第一篇:浙江省信息安全等级保护工作实施方案
浙江省信息安全等级保护工作实施方案
为贯彻落实国家信息化领导小组《关于加强信息安全保障工作的意见》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》以及《浙江省信息安全等级保护管理办法》,根据国家信息安全等级保护工作协调小组的部署,结合我省实际,制订本方案。
一.指导思想
以中央和省委、省政府有关加强信息安全保障工作的意见为指导,通过全面推行信息安全等级保护工作,提高我省信息安全的保障能力和防护水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设的健康发展。
二.工作目标
通过实行等级保护工作,使基础信息网络和重要信息系统的核心要害部位得到有效保护,涉及国家安全、社会稳定和公共利益的基础信息网络和重要信息系统的保护状况有较大改善。
通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,使我省信息安全保障状况得到基本改善。
通过加强和规范信息安全等级保护管理,不断提高我省信息安全保障能力,为维护信息网络的安全稳定,促进信息化发展服务。
三.组织管理
为加强信息安全等级保护工作的领导,成立由省公安厅牵头,省保密局、省国家密码管理局和省信息办等有关部门参加的浙江省信息安全等级保护工作协调小组,负责我省信息安全等级保护工作的组织协调,并下设办公室在省公安厅。设区市的公安机关、保密部门、密码管理部门和信息化行政主管部门也要联合成立由公安机关牵头的信息安全等级保护工作协调小组,建立相应办事机构,负责本地信息安全等级保护工作。
信息系统的建设、运营、使用单位应成立由主管领导参加的信息安全等级保护工作领导小组,并确定职能部门负责本系统、本单位的信息安全等级保护工作。
省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组,并分别负责对涉及全省和全市的基础信息网络和重要信息系统的信息安全保护等级进行审定。
为保证信息安全等级测评工作正常、有效开展,成立由省公安厅牵头,省保密局、省国家密码管理局、省信息办和省国家安全厅等单位有关专家参加的测评机构审查小组,对在我省基础信息网络和重要信息系统中开展测评工作的测评机构及其主要业务、技术人员的资质,以及安全保密测评资格进行专门审查,审查后公布推荐目录,供我省基础信息网络和重要信息系统使用单位选择使用。
四.工作内容
(一)系统定级
信息系统运营、使用单位应按照国家有关规定,确定信息系统的安全保护等级,有主管部门的,应当经主管部门审核批准。系统涉及国家秘密的部分,应当按照《涉密信息系统分级保护管理办法》(国保发[2005]16号)和《涉及国家秘密的信息系统分级保护技术要求》(国家保密标准BMBl7-2006)确定信息系统的安全保护等级。跨市或者全省统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
(二)定级评审
属于基础信息网络和重要信息的系统运营、使用单位初步确定安全保护等级后,应聘请省或市信息系统保护等级专家评审组的专家进行评审。对拟确定为第四级、第五级信息系统的,运营、使用单位或主管部门应经省信息化行政主管部门初审后,请国家信息安全等级保护专家评审委员会评审。其它定级评审,依照《浙江省信息安全等级评审实施细则》执行。
(三)系统备案
安全保护等级为二级以上的信息系统,其运营、使用单位需在等级确定后的三十天内,向设区的市级以上公安机关备案。安全保护等级为五级的,由国家指定的专门部门进行备案。系统涉及国家秘密的,向设区的市级以上保密工作部门备案。系统中使用密码设备的,密码设备要向设区的市级密码管理部门备案。
省公安厅负责安全保护等级确定为第二级以上的省级基础信息网络、省级重要领域信息系统、跨设区市联网运行的信息系统,及安全保护等级为四级的信息系统备案,其余需要备案的系统由其运营、使用单位到设区市公安机关备案。办理备案手续时,应提交《信息系统安全等级保护备案表》,安全保护等级为三级以上的应同时提供备案表所列的“系统拓扑结构及说明”等备案材料,并可利用辅助备案工具软件生成备案电子数据一并向公安机关提交。《信息系统安全等级保护备案表》和辅助备案工具软件可在省公安厅门户网站下载。
