第一篇:中國石化深入開展信息安全等級保護工作有效保障企業生產業務信息系統安全
中國石化深入開展信息安全等級保護工作有效保障企業生產業務信息系統安全
來源:admin發布日期:2012-03-1
2近年來,中國石化在集團公司黨組的領導下,緊緊圍繞公司戰略發展目標,大力推進信息化建設和應用,信息系統已經成為公司生產運營和經營管理的“中樞神經系統”,保障信息系統的安全可靠運行直接關系到公司的健康發展。為此,中國石化始終堅持以信息安全等級保護工作為核心,把等級保護的相關政策和技術標準與企業自身的安全需求深度融合,采取一系列有效措施,使等級保護制度在全公司得到有效落實,有效保障了公司的生產業務信息系統安全。
一、領導高度重視,組織保障有力,宣傳培訓到位。公司領導高度重視信息化和信息安全工作,黨組成員、股份公司副總裁戴厚良在公司信息安全工作會議上強調,要高度重視信息系統安全,按照國家信息安全等級保護制度要求,加強安全體系建設,把握信息系統安全特點,從源頭抓起,重視信息化項目的安全設計。公司成立了專門的信息安全等級保護領導小組,由信息系統管理部具體負責等級保護相關工作,組建了等級保護制度編制隊伍、培訓隊伍、監督檢查隊伍和整改建設隊伍,明確以等級保護工作為抓手,統籌全公司的信息安全工作。公司建立了高可靠的信息安全基礎設施,重點強化了第三級信息系統的合規建設,加強了信息系統的運維管理,對重要信息系統建立了災難備份及應急預案,有效提高了系統的安全防護水平。同時,公司充分利用網絡、企業電視臺、會議培訓等方式,組織專題研討、技術培訓和業務交流,提高企業各級領導、職工對等級保護工作的認識水平,并在遠程教育系統平臺上發布信息安全等級保護宣傳課件,面向企業的100余萬用戶提供培訓,確保了等級保護制度的有效落實。
二、堅持“三結合”、抓好“兩必須”、嚴控“兩環節”。中國石化將等級保護建設融入整個信息化建設過程中,要求信息系統與安全建設“同步設計、同步建設、同步運行”。一是堅持“三結合”,即國家政策與行業特色相結合、信息安全與生產安全密切相結合、信息安全等級保護工作與信息化工作相結合。中國石化根據國家等級保護政策和技術標準,結合企業特點,在不低于國家標準的基礎上,對信息系統安全保護等級細分為:Ⅰ級、ⅡA級、ⅡB級、ⅢA級、ⅢB級、Ⅳ級、Ⅴ級,編寫了《中國石化集團信息系統安全等級保護管理辦法》、《中國石化集團信息系統安全等級保護定級規范》、《中國石化集團信息系統安全等級保護基本規范》、《中國石化集團信息系統安全等級保護評估檢查細則》、《中國石化集團信息系統安全等級保護建設整改指南》等標準,形成了企業等級保護標準體系。同時將信息安全工作納入公司整體安全管理體系,將等級保護落實情況納入信息化考核評價指標體系中,通過崗位責任制聯合大檢查和信息化考核,有力推動了等級保護制度的貫徹落實。二是堅持“兩個必須”。即信息系統建設之初,必須先明確系統的信息安全等級保護級別;信息系統的規劃設計,必須有信息安全設計,重要信息系統特別是三級系統必須進行獨立的信息安全設計。三是嚴抓“兩個環節”。即抓好可研立項和項目驗收兩個關鍵環節,這兩個關鍵環節是信息系統項目建設的一頭一尾,切實抓好這兩個關鍵環節,才能保證信息系統安全設計與實施工作的落實。
三、完善措施,保障經費,確保等級保護各項工作順利開展。一是認真組織開展信息系統定級備案工作。中國石化制定了公司信息系統定級備案指導意見,指導公司總部和下屬企業完成了信息系統定級備案工作。并通過技術化手段,實時了解總部和下屬企業信息系統的變化情況,及時開展定級備案。二是組織開展信息系統等級測評和安全建設整改。目前,中國石化總部已落實經費1500多萬元,用于開展等級保護標準制定、宣貫培訓、信息系統等級測評和安全建設整改。對面向社會公眾服務、涉及核心業務、覆蓋范圍廣的信息系統優先進行了等級保護測評,通過分析信息系統和基礎設施面臨的風險,查找薄弱環節和安全隱患并進行整改,提升信息安全管理水平。