第一篇:信息安全等级保护工作简报第30期
信息安全等级保护工作简报
(第30期)
来自:国家信息安全等级保护工作协调小组办公室时间:2007-12-17
福建省信息安全等级保护定级工作进入指导整改阶段
为全面贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合下发的《信息安全等级保护管理办法》和全国重要信息系统安全等级保护定级工作电视电话会议的精神,福建省公安机关网监部门积极部署,全面开展了重要信息系统安全等级保护定级工作。自重要信息系统等级定级备案工作结束以来,福建省公安厅网监总队及时总结工作中存在的主要问题,有针对性地进行指导,提出行之有效的整改意见,积极推动福建省信息安全等级保护工作深入开展。
一、严格审核备案材料,积极总结定级工作中存在的主要问题
自10月份重要信息系统等级定级备案工作结束以来,针对来自省级49家重点单位和各设区市备案单位提交的定级备案数据材
料,福建省公安厅网监总队对报送的备案材料进行了严格审核。同时,林乐坚副总队长亲自带队赴宁德、莆田等地调研信息系统安全等级保护定级工作的具体实施情况,听取地市公安机关等级保护工作的开展情况以及遇到的困难和问题。在审核备案材料和调研过程中,发现定级工作存在以下几个方面的问题:一是部分单位信息系统定级不合理、定级偏低现象,特别是地市重要行业、单位的信息系统安全保护等级偏低;二是有些部门对本行业下级单位定级工作指导不力,定级工作开展不及时,部分下级单位由于等待上级主管部门定级意见延误备案,给公安机关整体工作推动造成影响;三是少数部门领导对国家实行信息安全等级保护制度认识不足、重视不够,定级不主动,单纯依靠单位内部信息主管部门进行定级,忽视其他业务单位的参与,造成定级不准确。针对以上问题,福建省公安厅网监总队采取措施,抓住时机不断加大宣传力度,主动上门协调,积极指导各单位进行有效整改。
二、举办首期信息安全国家标准宣传贯彻培训会议,推动等级保护规范化开展
为全面深入开展重要信息系统安全等级保护定级工作,12月5日至7日,福建省公安厅、网络与信息安全协调小组办公室与国家信息安全标准化委员会联合举办了首期信息安全国家标准宣传贯
彻培训会议,来自福建省省直机关、地市信息安全负责人、49个重要信息系统信息安全主管及技术人员近200人参加了此次会议。会议专门邀请了全国信息安全标准化领域的知名专家和学者作了专题讲座,特别就我国信息安全等级保护工作的需求,讲解了“十一五”期间国家重点开展的包括信息安全等级保护模型、基本要求、定级指南、实施指南、基本配置、技术要求、管理要求、工程管理、产品分级使用等相关标准的研究制定工作。国务院信息化工作办公室网络与信息安全组副组长、全国信息安全标准化技术委员会副主任委员赵泽良同志和福建省网络与信息安全协调小组副组长、公安厅副厅长王小洪出席会议并做重要讲话。赵司长指出,信息安全标准是我国信息安全保障体系的重要组成部分,是政府进行宏观管理的重要手段,重视信息安全标准的研究、制定、推广和实施,充分发挥标准的基础性、规范性作用对于促进信息安全产业发展,推动国家信息化建设,维护国家信息安全具有重要意义。王小洪副厅长在讲话中强调要发挥好福建省网络与信息安全测评中心的作用,依据等级保护相关配套标准,推动各信息系统建设、使用单位依据信息系统确定的安全保护等级,分类、分级别进行信息系统安全建设,确保福建省重点单位的网络与信息系统安全。
三、借助“信息安全与构建和谐海西”CIO高峰论坛,深入指导定级工作
11月21日、12月8日福建省网络与信息安全协调小组办公室、信息协会、网监总队举办了“信息安全与构建和谐海西”CIO高峰论坛,福建省信息安全等级保护重点单位、政务信息网省直各接入单位、各设区市和县(市、区)政务网主节点管理单位信息化部门负责人及技术骨干,各有关企事业单位、行业用户信息主管(CIO)等代表参加了论坛。福建省公安厅网监总队就如何积极推进国家信息安全等级保护制度做了专题介绍,并强调了信息系统等级定级中普遍存在的主要问题及其将引发的严重后果,同时明确指出,对备案审核过程中发现信息系统定级不合理、定级偏低的单位要退回重新定级、整改后重新备案登记。对于不符合填写规范的备案材料予以退回重填,福建省网络与信息安全测评中心对第三级以上信息系统要按规定择期开展评估。