信息系统备案后,公安机关应当对信息系统的备案情况进行审核,发现不符合国家有关规定、标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新确定。信息系统运营、使用单位重新确定信息系统安全等级后,应向公安机关重新备案。
(四)等级测评、整改
信息系统运营、使用单位在进行信息系统备案后,应当选择测评机构进行安全测评。测评机构依据《信息系统安全等级保护测评要求》等技术标准,对信息系统安全等级状况开展测评,给出相应的系统安全检测评估报告。经测评信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改,以符合安全保护等级要求。对符合等级保护要求的,公安机关应当颁发信息系统安全等级保护备案证明。安全保护等级为五级的信息系统,由国家指定的专门部门进行测评和整改。
(五)安全管理、建设
信息系统运营、使用单位应根据国家有关规定和技术标准,建立信息安全等级保护管理制度,落实安全保护责任。具体包括制定信息安全事件等级响应和处置制度;信息安全等级保护系统建设、运行维护制度;信息系统安全检测和风险评估制度;安全教育和培训制度等。根据检测评估报告中反映出的安全问题,要按照《信息系统安全等级保护基本要求》和风险评估有关标准,确定系统安全需求,制定系统总体安全策略和相关制度,细化符合安全等级保护要求的系统安全技术框架和安全管理框架方案,明确安全建设计划,并全面组织实施。
同时,基础信息网络和重要信息系统的运营、使用单位,应当按照国家有关技术规范和标准,每年对系统的信息安全状况进行一次全面的测评或者自查。第四级信息系统应当每半年至少进行一次测评或者自查,第五级信息系统应当依据特殊安全需求进行测评或者自查。经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位要进行整改,直至达到安全保护等级要求。
五.监督管理
根据信息安全等级保护工作的职责分工,公安机关负责信息安全等级保护工作的总体监督、检查、指导。保密工作部门负责信息安全等级保护工作中有关保密工作的监督、检查、指导。密码管理部门负责信息安全等级保护工作中有关密码工作的监督、检查、指导。信息化行政主管部门负责信息安全等级保护工作的部门间协调。
公安机关要对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨市或全省统一联网运行的信息系统检查,要会同其主管部门进行。
保密工作部门要加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评。
密码管理部门要定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况,每两年至少进行一次检查和测评。六.工作安排
按照突出重点、统筹规划,重点保障基础信息网络和重要信息系统安全的总体要求和原则,我省信息安全等级保护工作将分批、分阶段进行。2007年8月至10月集中开展基础信息网络和重要信息系统的定级工作。
我省重要信息系统包括:
1.党政事务处理信息系统和重要网站; 2.金融、财税、海关业务信息系统;
3.铁路、机场、交通(港口)等业务信息系统;
4.医疗、社(医)保、供水、电力、燃气等业务信息系统; 5.涉及国家秘密的信息系统;
6.国家和省规定的其他重要信息系统。
基础信息网络主要包括公用通信网、广播电视传输网等。
其它已运营、使用信息系统和新建信息系统按照相关规定开展等级保护工作。
(一)准备阶段.设区的市公安机关、保密工作部门、密码管理部门和信息化行政主管部门联合成立公安机关牵头的信息安全等级保护工作协调小组,建立相应办事机构,积极做好信息安全等级保护工作的宣传、培训和组织工作,全面推进本地信息安全等级保护工作。
设区的市信息化行政主管部门成立市信息系统安全等级保护专家评审组,积极做好信息安全等级保护工作的咨询和定级评审工作。
各行业主管部门,信息系统运营、使用单位成立信息安全等级保护工作领导小组,对所属信息系统进行摸底调查,全面掌握信息系统的业务类型、应用或服务范围、系统结构等基本情况,确定定级对象,并提出开展本行业、本单位等级保护工作的具体意见。
(二)组织实施阶段.1.定级备案工作。基础信息网络和重要信息系统在2007年10月20日前完成定级、评审和初备案工作。其余信息系统在2008年6月30日前完成。