對于新建系統參照等級保護有關要求進行建設;對于今年內未進行測評的三級信息系統,已經安排經費預算,預計于2012年上半年全部完成等級測評,以后每年納入常態工作。三是開展了信息安全檢查活動。對信息安全、等級保護落實情況進行了檢查,已對61家單位進行了現場檢查和110家單位的自查,通過檢查督促各下屬單位開展相關工作。四是建立信息安全通報機制。《中國石化信息安全運行簡報》已發布24期,內容以表彰先進企業工作經驗、等級保護工作情況、通報信息安全事件、發布信息安全公告和宣貫信息安全基礎知識為主,建立了總部與企業信息安全工作的溝通平臺,有效推動了信息安全工作的開展。
四、建立完善各項安全保護技術措施和管理制度,有效保障重要信息系統安全。一是對網絡和系統進行安全區域劃分。按照《信息系統安全等級保護基本要求》,提出了“縱向分層、水平分區、區內細分”的網絡安全區域劃分原則,對網絡進行了認真梳理、合理規劃、有效調整,對重要區域部署了安全防護設備,針對具體應用系統部署了細粒度的安全防護策略,建立了必備的網絡安全防護技術手段。二是持續推進病毒治理和桌面安全管理。建立了以公司總部為核心,覆蓋全部企業的多級管理防病毒系統。建立了桌面安全管理系統,實現了資產管理、補丁管理、電源管理等功能。實施網絡準入控制,實現了網絡接入認證、合規檢查等。三是加強用戶身份認證強度。建成了數字證書管理(PKI/CA)系統,啟動了用戶身份管理、信息安全日志審計、文檔安全管理系統的建設工作,完成了100萬用戶基礎數據的導入工作,為遠程教育系統、經營管理系統等多個應用系統提供了用戶身份數據。四是加強制度建設和信息安全管理。本著“預防為主,建章立制,加強管理,重在治本”的原則,堅持管理與技術并重,制訂和發布了《中國石化信息系統安全管理辦法》《中國石化信息基礎設施運行維護管理辦法》等31個制度規范,對信息安全工作的有效開展起到了很好的指導和規范作用。
第二篇:關于開展電力行業信息系統安全等級保護定級工作的通知
關于開展電力行業信息系統安全等級保護定級工作的通知
電監信息〔2007〕34號
國家電網公司,南方電網公司,華能、大唐、華電、國電、中電投集團公司,各有關電力公司:
為貫徹落實公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室《關于印發<信息安全等級保護管理辦法>的通知》(公通字〔2007〕43號)和《關于開展全國重要信息系統安全
等級保護定級工作的通知》(公信安〔2007〕861號)要求,提高電力行業網絡和信息系統的信息安全保護能力和水平,定于2007年8月至10月在電力行業組織開展信息系統安全等級保護定級工作。現就有關事項通知如下:
一、工作組織
電力行業網絡與信息安全領導小組:統一協調領導電力行業信息系統安全等級保護定級工作。
電力行業網絡與信息安全領導小組辦公室(以下簡稱領導小組辦公室):具體負責組織開展電力行業信息系統安全等級保護定級工作,監督指導信息系統運營使用單位的定級工作。
電力行業信息系統安全等級保護定級工作專家組(以下簡稱專家組):對電力行業信息系統安全定級工作進行指導、咨詢,對定級結果進行評審。
各有關電力公司(名單附后)等級保護責任部門(以下簡稱公司責任部門):負責組織開展本單位(系統)信息系統安全等級保護定級工作。
信息系統運營使用單位(以下簡稱運營使用單位):具體負責所運營、使用的信息系統的安全定級工作。
技術支持單位:中國電力科學研究院信息安全研究所等單位為本次信息系統安全定級工作的技術支持單位,負責提供技術支持。
二、主要工作內容
1、摸底調查
各公司責任部門要組織本系統的信息系統運營使用單位,開展對所屬網絡和信息系統的摸底調查工作,全面掌握信息網絡和信息系統的數量、分布、業務類型、系統結構、應用或服務范圍等基本情況。
2、初步定級
各單位在摸底調查的基礎上,要按照《信息安全等級保護管理辦法》(以下簡稱《管理辦法》,附件1)和《信息系統安全等級保護定級指南》(附件2)的要求,確定各定級對象。并初步確定定級對象的安全保護等級,起草定級報告(報告模板見附件3)。各公司責任部門將本單位(系統)運營使用單位的定級報告匯總后統一報送領導小組辦公室。
