各乡镇人民政府、农场,县直各单位:
为确保国家重要信息系统的信息网络安全,全面提高我县基础信息网络和重要信息系统的信息安全保护能力和水平,现将《元江县开展重要信息系统安全等级保护定级工作方案》印发给你们,请认真贯彻执行。
二○○九年五月三十一日
元江县开展重要信息系统安全等级保护定级工作方案
为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和公安部等四部门《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》(以下简称《管理办法》)精神,根据公安部、国家保密局、国家密码管理局、国家信息化工作办公室下发的《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕86l号)、公安部《关于印发〈公安机关信息安全等级保护检查工作规范(试行)〉的通知》(公信安〔2008〕736号)和《玉溪市人民政府办公室关于印发玉溪市开展重要信息系统安全等级保护定级工作方案的通知》(玉政办发〔2009〕127号)要求,抓紧开展并完成我县重要信息系统安全等级保护工作,确保国家重要信息系统的信息网络安全,全面提高我县基础信息网络和重要信息系统的信息安全保护能力和水平,县人民政府决定于2009年 6-9月在全县范围内组织开展重要信息系统安全等级保护工作。具体工作方案如下:
一、工作目的和意义
信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作不仅是实现国家对重要信息系统重点保护的重大措施,也是一项事关国家安全、社会稳定的政治任务。通过开展信息安全等级保护工作,可以有效解决我国信息安全面临的威胁和存在的问题,充分体现“适度安全、保护重点”的目的,将有限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,有效提高我国信息安全保障工作的整体水平。
二、组织领导
信息安全等级保护协调(领导)小组
组 长:张再洪 (县政府副县长、县公安局局长)
副组长:张丽琼 (县政府办公室副主任)
杨 忠 (县公安局副政委)
成 员:杨天梁 (县发改委副主任)
柳品勇 (县广电局副局长)
吴 � (县国家保密局局长)
张忠玲 (县经济信息中心主任)
白文祥 (县国家密码管理局负责人)
王 森 (县公安局治安管理大队大队长)
黄顺林 (县公安局治安管理大队副大队长)
方学飞 (县公安局110信息指挥中心副主任)
文 杰 (县电信公司经理)
普永信 (县移动公司副经理)
廖科俊 (县联通公司经理)
领导小组下设办公室在县公安局治安管理大队,由王森兼任办公室主任,具体负责信息系统安全等级保护定级工作的组织实施。
三、等级保护定级范围
(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、税务、电力、证券、保险、外事、科技、发改委、国防科技、公安、人事、劳动和社会保障、财政、审计、商务、水利、国土、能源、交通、文化、教育、统计、工商、邮政等行业和部门的生产、调度、管理、办公等重要信息系统。
(三)乡镇党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
四、等级保护定级工作的主要内容
(一)开展信息系统基本情况的摸底调查。各行业主管部门、运营使用单位要认真组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《管理办法》和《信息系统安全等级保护定级指南》的要求,确定等级保护定级对象。
(二)初步确定安全保护等级。各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全等级保护定级指南》的要求,初步确定定级对象的安全保护等级,并起草定级报告。跨省、跨市、跨县或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
(三)评审与审批。初步确定信息系统安全保护等级后,可以聘请专家进行评审。对拟确定为第四级以上信息系统的,由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审,可由具有满足测评条件的第三方进行测评。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。