2.等级测评工作。基础信息网络和重要信息系统在2008年7月31日前完成等级测评工作。其余信息系统在2008年12月31日前完成。
3.整改建设工作。基础信息网络和重要信息系统在2009年6月30日前完成整改建设工作。其余信息系统在2009年10月31日前完成整改建设工作。
(三)巩固完善阶段
信息系统整改建设工作完成后,应当建立完善信息系统安全状况日常检测工作制度,加强对信息系统的日常维护和安全管理,及时消除安全隐患,确保信息的安全和系统的正常运行。
七.工作要求
(一)提高认识,加强领导。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。为此,各级公安机关、保密工作部门、密码管理部门和信息化行政主管部门,以及重要信息系统运营、使用单位和主管部门,要充分认识开展信息安全等级保护工作的重要性、必要性,切实增强政治责任感和工作紧迫感,全面贯彻落实中央、国务院和省委、省政府的要求和部署,切实做好信息安全等级保护工作。
(二)明确责任,密切配合。信息安全等级保护工作由各级公安机关牵头,会同保密工作部门、密码管理部门和信息化行政主管部门共同组织实施。四部门要在明确责任的基础上,加强协调配合,共同组织信息系统主管部门和运营、使用单位开展信息安全等级保护工作。各信息系统主管部门组织本行业、本部门信息系统运营、使用单位开展信息安全等级保护工作,督促其落实信息安全等级保护工作的各项任务。
(三)动员部署,开展培训。各地区、各部门要按照统一部署,广泛进行宣传动员,加强培训,指导本地区、本行业信息系统运营、使用单位按照信息安全等级保护工作的总体要求,分阶段、分步骤完成各项任务。省公安厅将会同省保密局、省国家密码管理局、省信息办对省有关单位、行业以及各市公安机关、保密工作部门、国家密码管理工作部门和信息化行政主管部门就信息安全等级保护工作规范、标准等内容进行培训。信息系统主管部门对所管辖的信息系统运营、使用单位进行培训。各市参照上述培训模式开展培训工作。
(四)及时总结,形成规范。在等级保护工作中,各地、各部门要认真总结工作经验和存在的问题,探索我省在信息安全等级保护工作中有关监督管理、安全评测、安全建设等的方面具体内容、工作流程和程序,建立完善工作规范,为我省全面推行信息安全等级保护工作打好基础。各阶段有关工作情况应当及时报协调小组办公室。
第二篇:信息安全等级保护工作实施方案
白鲁础九年制学校
信息安全等级保护工作实施方案
为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【2011】321号文件精神,结合我校实际,制订本实施方案。
一、指导思想
以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。
二、定级范围
学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。
三、组织领导
(一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。
学校办公室负责定级工作的部门间协调。
安全保卫处负责定级工作的监督。
电教组负责定级工作的检查、指导、评审。
各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。
(二)协调领导机制。
1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。
2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。
3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。
四、主要内容、工作步骤
(一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。
(二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
(三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。
(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。
五、定级工作要求