涉密信息系統的等級確定按照國家保密局的有關規定和標準執行。
3、評審
領導小組辦公室組織專家對上報的定級報告進行分類評審。評審后領導小組辦公室印發《電力行業信息系統安全等級保護定級實施指南》,指導各電力公司和信息系統運營使用單位的定級工作。
對于跨電力公司聯網運行的信息系統,由領導小組辦公室統一確定安全保護等級。
對于屬同一電力公司,但跨省聯網運行的信息系統,由公司責任部門統一確定安全保護等級。對于通用信息系統,由領導小組辦公室提出安全保護等級建議,運營使用單位自主確定安全保護等級。
對于運營使用單位所特有的信息系統,各運營使用單位自行確定安全保護等級。
對擬確定為第四級以上信息系統的,由領導小組辦公室邀請國家信息安全保護等級專家評審委員會評審。
4、審批與備案
根據《管理辦法》,信息系統安全等級確定為二級以上的信息系統運營使用單位到公安部網站下載《信息系統安全等級保護備案表》(見附件4)和輔助備案工具,持填寫的備案表和利用輔助備案工具生成的備案電子數據,到公安機關辦理備案手續,提交有關備案材料及電子數據文件。其中,第二級信息系統的備案單位只需填寫備案表中的表
一、表二和表三,第三級以上信息系統的備案單位還應當同時提交備案表表四所列各項內容的書面材料。
各運營使用單位要參照《電力行業信息系統安全等級保護定級實施指南》,結合本單位實際,填寫備案表,由公司責任部門審定后,統一匯總報送領導小組辦公室審批。
備案表經領導小組辦公室審查批準后,各有關單位應根據下列要求到公安機關辦理備案手續。
(1)跨電力公司聯網運行,且由領導小組辦公室統一確定安全等級的信息系統,領導小組辦公室負責統一向公安部辦理備案手續。
(2)電力公司內部跨省聯網運行,且由公司責任部門統一確定安全等級的信息系統,由公司責任部門負責統一向公安部辦理備案手續。
(3)其它信息系統的由運營使用單位直接向當地設區的市級以上公安機關備案。
(4)跨省聯網運行的信息系統,在各地運行、應用的分支系統,向當地設區的市級以上公安機關備案。
涉密信息系統建設使用單位依據《管理辦法》和國家保密局的有關規定,填寫《涉及國家秘密的信息系統分級 保護備案表》(見附件5),按照屬地化管理原則,中央和國家機關單位的涉密信息系統向國家保密局備案;地方單位的涉密信息系統向所在地的市(地)級以上保密工作部門備案;中央和國家機關地方所屬單位的涉密信息系統,向所在地的省級保密工作部門備案。
5、備案管理
公安機關和國家保密工作部門負責受理電力行業信息系統等級保護定級備案,并進行備案管理。信息系統備案后,公安機關對信息系統的備案情況進行審核,對符合等級保護要求的,頒發信息系統安全保護等級備案證明。發現不符合《管理辦法》及有關標準的,將通知備案單位予以糾正。發現定級不準的,通知運營使用單位或者領導小組辦公室重新審核確定。各級保密工作部門加強對涉密信息系統定級工作的指導、監督和檢查。
三、進度安排
動員部署階段,8月15日前印發通知,對定級工作進行動員部署。
摸底調查及初步定級階段,8月31日前完成。開展信息系統基本摸底調查,初步確定定級對象的安全保護等級,起草定級報告。
評審階段,9月24日前完成。領導小組辦公室對上報的初步定級報告進行分類評審,并編制印發《電力行業信息系統安全等級保護定級實施指南》。
審批與備案階段,10月15日前完成。各運營使用單位按照《電力行業信息系統安全等級保護定級實施指南》,填寫備案表并上報領導小組辦公室審核,審核批準后按要求向公安機關備案。
總結階段,10月20日前完成。各公司責任部門對本單位(系統)信息系統安全定級工作進行總結,并向領導小組辦公室報送總結報告。領導小組辦公室對行業信息系統安全定級工作進行總結,并報送公安部。
四、工作要求
1、加強領導,落實保障
