發現定級不準的,通知運營使用單位或者領導小組辦公室重新審核確定。各級保密工作部門加強對涉密信息系統定級工作的指導、監督和檢查。
三、進度安排
動員部署階段,8月15日前印發通知,對定級工作進行動員部署。
摸底調查及初步定級階段,8月31日前完成。開展信息系統基本摸底調查,初步確定定級對象的安全保護等級,起草定級報告。
評審階段,9月24日前完成。領導小組辦公室對上報的初步定級報告進行分類評審,并編制印發《電力行業信息系統安全等級保護定級實施指南》。
審批與備案階段,10月15日前完成。各運營使用單位按照《電力行業信息系統安全等級保護定級實施指南》,填寫備案表并上報領導小組辦公室審核,審核批準后按要求向公安機關備案。
總結階段,10月20日前完成。各公司責任部門對本單位(系統)信息系統安全定級工作進行總結,并向領導小組辦公室報送總結報告。領導小組辦公室對行業信息系統安全定級工作進行總結,并報送公安部。
四、工作要求
1、加強領導,落實保障
各電力公司要按照領導小組辦公室的統一部署,明確等級保護責任部門,加強組織領導,及時掌握工作進展情況。信息系統運營使用單位要落實責任部門、責任人員和經費,保障定級工作順利進行。
2、明確責任,密切配合
信息系統的運營使用單位是安全等級保護工作的責任主體,要切實落實運營使用單位的責任。電力公司對所屬單位信息系統的安全等級保護工作負總責,各單位要承擔起本單位(本系統)信息系統安全等級保護工作的組織管理職責。
各電力公司、各運營使用單位要按照領導小組辦公室的部署,積極協調做好本系統、本單位信息系統的安全等級保護工作。
3、動員部署,開展培訓
各單位要按照統一部署,廣泛進行宣傳動員,舉辦形式多樣的培訓班、研討班等,層層培訓。領導小組辦公室將根據電力行業特點,按照國家要求,會同有關專業培訓單位,組織開展電力行業等級保護培訓工作。
4、及時總結,提出建議
各電力公司、運營使用單位要結合本單位、本系統開展定級工作的實際,認真總結經驗和不足,提出改進和完善定級方法的意見和建議。各公司責任部門要及時總結定級工作經驗,形成定級工作總結報告,及時報送領導小組辦公室。
此次定級工作完成后,領導小組辦公室將按照《管理辦法》和有關技術標準,繼續組織開展信息系統安全等級保護的系統建設或整改、等級測評、自查自糾等后續工作。
聯系方式:
電力行業網絡與信息安全領導小組辦公室
聯系人:胡紅升 010-58681816 溫紅子 010-58681815 電子郵件:xxtb@serc.gov.cn 傳真:010-58681835 技術支持電話:010-82812516 附件:1.《信息安全等級保護管理辦法》 2.《信息安全等級保護定級指南》
3.《信息系統安全等級保護定級報告》模版 4.《信息安全等級保護備案表》
5.《涉及國家秘密的信息系統分級保護備案表》
二○○七年八月十三日
【來源】電監會辦公廳 【日期】2007-08-20
【字體: 大 中 小】 【打印】 【關閉】
Copyright ?1998-2007 All Rights Reserved 國家電力監管委員會 版權所有
第四篇:20070716關于開展全國重要信息系統安全等級保護定級工作的通知(公信安【2007】861號)
中華人民共和國公安部 國
家
保
密
局
國家密碼管理局 國務院信息化工作辦公室
關于開展全國重要信息系統安全等級保護
定級工作的通知
公信安[2007]861號
各省、自治區、直轄市公安廳(局)、保密局、國家密碼管理局(國家密碼管理委員會辦公室)、信息化領導小組辦公室,新疆生產建設兵團公安局、保密局、國家密碼管理局、信息化領導小組辦公室,中央和國家機關各部委保密委員會辦公室、密碼工作領導小組辦公室、信息化領導小組辦公室,各人民團體保密委員會辦公室:
為進一步貫徹落實《國家信息化領導小組關于加強信息安全保障工作的意見》和公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室《關于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》(以下簡稱《管理辦法》)精