(一)加强领导,落实保障。各部门要落实责任,并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。
(二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我校基础信息网络和重要信息系统的信息安全保护能力和水平,保证定级工作顺利进行,各部门要认真学习《信息安全等级保护管理办法》、《文保处教育系统单位信息分级培训材料》、《信息系统安全保护等级定级指南(国标)》、《信息系统安全等级保护基本要求(报批)》、《信息系统安全等级保护实施指南(报批)》等材料。
(三)积极配合、认真整改。各部门要认真按照评级要求,组织开展等级保护工作,切实做好重要信息系统的安全等级保护。
(四)自查自纠、完善制度。此次定级工作完成后,请各部门按照《信息安全等级保护管理办法》和有关技术标准,依据系统所定保护等级的要求,定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查,并不断完善安全管理制度,今后,若信息系统备案资料发生变化,应及时进行变更备案
第三篇:宁波市信息安全等级保护工作实施方案
宁波市信息安全等级保护工作实施方案
为进一步提高我市信息安全的保障能力和防护水平,确保国家基础信息网络和重要信息系统的安全运行,维护国家安全和社会稳定,保障公共利益,促进信息化建设,根据公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室《关于印发<信息安全等级保护办法>(试行)的通知》(公通字2006[7]号)的要求,计划用三年左右的时间在我市实施信息安全等级保护制度。
一、指导思想
以“三个代表”重要思想为指导,以党的十六大、十六届四中、五中全会精神以及国家信息化领导小组《关于加强信息安全保障工作的意见》为指针,深入贯彻执行公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室《关于印发<信息安全等级保护办法>(试行)的通知》的要求,全面推进信息安全等级保护工作,维护全市信息网络安全。
二、工作目标
经过三年努力,全面落实在信息安全规划、建设、评估、运行、维护等各个环节的等级保护制度,信息安全风险评估、信息安全产品认证、信息安全应急协调机制等制度逐步确立,进一步提高我市信息安全的保障能力和防护水平,切实保护我市基础信息网络和重要信息系统的安全。
三、职责分工 公安部门依法对运营、使用信息系统的单位的信息安全等级保护工作实施监督管理。督促、指导信息安全等级保护工作;监督、检查信息系统运营、使用单位的安全保护管理制度和技术措施的落实情况;受理信息系统保护等级的备案;依法查处信息系统运营、使用单位和个人的违法行为。保密部门按照国家有关规定和技术标准,对涉及国家秘密的信息系统的设计实施、审批备案、运行维护和日常保密管理等工作进行监督、检查、指导。督促、指导涉及国家秘密的信息安全等级保护工作;受理涉及国家秘密的信息系统保护等级的备案;依法查处信息泄密、失密事件。密码管理部门加强对涉及密码管理的信息安全等级保护工作的监督、检查和指导,查处信息安全等级保护工作中违反密码管理的行为和事件。信息化工作领导小组办公室协调信息安全等级保护工作。指导、协调信息安全等级保护工作;组织制定信息安全等级保护工作规范;组织专家审定信息系统的保护等级;为相关单位提供信息安全等级保护的有关咨询;根据预案规定,组织落实信息安全突发公共事件的应急处置工作。
四、方法步骤
(一)准备实施阶段(2006年底前)。一是做好宣传动员工作。《信息安全等级保护办法(试行)》已于今年3月1日起实施,各地各部门要积极协同新闻媒体,集中力量、集中时间,充分运用专题、专栏、评论等形式,组织开展征文、讲座等活动,多角度、全方位地开展国家信息安全等级保护制度的宣传,宁波市计算机信息网络安全协会网站(http://www.xiexiebang.com/)开设信息安全等级保护专栏,刊发国家重要法规文件、技术标准和综述性文章;积极组织各地门户网站和各部门政府网站,建立和完善信息安全等级保护制度的宣传网页、专栏;充分发挥协会民间社团作用,组织各部门、各单位的信息系统主管领导和安全员开展信息安全等级保护专业培训,进一步提高对信息安全等级保护工作重要性和紧迫性的认识,掌握等级保护的基本业务知识,积极推动各有关单位做好信息安全等级保护工作的前期准备。