各電力公司要按照領導小組辦公室的統一部署,明確等級保護責任部門,加強組織領導,及時掌握工作進展情況。信息系統運營使用單位要落實責任部門、責任人員和經費,保障定級工作順利進行。
2、明確責任,密切配合
信息系統的運營使用單位是安全等級保護工作的責任主體,要切實落實運營使用單位的責任。電力公司對所屬單位信息系統的安全等級保護工作負總責,各單位要承擔起本單位(本系統)信息系統安全等級保護工作的組織管理職責。
各電力公司、各運營使用單位要按照領導小組辦公室的部署,積極協調做好本系統、本單位信息系統的安全等級保護工作。
3、動員部署,開展培訓
各單位要按照統一部署,廣泛進行宣傳動員,舉辦形式多樣的培訓班、研討班等,層層培訓。領導小組辦公室將根據電力行業特點,按照國家要求,會同有關專業培訓單位,組織開展電力行業等級保護培訓工作。
4、及時總結,提出建議
各電力公司、運營使用單位要結合本單位、本系統開展定級工作的實際,認真總結經驗和不足,提出改進和完善定級方法的意見和建議。各公司責任部門要及時總結定級工作經驗,形成定級工作總結報告,及時報送領導小組辦公室。
此次定級工作完成后,領導小組辦公室將按照《管理辦法》和有關技術標準,繼續組織開展信息系統安全等級保護的系統建設或整改、等級測評、自查自糾等后續工作。
聯系方式:
電力行業網絡與信息安全領導小組辦公室
聯系人:胡紅升 010-58681816 溫紅子 010-58681815 電子郵件:xxtb@serc.gov.cn 傳真:010-58681835 技術支持電話:010-82812516 附件:1.《信息安全等級保護管理辦法》 2.《信息安全等級保護定級指南》
3.《信息系統安全等級保護定級報告》模版 4.《信息安全等級保護備案表》
5.《涉及國家秘密的信息系統分級保護備案表》
二○○七年八月十三日
【來源】電監會辦公廳 【日期】2007-08-20
【字體: 大 中 小】 【打印】 【關閉】
Copyright ?1998-2007 All Rights Reserved 國家電力監管委員會 版權所有
第三篇:醫院信息系統安全等級保護工作實施方案
關于做好信息安全等級保護工作的通知 各科室:
醫院信息系統是醫療服務的重要支撐體系。為貫徹落實國家信息安全等級保護制度,確保我院信息系統安全可靠運行,根據《湖北省衛生廳湖北省公安廳關于開展全省衛生行業信息安全等級保護工作通知》(鄂衛發〔2012〕14號)精神,并結合我院信息系統應用的特點,就相關事項通知如下。
一、組織領導 組長: 副組長: 組員:
領導小組辦公室設在XX科,由XX同志兼任主任,XXX等同志負責具體工作。
二、工作任務
1、做好系統定級工作。定級系統包括基礎支撐系統,面向患者服務信息系統,內部行政管理信息系統、網絡直報系統及門戶網站,定級方法由市衛生局統一與市公安局等信息安全相關部門協商。
2、做好系統備案工作。按照市衛生系統信息安全等級保護劃分定級要求,對信息系統進行定級后,將本單位《信息系統安全等級保護備案表》《信息系統定級報告》和備案電子數據報衛生局,由衛生局報屬地公安機關辦理備案手續。
3、做好系統等級測評工作。完成定級備案后,選擇市衛生局推薦的等級測評機構,對已確定安全保護等級信息系統,按照國家信息安全等級保護工作規范和《信息安全技術信息系統安全等級保護基本要求》等國家標準開展等級測評,信息系統測評后,及時將測評機構出具的《信息系統等級測評報告》向屬地公安機關報備。
4、完善等級保護體系建設做好整改工作。按照測評報告評測結果,對照《信息系統安全等級保護基本要求》等有關標準,組織開展等級保護安全建設整改工作,具體要求如下: 安全類別
控制項
主要安全措施
二級保護措施
三級保護措施
物理安全
物理訪問控制
機房安排專人負責,來訪人員須審批和陪同
√
√
重要區域配置門禁系統
√
防盜竊和防破壞
暴露在公共場所的網絡設備須具備安全保護措施
√
√
主機房安裝監控報警系統
√
防雷擊
機房計算機系統接地符合GB 50057-1994《建筑物防雷設計規范》中的計算機機房防雷要求