(四)备案。受玉溪市信息安全等级保护工作领导小组办公室(市公安局网监支队)的委托,元江县信息安全等级保护工作领导小组办公室(元江县公安局治安管理大队)对备案进行初审。信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到中国信息安全等级保护网(www.djbh.net)下载《信息系统安全等级保护备案表》和辅助备案工具,对有关备案材料及电子数据文件进行收集整理后,到元江县信息安全等级保护工作领导小组办公室初审。备案材料齐全的,由元江县信息安全等级保护工作领导小组办公室写出初审意见,向玉溪市信息安全等级保护工作领导小组办公室(市公安局网监支队)提交备案材料,办理备案手续。跨省、跨市、跨县或者全国、全省统一联网运行的信息系统由主管部门或上级部门统一定级,在玉溪运行、应用的分支系统向玉溪市信息安全等级保护工作领导小组办公室办理备案手续 ;涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定,填写《涉及国家秘密的信息系统分级保护备案表》,按照属地管理原则,省直单位的涉密信息系统向省国家保密局备案;市直单位的涉密信息系统向市保密局备案。不按要求备案的,按照《信息安全等级保护管理办法》等法律法规予以处罚。
(五)备案管理。公安机关和国家保密工作部门负责受理备案及其管理。信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有关标准的,应当通知备案单位予以纠正。发现定级不准的,应当通知运营使用单位或其主管部门重新审核确定。保密工作部门要加强对涉密信息系统定级工作的指导、监督和检查。
五、定级工作时间安排
(一)自主定级阶段(6月1日至7月31日)。各重要信息系统主管部门、信息系统运营使用单位按照《管理办法》和《信息系统安全等级保护定级指南》的要求,自主确定定级对象的安全保护等级。定级为第二级以上的信息系统运营、使用单位,到指定网站下载填写《信息系统安全等级保护备案表》表一、表二、表三。
(二)备案阶段(8月1日至9月30日)。第二级的信息系统运营、使用单位要完善自主定级阶段所报送的备案表和《信息系统安全等级保护定级报告》;第三级以上的信息系统除提交《信息系统安全等级保护备案表》表一、表二、表三外,还应按照《信息系统安全等级保护备案表》表四的要求准备系统拓扑结构及说明等材料;聘请信息系统安全保护等级专家进行评审,提交评审意见;邀请具有测评资质的机构进行测评,提交检测评估报告;有上级主管部门的报上级主管部门审核,出具审核批准的意见书,报公安机关备案。涉密信息系统按照规定向相应的保密工作部门备案。
六、确定定级对象原则
信息系统运营使用单位或主管单位部门按如下原则确定定级对象:一是应用系统应按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。起传输作用的基础网络要作为单独的定级对象。二是确认负责定级的单位是否对所定级系统具有安全管理责任。三是具有信息系统的基本要素。只有同时满足上述三个条件,才可由本单位对其定级。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体,应避免将某个单一的系统组件(如服务器、终端、网络设备等)作为定级对象。
七、工作要求
(一)加强领导,落实保障。信息系统运营、使用单位要成立等级保护工作组,落实责任部门、责任人员和经费,保障定级工作顺利进行。
(二)明确责任,密切配合。定级工作由县政府牵头,会同县公安局、县保密局、县国家密码管理局和县经济信息中心共同组织实施。公安机关负责定级工作的监督、检查、指导;国家保密工作部门负责涉密系统定级工作的监督、检查、指导;国家密码管理部门负责定级工作中有关密码工作的监督、检查、指导;经济信息中心负责定级工作的部门间协调。各信息系统主管部门组织本行业、本部门信息系统运营使用单位开展定级工作,督促其落实定级工作各项任务。各信息系统运营使用单位依据《管理办法》和本实施方案,具体实施定级工作。
(三)及时总结,提出建议。各乡镇、农场、县直各部门要结合本地区、本单位信息系统开展定级工作的实际,认真总结经验和不足,提出改进和完善定级方法的意见和建议,认真写出总结,于10月15日前报送至元江县信息安全等级保护工作领导小组办公室(县公安局治安管理大队)。涉密信息系统定级工作总结向县国家保密局报送。
此次定级工作完成后,请各信息系统主管部门、运营使用单位按照《管理办法》和有关技术标准,继续开展信息系统安全等级保护的系统建设或整改、等级测评、自查自纠等后续工作,公安、保密、密码管理部门将依据《管理办法》对等级保护工作进行监督、检查和指导。
联系人及电话:
李林华 县国家保密局 电话:6515478
白文祥 县国家密码管理局 电话:6515075
李鹏伟 县经济信息中心 电话:6515235
刘彦斌 县公安局 电话:13887708398