二是做好基础调查工作。根据公安部、国务院信息化工作办公室《关于开展信息系统安全等级保护基础调查工作的通知》要求,由公安机关负责、指导全市各重要信息系统运营、使用单位基础数据调查工作,信息化工作领导小组办公室做好基础调查的协调工作。各级公安机关必须充分认识开展基础调查的重要性、必要性和紧迫性,制订工作方案,明确调查对象,落实专人负责,按规定做好调查和上报工作,确保调查工作取得实效。三是实施信息安全等级保护试点工作。公安机关要及时汇总全市重要信息系统基础调查情况,在不同领域、不同地区确定6-8家全市信息安全等级保护试点单位。各信息系统主管部门应根据《信息系统安全等级保护定级指南》(试用稿V3.2)(下载网站:http://www.xiexiebang.com/)对本单位信息系统进行定级。由信息化工作领导小组办公室组织专家审定信息系统的保护等级。定级在三、四级信息系统的运营、使用单位到公安机关进行备案登记工作。公安机关要督促定级在三、四级的信息系统的运营单位委托信息安全等级保护评测机构对技术状况、管理现状、综合分析进行安全评估,并取得评测报告。在测评基础上,各信息系统运营、使用单位根据安全评估报告,制定安全保护整改策略,按照等级保护规定实施整改。各信息系统运营单位对整改后的系统再次委托信息安全等级保护评测机构进行安全等级保护评测,如存在问题继续整改,直至信息系统安全状况达到标准。
(二)重点实行阶段(2007年底前)。一是建立等级保护工作规范。各部门、各信息系统运营使用单位、信息安全等级保护测试评估机构要认真总结2006年全市信息安全等级保护工作的经验和问题,按照国家和省级信息安全等级保护办法的要求,在基础调查、等级评定、备案归档、安全评测、安全建设等方面建立工作规范,特别是公安机关、保密部门、密码管理部门都要建立工作档案,规范工作制度,建立信息安全等级保护的长效机制。二是在全市重要信息系统中实行等级保护制度。根据《信息安全等级保护办法(试行)》要求,对涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统全面实行等级保护制度,按照行业划分,会同重要信息系统的上级主管部门,从定级、备案、评估、整改、检验等环节,建立本行业信息系统等级保护的实施方案,经过一年的建设,使基础信息网络和重要信息系统的核心要害部位得到有效保护,安全状况得到较大改善,扭转目前基本没有保护措施或保护措施不到位的状况。
(三)全面实行阶段(2008年底前)。各单位在重点信息系统实行安全等级保护工作的基础上,在全市范围内全面推行信息安全等级保护制度。由行业主管单位负责对本行业内的信息系统进行全面归类分析,将信息安全等级保护纳入日常工作制度,对已经实施等级保护制度的信息和信息系统的运营、使用单位及其主管部门,要进一步完善信息安全保护措施,对尚未实施等级保护制度的单位,按照等级保护的管理规范和技术标准认真组织落实。2008年底由市信息安全等级保护工作领导小组对此项工作检查验收,表彰奖励先进,通报鞭策后进。
五、工作要求
(一)统一思想,提高认识。近年来,在市委、市政府的高度重视支持和有关部门共同努力下,我市信息安全保障工作取得了很大进展。但是我们要清醒地认识到,全市的信息安全保障工作尚处于起步阶段,信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。为此,各级各部门要把思想统一到维护国家安全和社会稳定上来,要从提高我市信息和信息系统安全建设的整体水平,保障信息安全与信息化建设协调发展,有效控制信息安全建设成本,优化信息安全资源配置,加强信息安全管理的高度,进一步提高对信息安全等级保护工作重要性和紧迫性的认识。
(二)加强领导,落实职责。各地、各单位主要领导是信息安全等级保护工作第一责任人,负责对此项工作的组织协调,并指定专门部门或专门人员从事信息安全等级保护工作。公安机关要充实信息安全等级保护专门工作机构人员,市保密局、密码管理委员会和信息化工作领导小组办公室要指定专人负责这项工作,各单位要根据各自职责制订工作方案。
(三)积极汇报,争取支持。各地各信息安全等级保护主管部门要广泛发动,采取各种形式和渠道,加强与信息系统运营部门沟通、协调,积极争取社会各界的支持。各信息系统运营、使用部门要积极向主管部门、上级领导请示汇报,争取更多的人力、资金支持,切实把信息系统安全等级保护工作落实到实处。