√
√
機房電源、網絡信號線、重要設備安裝有資質的防雷裝置
√
防火
機房設置滅火設備和火災自動報警系統
√
√
機房配置自動滅火裝置
√
電力供應
機房及關鍵設備應配置UPS備用電力供應
√
√
醫院重要科室應采用雙回路電源供電
√
√
環境監控
機房設置溫、濕度自動調節設施
√
√
機房設置防水檢測和報警設施
√
對機房關鍵設備和磁介質實施電磁屏蔽
√
網絡安全
結構安全
網絡應按職能和重要程度不同劃分網段
√
√
重要網段之間應采用防火墻進行隔離
√
訪問控制
網絡邊界部署防火墻或網閘
√
√
安全審計
網絡日志審計、網絡運維管理安全審計
√
√
邊界完整性檢查
采用準入控制系統,實現準入控制、非法外聯檢查
√
√
采用準入控制系統,實現準入控制及非法外聯可阻斷
√
入侵防范
入侵檢測系統/入侵防御系統
√
√
惡意代碼防范
防病毒網關
√
主機安全
入侵防范
采用服務器安全加固
√
√
安全審計
采用終端管理系統實現安全審計
√
√
惡意代碼防范
防病毒軟件
√
√
應用安全
身份鑒別
采用電子認證措施
√
√
安全審計
數據庫安全審計系統
√
√
數據安全與備份恢復
備份和恢復
本地數據備份與恢復
√
√
硬件冗余
關鍵網絡設備、線路和服務器硬件冗余 √
√
異地備份
異地數據備份
√
三、工作要求
1、切實加強組織領導。擬定實施醫院信息系統安全等級保護的具體方案,并制定相應的崗位責任制,召開專題會議,確保信息安全等級保護工作順利實施。
2、建立健全信息系統安全管理制度。根據信息安全等級保護的要求,制定各項信息系統安全管理制度,對安全管理人員或操作人員執行的重要管理操作建立操作規程和執行記錄文檔。
3、制定保障醫療活動不中斷的應急預案。按可能出現問題的不同情形制定相應的應急措施,在系統出現故障和意外且無法短時間恢復的情況下能確保醫療活動持續進行。
第四篇:信息安全等級保護工作實施方案
白魯礎九年制學校
信息安全等級保護工作實施方案
為加強信息安全等級保護,規范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進我校信息化建設。根據商教發【2011】321號文件精神,結合我校實際,制訂本實施方案。
一、指導思想
以科學發展觀為指導,以黨的十七大、十七屆五中全會精神為指針,深入貫徹執行《信息安全等級保護管理辦法》等文件精神,全面推進信息安全等級保護工作,維護我校基礎信息網絡和重要信息系統安全穩定運行。
二、定級范圍
學校管理、辦公系統、教育教學系統、財務管理等重要信息系統以及其他重要信息系統。
三、組織領導
(一)工作分工。定級工作由電教組牽頭,會同學校辦公室、安全保衛處等共同組織實施。
學校辦公室負責定級工作的部門間協調。
安全保衛處負責定級工作的監督。
電教組負責定級工作的檢查、指導、評審。
各部門依據《信息安全等級保護管理辦法》和本方案要求,開展信息系統自評工作。
(二)協調領導機制。
1、成立領導小組,校長任組長,副校長任副組長、各部門負責人為成員,負責我校信息安全等級保護工作的領導、協調工作。督促各部門按照總體方案落實工作任務和責任,對等級保護工作整體推進情況進行檢查監督,指導安全保密方案制定。
2、成立由電教組牽頭的工作機構,主要職責:在領導小組的領導下,切實抓好我校定級保護工作的日常工作。做好組織各信息系統運營使用部門參加信息系統安全等級保護定級相關會議;組織開展政策和技術培訓,掌握定級工作規范和技術要求,為定級工作打好基礎;全面掌握學校各部門定級保護工作的進展情況和存在的問題,對存在的問題及時協調解決,形成定級工作總結并按時上報領導小組。
3、成立由赴省參加過計算機培訓的教師組成的評審組,主要負責:一是為我校信息與網絡安全提供技術支持與服務咨詢;二是參與信息安全等級保護定級評審工作;三是參與重要信息與網絡安全突發公共事件的分析研判和為領導決策提供依據。
四、主要內容、工作步驟