— 1 — 神,提高我國基礎信息網絡和重要信息系統的信息安全保護能力和水平,根據國家網絡與信息安全協調小組2007年的工作部署,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室定于2007年7月至10月在全國范圍內組織開展重要信息系統安全等級保護定級工作(以下簡稱“定級工作”通知如下:
一、定級范圍
(一)電信、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡,經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統。
(二)鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業、部門的生產、調度、管理、辦公等重要信息系統。
(三)市(地)級以上黨政機關的重要網站和辦公信息系統。
(四)涉及國家秘密的信息系統
二、定級工作的主要內容
(一)開展信息系統基本情況的摸底調查。運營使用單位要組織開展對所屬信息系統的摸底調查,全面掌握信息系統的數量、分布、業務類型、應用或服務范圍、系統結構等基本情況,按照《管理辦法》和《信息系統安全等級保護定級 — 2 —)。現就有關事項
(以下簡稱“涉密信息系統”)。各行業主管部門、指南》的要求,確定定級對象。各行業主管部門要根據行業特點提出指導本地區、本行業定級工作的具體意見。
(二)初步確定安全保護等級。各信息系統主管部門和運營使用單位要按照《管理辦法》和《信息系統安全等級保護定級指南》,初步確定定級對象的安全保護等級,起草定級報告(報告模版見附件1)。跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定安全保護等級。涉密信息系統的等級確定按照國家保密局的有關規定和標準執行。
(三)評審與審批。初步確定信息系統安全保護等級后,可以聘請專家進行評審。對擬確定為第四級以上信息系統的,由運營使用單位或主管部門請國家信息安全保護等級專家評審委員會評審。運營使用單位或主管部門參照評審意見最后確定信息系統安全保護等級,形成定級報告。當專家評審意見與信息系統運營使用單位或其主管部門意見不一致時,由運營使用單位或主管部門自主決定信息系統安全保護等級。信息系統運營使用單位有上級行業主管部門的,所確定的信息系統安全保護等級應當報經上級行業主管部門審批同意。
(四)備案。根據《管理辦法》,信息系統安全保護等級為第二級以上的信息系統運營使用單位或主管部門到公安部網站下載《信息系統安全等級保護備案表》(見附件持填寫的備案表和利用輔助備案工具生成的備案電子數據,到公安機關辦理備案手續,提交有關備案材料及電子數據文件。其中,2)和輔助備案工具,3 —
— 第二級信息系統的備案單位只需填寫備案表中的表
一、表二和表三,第三級以上信息系統的備案單位還應當同時提交備案表表四所列各項內容的書面材料。隸屬于中央的在京單位,其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統,由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統,向當地設區的市級以上公安機關備案。
涉密信息系統建設使用單位依據《管理辦法》和國家保密局的有關規定,填寫《涉及國家秘密的信息系統分級保護備案表》(見附件3),按照屬地化管理原則,中央和國家機關單位的涉密信息系統向國家保密局備案;地方單位的涉密信息系統向所在地的市(地)級以上保密工作部門備案;中央和國家機關地方所屬單位的涉密信息系統,向所在地的省級保密工作部門備案。
(五)備案管理。公安機關和國家保密工作部門負責受理備案并進行備案管理。信息系統備案后,公安機關應當對信息系統的備案情況進行審核,對符合等級保護要求的,頒發信息系統安全保護等級備案證明。發現不符合《管理辦法》及有關標準的,應當通知備案單位予以糾正。發現定級不準的,應當通知運營使用單位或其主管部門重新審核確定。各級保密工作部門加強對涉密信息系統定級工作的指導、監督和檢查。
三、定級工作的要求