(四)强化措施,确保实效。为切实贯彻实施信息安全等级保护制度,各地各级信息系统安全等级保护主管部门严格按照预定工作方案定人员、定岗位、定职责,保障措施到位、行动到位,真正做到困难再大目标不改,事情再多热情不降,工作再忙精力不减,突出重点,强化措施,提高信息安全保障能力与水平。
(五)加强协调,提高效率。各信息安全等级保护工作领导小组成员单位要分工负责,密切配合,整合信息安全监管力量,根据《信息安全等级保护办法》(试行)规定的职责分工,互通信息,加强监管,建立健全信息安全等级保护工作的协作机制,从政策宣传、基础调查、等级评测、定级建设、验收备案等方面充分发挥组织、指导、监管作用,进一步提高工作效率和水平,确保等级保护工作顺利、有效实施。各级主管部门要从维护国家安全和社会稳定的战略高度,强力推进信息系统等级保护工作,为促进我市信息化发展提供坚实保障。
第四篇:浙江省信息安全等级保护管理办法
浙江省信息安全等级保护管理办法 省政府令223号
浙江省信息安全等级保护管理办法》已经省人民政府第77次常务会议审议通过,现予公布,自2007年1月1日起施行。
省长 吕祖善
二○○六年九月三十日
第一章 总则
第一条 为加强和规范信息安全等级保护管理,提高信息安全保障能力,维护国家安全、公共利益和社会稳定,促进信息化建设,根据国家有关规定,结合本省实际,制定本办法。
第二条 本省行政区域内建设、运营、使用信息系统的单位,均须遵守本办法。
第三条 本办法所称信息安全等级保护,是指按国家规定对需要实行安全等级保护的各类信息的存储、传输、处理的信息系统进行相应的等级保护,对信息系统中发生的信息安全突发公共事件实行分等级响应和处置的安全保障制度。
第四条 本办法所称信息,是指通过信息系统进行存储、传输、处理的语言、文字、声音、图像、数字等资料。
本办法所称信息系统,是指由计算机、信息网络及其配套的设施、设备构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。
第五条 信息安全等级保护应当遵循分级实施、明确责任、确保安全的原则;重点保障基础信息网络和重要信息系统各类信息的安全性和信息处理的连续性。
信息系统应当按照信息安全等级保护的要求,实行同步建设、动态调整、谁运行谁负责的原则。
第六条 县级以上人民政府应当加强对信息安全等级保护工作的领导,把信息安全等级保护纳入信息化建设规划,协调、解决有关重大问题,建立必要的资金和技术的保障机制。
第七条 县级以上人民政府公安、国家安全、保密、密码、信息化等行政主管部门应当按照国家和本办法规定,履行监督管理职责。
县级以上人民政府其他相关部门,应当按照职责分工,落实信息安全等级保护管理的责任,配合做好相关工作。
第二章 等级保护的分级与实施
第八条 根据信息系统承载的信息的重要性、业务处理对系统的依赖性以及系统遭到破坏后对经济、社会的危害程度,确定信息系统相应的保护等级。
信息系统的保护等级分为以下五级:
(一)信息系统承载的信息涉及公民、法人和其他组织的权益,信息系统遭到破坏后,业务可以直接用其他方式替代处理,对公民、法人和其他组织的权益有一定影响,但不损害国家安全、社会秩序、经济建设和公共利益的,为一级保护,由运营单位自主保护;
(二)信息系统承载的信息直接涉及公民、法人和其他组织的权益,信息系统遭到破坏后,会影响业务的正常处理,并对国家安全、社会秩序、经济建设和公共利益造成一定损害的,为二级保护,由运营单位在信息安全等级保护工作监管部门的指导下进行保护;
(三)信息系统承载的信息涉及国家、社会和公共利益,信息系统遭到破坏后,会严重影响业务的正常处理,并对国家安全、社会秩序、经济建设和公共利益造成较大损害的,为三级保护,由运营单位在信息安全等级保护工作监管部门的监督下进行保护;
(四)信息系统承载的信息直接涉及国家、社会和公共利益,信息系统遭到破坏后,业务无法正常处理,并对国家安全、社会秩序、经济建设和公共利益造成严重损害的,为四级保护,由运营单位按照信息安全等级保护工作监管部门的强制要求进行保护;
(五)信息系统承载的信息直接关系国家安全、社会稳定、经济建设和运行,信息系统遭到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的,为五级保护,由运营单位在国家指定的专门部门、专门机构的专控下进行保护。