(一)開展信息系統基本情況的摸底調查。各部門要組織開展對所屬信息系統的摸底調查,全面掌握信息系統的數量、分布、業務類型、應用或服務范圍、系統結構等基本情況,按照《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》的要求,確定定級對象。
(二)初步確定安全保護等級。各使用部門要按照《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》,初步確定定級對象的安全保護等級,起草定級報告。涉密信息系統的等級確定按照國家保密局的有關規定和標準執行。
(三)評審。初步確定信息系統安全保護等級后,上報學校信息系統安全等級保護評審組進行評審。
(四)備案。根據《信息安全等級保護管理辦法》,信息系統安全保護等級為第二級以上的信息系統統一由電教組負責備案工作。
五、定級工作要求
(一)加強領導,落實保障。各部門要落實責任,并于12月15日前將《信息系統安全等級保護備案表》、《信息系統安全等級保護定級報告》上報九年制學校。
(二)加強培訓,嚴格定級。為切實落實評審工作,保證定級準確,備案及時,全面提高我校基礎信息網絡和重要信息系統的信息安全保護能力和水平,保證定級工作順利進行,各部門要認真學習《信息安全等級保護管理辦法》、《文保處教育系統單位信息分級培訓材料》、《信息系統安全保護等級定級指南(國標)》、《信息系統安全等級保護基本要求(報批)》、《信息系統安全等級保護實施指南(報批)》等材料。
(三)積極配合、認真整改。各部門要認真按照評級要求,組織開展等級保護工作,切實做好重要信息系統的安全等級保護。
(四)自查自糾、完善制度。此次定級工作完成后,請各部門按照《信息安全等級保護管理辦法》和有關技術標準,依據系統所定保護等級的要求,定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查,并不斷完善安全管理制度,今后,若信息系統備案資料發生變化,應及時進行變更備案
第五篇:關于開展全國重要信息系統安全等級保護定級工作的通知
附件二:
中華人民共和國公安部 國
家
保
密
局
國家密碼管理局 國務院信息化工作辦公室
關于開展全國重要信息系統安全等級保護
定級工作的通知
公信安[2007]861號
各省、自治區、直轄市公安廳(局)、保密局、國家密碼管理局(國家密碼管理委員會辦公室)、信息化領導小組辦公室,新疆生產建設兵團公安局、保密局、國家密碼管理局、信息化領導小組辦公室,中央和國家機關各部委保密委員會辦公室、密碼工作領導小組辦公室、信息化領導小組辦公室,各人民團體保密委員會辦公室:
為進一步貫徹落實《國家信息化領導小組關于加強信息安全保障工作的意見》和公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室《關于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》(以下簡稱《管理辦法》)精神,提高我國基礎信息網絡和重要信息系統的信息安全保護能力和水平,根據國家網絡與信息安全協調小組2007年的工作部署,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室定于2007年7月至10月在全國范圍內組織開展重要信息系統安全等級保護定級工作(以下簡稱“定級工作”)。現就有關事項通知如下:
一、定級范圍
(一)電信、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡,經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統。
(二)鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業、部門的生產、調度、管理、辦公等重要信息系統。
(三)市(地)級以上黨政機關的重要網站和辦公信息系統。