(一)加強領導,落實保障。各地區、各部門要加強對本地 — 4 — 區、本行業信息安全等級保護工作的組織領導,及時掌握工作進展情況,并可組織成立專家組,明確技術支持力量。信息系統運營使用單位要成立等級保護工作組,落實責任部門、責任人員和經費,保障定級工作順利進行。
(二)明確責任,密切配合。定級工作由各級公安機關牽頭,會同國家保密工作部門、國家密碼管理部門和信息化領導小組辦事機構共同組織實施。公安機關負責定級工作的監督、檢查、指導;國家保密工作部門負責涉密系統定級工作的監督、檢查、指導;國家密碼管理部門負責定級工作中有關密碼工作的監督、檢查、指導;信息化領導小組辦事機構負責定級工作的部門間協調。各信息系統主管部門組織本行業、本部門信息系統運營使用單位開展定級工作,督促其落實定級工作各項任務。各信息系統運營使用單位依據《管理辦法》和本通知要求,具體實施定級工作。
(三)動員部署,開展培訓。各地區、各部門要按照統一部署廣泛進行宣傳動員,舉辦形式多樣的培訓班、研討班等,層層培訓。公安部會同國家保密局、國家密碼管理局、國務院信息化工作辦公室對國家有關部委、各省級公安、保密、密碼和信息化領導小組辦事機構就《管理辦法》和《信息系統安全等級保護定級指南》等內容進行培訓。信息系統主管部門對所管轄的信息系統運營使用單位進行培訓。各地參照上述培訓模式開展培訓工作。
(四)及時總結,提出建議。各地區、各部門要結合本地區、本行業開展定級工作的實際,認真總結經驗和不足,提出改進和
— 5 — 完善定級方法的意見和建議。各地區、各部門負責等級保護的領導機構要及時總結定級工作經驗,形成定級工作總結報告,并及時報送公安部。涉密信息系統定級工作總結報告向國家保密局報送。
此次定級工作完成后,理辦法》和有關技術標準,繼續開展信息系統安全等級保護的系統建設或整改、等級測評、自查自糾等后續工作,各級公安、保密、密碼管理部門要開展等級保護工作的監督、檢查和指導。執行中有何問題,請及時報告。公安部聯系人郭啟全,聯系電話:國家保密局聯系人魏力,聯系電話:國家密碼管理局聯系人王家瑋,聯系電話:國務院信息辦聯系人李強,聯系電話:公安部網址:
技術咨詢電話:
— 6 請各主管部門、www.tmdps.cn(互聯網ftp://10.1.185.68(公安網)010—88530013運營使用單位按照《管
010-66261745 010-83086085 010-83084734 010-83083664)。88530015。、— 附件:
1、《信息系統安全等級保護定級報告》模版
2、《信息系統安全等級保護備案表》
3、《涉及國家秘密的信息系統分級保護備案表》
公 安 部
國家保密局
國家密碼管理局
國務院信息化工作辦公室
二〇〇七年七月十六日
抄送:中央辦公廳、國務院辦公廳。
中央和國家機關各部委,國務院各直屬機構、辦事機構、事業單位,國務院部委管理的 各國家局。
國家保密局、國家密碼管理局、國務院信息化工作辦公室有關部門。
公安部黨委,部屬有關局級單位。
第五篇:信息系統安全等級保護定級報告(實例)
信息系統安全等級保護定級報告
(起草參考實例)
一、支付通網上支付服務系統描述
(一)該中間業務于*年*月*日由*省郵政局科技立項,省郵政信息技術局自主研發。目前該系統由技術局運行維護部負責運行維護。省郵政局是該信息系統業務的主管部門,省郵政局委托技術局為該信息系統定級的責任單位。
(二)此系統是計算機及其相關的和配套的設備、設施構成的,是按照一定的應用目標和規則對郵儲金融中間業務信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。整個網絡分為兩部分,(圖略),第一部分為省數據中心,第二部分為市局局域網。
在省數據中心的核心設備部署了華為的S**三層交換機,……
在省數據中心的網絡中配置了兩臺與外部網絡互聯的邊界設備:天融信 NGFW 4**防火墻和Cisco 2**路由器……
省數據中心網絡中剩下的一部分就是與下面各個地市的互聯。其中主要設備部署的是……整個省數據中心網絡中的所有設備系統都按照統一的設備管理策略,只能現場配置,不可遠程撥號登錄。
整個信息系統的網絡系統邊界設備可定為NGFW 4** 與 Cisco 2**。Cisco 2** 外聯的其它系統都劃分為外部網絡部分,而