第九条 信息系统的建设、运营、使用单位,应当按照国家有关技术规范、标准和本办法第八条规定自行选定其信息系统相应的保护等级。
基础信息网络和重要信息系统的保护等级,建设单位应当在信息系统规划设计时,按照本办法第十条规定报经审定。
第十条 基础信息网络和重要信息系统保护等级,实行专家评审制度。
省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组,并分别组织对关系全省和关系全市的基础信息网络和重要信息系统的保护等级进行审定。申报与审定的具体细则,由省信息化行政主管部门会同省公安部门制定,并报省人民政府备案。
第十一条 对于包含多个子系统的信息系统,应当根据各子系统的重要程度分别确定保护等级。
第十二条 信息系统建设完成后,其运营、使用单位应当按照国家有关技术规范和标准进行安全测评,符合要求的,方可投入使用。
第十三条 信息系统投入运行或者系统变更之日起三十日内,运营、使用单位应当将信息系统保护等级选定或者审定情况报所在地县级以上人民政府公安部门备案。备案的具体细则由省公安部门制定。
信息系统涉及国家秘密的,运营、使用单位应当按照有关保密法律、法规、规章的规定执行。
第十四条 信息系统的运营、使用单位,应当按照国家有关技术规范和标准,建立信息安全等级保护管理制度,落实安全保护责任,采取相应的安全保护措施,切实保障信息系统正常安全运行。
第十五条 信息系统的运营、使用单位,应当建立信息系统安全状况日常检测工作制度,加强对信息系统的日常维护和安全管理,及时消除安全隐患,确保信息的安全和系统的正常运行。
基础信息网络和重要信息系统的运营、使用单位,应当按照国家有关技术规范和标准,每年对系统的信息安全状况进行一次全面的测评,也可以委托有相应资质的单位进行安全测评。
第十六条 信息系统发生信息安全突发公共事件时,应当根据事件的可控性、地域影响范围和信息系统遭到破坏的严重程度,实行分级响应和应急处置。分级响应和应急处置按照省有关网络与信息安全应急预案的规定执行。
通信基础网络发生突发公共事件时,应当按照省有关通信保障应急预案的规定执行。
第三章 监督管理
第十七条 县级以上人民政府公安部门依法对运营、使用信息系统的单位的信息安全等级保护工作实施监督管理,并做好下列工作:
(一)督促、指导信息安全等级保护工作;
(二)监督、检查信息系统运营、使用单位的安全等级保护管理制度和技术措施的落实情况;
(三)受理信息系统保护等级的备案;
(四)依法查处信息系统运营、使用单位和个人的违法行为;
(五)信息安全等级保护的其他相关工作。
第十八条 保密工作部门依照职责分工,依法做好下列工作:
(一)督促、指导涉及国家秘密的信息安全等级保护工作;
(二)受理涉及国家秘密的信息系统保护等级的备案;
(三)依法查处信息泄密、失密事件;
(四)信息安全等级保护中涉及国家秘密的其他相关工作。
第十九条 密码管理部门应当按照职责分工依法做好相关工作,加强对涉及密码管理的信息安全等级保护工作的监督、检查和指导,查处信息安全等级保护工作中违反密码管理的行为和事件。
第二十条 信息化行政主管部门应当加强对信息安全等级保护工作的指导、服务、协调和管理,并做好下列工作:
(一)指导、协调信息安全等级保护工作;
(二)组织制定信息安全等级保护工作规范;
(三)组织专家审定信息系统的保护等级;
(四)为相关单位提供信息安全等级保护的有关资讯和技术咨询;
(五)根据预案规定,组织落实信息安全突发公共事件的应急处置工作;
(六)信息安全等级保护的其他相关工作。
第二十一条 信息系统建设、运营、使用单位,应当按照国家和本办法有关规定,开展信息安全等级保护工作,接受有关部门的指导、检查和监督管理。
信息系统运营、使用单位,在运营、使用中发生信息安全突发公共事件、泄密失密事件的,应当按照应急预案要求,及时采取有效措施,防止事态扩大,并立即报告有关主管部门,配合做好应急处置工作。
第四章 法律责任
第二十二条 违反本办法规定的行为,有关法律、法规已有行政处罚规定的,从其规定。
第二十三条 信息系统运营、使用单位违反本办法规定,不建立信息系统保护等级或者自行选定的保护等级不符合国家有关技术规范和标准的,由公安部门责令限期改正,并给予警告;逾期拒不改正的,处一千元以上二千元以下罚款。
第二十四条 信息系统运营、使用单位违反本办法第十二条、第十三条第一款规定的,由公安部门责令限期改正,并给予警告;逾期不改正的,处二千元罚款。