(四)涉及國家秘密的信息系統(以下簡稱“涉密信息系統”)。
二、定級工作的主要內容
(一)開展信息系統基本情況的摸底調查。各行業主管部門、運營使用單位要組織開展對所屬信息系統的摸底調查,全面掌握信息系統的數量、分布、業務類型、應用或服務范圍、系統結構等基本情況,按照《管理辦法》和《信息系統安全等級保護定級指南》的要求,確定定級對象。各行業主管部門要根據行業特點提出指導本地區、本行業定級工作的具體意見。
(二)初步確定安全保護等級。各信息系統主管部門和運營使用單位要按照《管理辦法》和《信息系統安全等級保護定級指南》,初步確定定級對象的安全保護等級,起草定級報告(報告模版見附件1)。跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定安全保護等級。涉密信息系統的等級確定按照國家保密局的有關規定和標準執行。
(三)評審與審批。初步確定信息系統安全保護等級后,可以聘請專家進行評審。對擬確定為第四級以上信息系統的,由運營使用單位或主管部門請國家信息安全保護等級專家評審委員會評審。運營使用單位或主管部門參照評審意見最后確定信息系統安全保護等級,形成定級報告。當專家評審意見與信息系統運營使用單位或其主管部門意見不一致時,由運營使用單位或主管部門自主決定信息系統安全保護等級。信息系統運營使用單位有上級行業主管部門的,所確定的信息系統安全保護等級應當報經上級行業主管部門審批同意。
(四)備案。根據《管理辦法》,信息系統安全保護等級為第二級以上的信息系統運營使用單位或主管部門到公安部網站下載《信息系統安全等級保護備案表》(見附件2)和輔助備案工具,持填寫的備案表和利用輔助備案工具生成的備案電子數據,到公安機關辦理備案手續,提交有關備案材料及電子數據文件。其中,第二級信息系統的備案單位只需填寫備案表中的表
一、表二和表三,第三級以上信息系統的備案單位還應當同時提交備案表表四所列各項內容的書面材料。隸屬于中央的在京單位,其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統,由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統,向當地設區的市級以上公安機關備案。
涉密信息系統建設使用單位依據《管理辦法》和國家保密局的有關規定,填寫《涉及國家秘密的信息系統分級保護備案表》(見附件3),按照屬地化管理原則,中央和國家機關單位的涉密信息系統向國家保密局備案;地方單位的涉密信息系統向所在地的市(地)級以上保密工作部門備案;中央和國家機關地方所屬單位的涉密信息系統,向所在地的省級保密工作部門備案。
(五)備案管理。公安機關和國家保密工作部門負責受理備案并進行備案管理。信息系統備案后,公安機關應當對信息系統的備案情況進行審核,對符合等級保護要求的,頒發信息系統安全保護等級備案證明。發現不符合《管理辦法》及有關標準的,應當通知備案單位予以糾正。發現定級不準的,應當通知運營使用單位或其主管部門重新審核確定。各級保密工作部門加強對涉密信息系統定級工作的指導、監督和檢查。
三、定級工作的要求
(一)加強領導,落實保障。各地區、各部門要加強對本地區、本行業信息安全等級保護工作的組織領導,及時掌握工作進展情況,并可組織成立專家組,明確技術支持力量。信息系統運營使用單位要成立等級保護工作組,落實責任部門、責任人員和經費,保障定級工作順利進行。
(二)明確責任,密切配合。定級工作由各級公安機關牽頭,會同國家保密工作部門、國家密碼管理部門和信息化領導小組辦事機構共同組織實施。公安機關負責定級工作的監督、檢查、指導;國家保密工作部門負責涉密系統定級工作的監督、檢查、指導;國家密碼管理部門負責定級工作中有關密碼工作的監督、檢查、指導;信息化領導小組辦事機構負責定級工作的部門間協調。各信息系統主管部門組織本行業、本部門信息系統運營使用單位開展定級工作,督促其落實定級工作各項任務。各信息系統運營使用單位依據《管理辦法》和本通知要求,具體實施定級工作。