NGFW 4** 以內的部分包括與各地市互聯的部分都可歸為中心的內部網絡,與中間業務系統相關的省數據中心網絡邊界部分和內部網絡部分都是等級保護定級的范圍和對象。在此次定級過程中,將各市的網絡和數據中心連同省中心統一作為一個定級對象加以考慮,統一進行定級、備案。各市的網絡和數據中心還要作為整個系統的分系統分別進行定級、備案。
(三)該支付服務系統業務主要包含:網絡表夠電、IC卡購電、抄表購電等便民繳費服務。用戶不必受網點營業時間限制,足不出戶在線完成各類行業IC卡的充值及信用卡還款、手機充值、游戲點卡、航空客票購買等增值服務。支付寶賬號充值和訂單支付服務。為銀行和銀行卡用戶提供服務通道,借助支付通平臺和支付通終端提供的通路,銀行卡用戶可在線辦理銀行卡余額查詢、轉賬等銀行卡業務。信息訂閱:針對支付通平臺用戶提供各類信息訂閱,為用戶提供合作商戶及支付通的各類優惠打折信息訂閱,主要是通過手機短信或彩信、網頁顯示方式推送給用戶。支付寶賬號充值和訂單支付服務。后續還會有諸如歌華寬帶、速通卡業務、各類手機賬單繳費業務、賬單支付業務等。
涵蓋了網上購物、保險、教育、旅游、交通等行業的電子商務業務的網絡支付服務。系統針對業務實現的差異分別提供實時聯機處理和批量處理兩種方式。其中:通過網絡與第三方機構的連接,均采用約定好的報文格式進行通訊,業務處理流程實時完
成。
業務處理系統以省集中結構模式,負責各類中間業務的業務處理,包括與第三方實時連接、接口協議轉換、非實時批量數據的采集、業務處理邏輯的實現、與會計核算系統的連接等。
二、X省郵政金融網中間業務系統安全保護等級的確定
(一)業務信息安全保護等級的確定
1、業務信息描述
金融網中間業務信息包括:代收費情況信息,繳費公民、法人和其他組織的的個人(單位)信息,欠費情況,以及代收費的銀行、電信、燃氣、稅務、保險等部門的信息等。屬于公民、法人和其他組織的專有信息。
2、業務信息受到破壞時所侵害客體的確定(侵害的客體包括:1國家安全,2社會秩序和公共利益,3公民、法人和其他組織的合法權益等共三個客體)
該業務信息遭到破壞后,所侵害的客體是公民、法人和其他組織的合法權益。
侵害的客觀方面(客觀方面是指定級對象的具體侵害行為,侵害形式以及對客體的造成的侵害結果)表現為:一旦信息系統的業務信息遭到入侵、修改、增加、刪除等不明侵害(形式可以包括丟失、破壞、損壞等),會對公民、法人和其他組織的合法權益造成影響和損害,可以表現為:影響正常工作的開展,導致業務能力下降,造成不良影響,引起法律糾紛等。
3、信息受到破壞后對侵害客體的侵害程度(即上述分析的結果的表現程度)
上述結果的程度表現為嚴重損害,即工作職能收到嚴重影響,業務能力顯著先將,出現較嚴重的法律問題,較大范圍的不良影響等。
4、確定業務信息安全等級
查《定級指南》表2知,業務信息安全保護等級為第二級。
(二)系統服務安全保護等級的確定
1、系統服務描述
該系統屬于提供第三方支付服務的系統,其服務范圍為全省范圍內的普通公民、法人等。
2、系統服務受到破壞時所侵害客體的確定
該業務信息遭到破壞后,所侵害的客體是公民、法人和其他組織的合法權益,同時也侵害社會秩序和公共利益但不損害國家安全。客觀方面表現得侵害結果為:1可以對公民、法人和其他組織的合法權益造成侵害(影響正常工作的開展,導致業務能力下降,造成不良影響,引起法律糾紛等);2可以對社會秩序公共利益造成侵害(造成社會不良影響,引起公共利益的損害等)。根據《定級指南》的要求,出現上述兩個侵害客體時,優先考慮社會秩序和公共利益,另外一個不做考慮。
3、信息受到破壞后對侵害客體的侵害程度(即上述分析的結
果的表現程度)
上述結果的程度表現為:對社會秩序和公共利益造成嚴重損害,即會出現較大范圍的社會不良影響和較大程度的公共利益的損害等。
4、確定系統服務安全等級
查《定級指南》表3知,由于侵害的客體有兩個,侵害的程度也有兩個,則業務信息安全保護等級為第二級。
(三)安全保護等級的確定
信息系統的安全保護等級由業務信息安全等級和系統服務安全務安等級的較高者決定。所以,X省郵政金融網中間業務系統安全保護等級為第三級。
點擊咨詢 