第二十五条 信息系统运营、使用单位违反本办法第十四条规定,未建立信息安全等级保护管理制度、落实安全保护责任和措施的,由公安部门责令限期改正,并给予警告;
逾期拒不改正的,对经营性的处五千元以上五万元以下罚款,对非经营性的处二千元罚款。
第二十六条 违反本办法第十五条第一款规定,信息系统运营、使用单位未建立信息系统安全状况日常检测工作制度的,由公安部门责令限期改正,并给予警告;逾期拒不改正的,处一千元以上二千元以下罚款。
违反本办法第十五条第二款规定,基础信息网络与重要信息系统的运营、使用单位,未定期对系统的信息安全状况进行测评的,由公安部门责令限期改正,并给予警告;逾期拒不改正的,对经营性的处二千元以上二万元以下罚款,对非经营性的处二千元罚款。
第二十七条 信息系统运营、使用单位违反本办法第二十一条第二款规定的,由县级以上人民政府信息化行政主管部门责令改正,给予警告,对经营性的并处五千元以上三万元以下罚款,对非经营性的并处二千元罚款;涉及泄密、失密的,按照有关保密法律、法规、规章的规定处理。
第二十八条 有关信息安全等级保护监管部门及其工作人员有下列行为之一的,由其主管部门或者监察部门对直接负责的主管人员和其他直接责任人依法给予行政或者纪律处分。
(一)未按照本办法规定履行监督管理职责的;
(二)违反国家和本办法规定审定信息系统保护等级的;
(三)违反法定程序和权限实施行政处罚的;
(四)在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的;
(五)其他应当依法给予行政或者纪律处分的行为。
第二十九条违反本办法规定,构成犯罪的,依法追究刑事责任。
第五章 附则
第三十条 在本办法施行前已经建成的信息系统,运营、使用单位应当依照本办法规定建立相应的保护等级。
第三十一条 本办法自2007年1月1日起施行。
第五篇:小学信息安全等级保护,工作实施方案
小学教育网络与信息安全等级保护工作
实 施 方 案
为加强我校信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据上级相关文件精神,结合我校实际,制订本实施方案。
一、指导思想
以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。
二、定级范围
学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。
三、组织领导
(一)工作分工。
由学校教务处牵头,会同安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。安全保卫处负责定级工作的监督。
电教组负责定级工作的检查、指导、评审。
各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。
(二)协调领导机制。
1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。
2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。
3、成立评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。
四、主要内容、工作步骤
(一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。
(二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
(三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。
(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。
五、定级工作要求
(一)加强领导,落实保障,落实责任。
(二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我校基础信息网络和重要信息系统的信息安全保护能力和水平,保证定级工作顺利进行,各部门要认真学习《信息安全等级保护管理办法》、《信息系统安全保护等级定级指南(国标)》、等。
(三)积极配合、认真整改。各部门要认真按照评级要求,组织开展等级保护工作,切实做好重要信息系统的安全等级保护。
点击咨询 