(三)動員部署,開展培訓。各地區、各部門要按照統一部署廣泛進行宣傳動員,舉辦形式多樣的培訓班、研討班等,層層培訓。公安部會同國家保密局、國家密碼管理局、國務院信息化工作辦公室對國家有關部委、各省級公安、保密、密碼和信息化領導小組辦事機構就《管理辦法》和《信息系統安全等級保護定級指南》等內容進行培訓。信息系統主管部門對所管轄的信息系統運營使用單位進行培訓。各地參照上述培訓模式開展培訓工作。
(四)及時總結,提出建議。各地區、各部門要結合本地區、本行業開展定級工作的實際,認真總結經驗和不足,提出改進和完善定級方法的意見和建議。各地區、各部門負責等級保護的領導機構要及時總結定級工作經驗,形成定級工作總結報告,并及時報送公安部。涉密信息系統定級工作總結報告向國家保密局報送。
此次定級工作完成后,請各主管部門、運營使用單位按照《管理辦法》和有關技術標準,繼續開展信息系統安全等級保護的系統建設或整改、等級測評、自查自糾等后續工作,各級公安、保密、密碼管理部門要開展等級保護工作的監督、檢查和指導。
執行中有何問題,請及時報告。
公安部聯系人郭啟全,聯系電話:010-66261745 國家保密局聯系人魏力,聯系電話:010-83086085 國家密碼管理局聯系人王家瑋,聯系電話:010-83084734 國務院信息辦聯系人李強,聯系電話:010-83083664 公安部網址:www.tmdps.cn(互聯網);
ftp://10.1.185.68(公安網)。技術咨詢電話:010—88530013、88530015。
附件:
1、《信息系統安全等級保護定級報告》模版
2、《信息系統安全等級保護備案表》
3、《涉及國家秘密的信息系統分級保護備案表》
公 安 部
國家保密局
國家密碼管理局
國務院信息化工作辦公室
二〇〇七年七月十六日
附件一:《信息系統安全等級保護定級報告》模版
《信息系統安全等級保護定級報告》
一、XXX信息系統描述
簡述確定該系統為定級對象的理由。從三方面進行說明:一是描述承擔信息系統安全責任的相關單位或部門,說明本單位或部門對信息系統具有信息安全保護責任,該信息系統為本單位或部門的定級對象;二是該定級對象是否具有信息系統的基本要素,描述基本要素、系統網絡結構、系統邊界和邊界設備;三是該定級對象是否承載著單一或相對獨立的業務,業務情況描述。
二、XXX信息系統安全保護等級確定(定級方法參見國家標準《信息系統安全等級保護定級指南》)
(一)業務信息安全保護等級的確定
1、業務信息描述
描述信息系統處理的主要業務信息等。
2、業務信息受到破壞時所侵害客體的確定
說明信息受到破壞時侵害的客體是什么,即對三個客體(國家安全;社會秩序和公眾利益;公民、法人和其他組織的合法權益)中的哪些客體造成侵害。
3、信息受到破壞后對侵害客體的侵害程度的確定 說明信息受到破壞后,會對侵害客體造成什么程度的侵害,即說明是一般損害、嚴重損害還是特別嚴重損害。
4、業務信息安全等級的確定
依據信息受到破壞時所侵害的客體以及侵害程度,確定業務信息安全等級。
(二)系統服務安全保護等級的確定
1、系統服務描述
描述信息系統的服務范圍、服務對象等。
2、系統服務受到破壞時所侵害客體的確定
說明系統服務受到破壞時侵害的客體是什么,即對三個客體(國家安全;社會秩序和公眾利益;公民、法人和其他組織的合法權益)中的哪些客體造成侵害。
3、系統服務受到破壞后對侵害客體的侵害程度的確定 說明系統服務受到破壞后,會對侵害客體造成什么程度的侵害,即說明是一般損害、嚴重損害還是特別嚴重損害。
4、系統服務安全等級的確定
依據系統服務受到破壞時所侵害的客體以及侵害程度確定系統服務安全等級。
(三)安全保護等級的確定 信息系統的安全保護等級由業務信息安全等級和系統服務安全等級較高者決定,最終確定XXX系統安全保護等級為第幾級。
信息系統名稱 XXX信息系統 安全保護等級
X
業務信息安全等級
X
系統服務安全等級
X
點擊咨詢 