四、以查处违规行为促进等级保护工作的深入持续开展
针对信息系统安全保护等级定级工作问题突出的某些单位,福建省公安厅网监总队通过查处政务信息网违规外联、互联网站被黑客攻击等发生在信息系统重点单位的典型案件,用案件促进等级保护工作的深入持续开展。11月以来,网监总队重点走访了工商银行福建省分行、省总工会、莆田市经贸委等15家政务网违规外联的单位,与单位领导开展座谈,向其讲解信息安全等级保护工作的重要性、紧迫性和必要性,使其对信息系统等级保护定级工作有更进一步的了解,认识到通过信息系统等级保护促进本单位信息安全管理、建设工作的重要性。通过走访调查,各单位对信息系统安全等级保护定级工作提高了认识,能够及时向公安机关反馈整改情况,对本单位定级不准、定级偏低的信息系统积极开展重新调整级别工作。
第二篇:信息安全等级保护工作简报第36期
信息安全等级保护工作简报
(第36期)
来自:国家信息安全等级保护工作协调小组办公室 时间:2008-01-23
广东省出台地方法规实现信息安全等级保护工作
法制化
为加强和规范信息安全等级保护工作,2007
年12月20日广东省第十届人民代表大会常务委员会第三十六次会议通过了《广东省计算机信息统安全保护条例》(以下简称《条例》),并将于2008年4月1日正式实施。该《条例》的出台,全面实现了广东省信息安全等级保护工作的法制化,为下一步深入贯彻落实国家信息安全等级保护制度奠定了坚实基础。
一、工作过程
随着信息安全等级保护工作的全面实施,广东省公安厅将《条例》的制定出台工作提上日程。广东省公安厅网警总队组织专门人员起草了《条例》(征求意见稿)和长达5万多字的立法指引,并广泛征求了各市公安网监部门以及省直16个单位意见建议,广东省委常委、公安厅厅长梁伟发同志多次关心立法进展,何广平副厅长也多次参与研究讨论,在此基础上形成了送审稿报广东省政府。广东省政府法制办在审查核过程中,在互联网上公开征求了意见,并根据各单位的意见作了进一步的修改后报广东省人大。在广东省人大法工委主任的牵头组织下,省人大法工委、内司委和省政府法制办、公安厅落实专门人员逐条进行修订,最终经广东省人大常委会委员投票,获全票通过。
二、《条例》规定的主要内容
《条例》共46条,分为总则、安全管理、安全秩序、安全监督、法律责任、附则等六章。《条例》根据《中华人民共和国计算机信息系统安全保护条例》的有关规定,吸收了《关于印发<关于信息安全等级保护工作的实施意见>的通知》(公通字[2004]66号)和《信息安全等保护管理办法》(公通字[2007]43号)的核心内容,将国家四部委的规范性文件转化为地方法规予以强制施行,为开展信息安全等级保护工作的提供了依据和保障。
(一)明确了信息系统建设完成后须经等级测评合格才可投入使用。《条例》第十二条规定了第二级以上计算机信息系统建设完成后,运营使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况开展等级测评,测评合格后方可投入使用。
(二)规定了信息系统的运营使用单位应当建立的安全管理制度和措施。《条例》第十条、第十一条规定计算机信息系统的运营使用单位应当建立、健全计算机信息系统安全管理制度,确定安全管理责任人。第二级以上计算机信息系统的运营使用单位应当建立安全保护组织,并报地级以上市人民政府公安机关备案。同时,《条例》第十八条规定第二级以上计算机信息系统应当建立并落实的9项安全管理制度,包括计算机机房安全管理制度、安全责任制度、网络安全漏洞检测和系统升级制度、系统安全风险管理和应急处置制度、操作权限管理制度、用户登记制度、重要设备、介质管理制度、信息发布审查、登记、保存、清除和备份制度、信息群发服务管理制度,并在第十九条规定了相应的安全保护技术措施。
(三)明确了突发事件应急处置制度。《条例》第十六条、第十七条、第三十四条规定了计算机信息系统运营使用单位的报告义务、预案制定义务、协作义务以及公安机关的应急处置职权,即对计算机信息系统中发生的案件和重大安全事故,计算机信息系统的运营使用单位应当在二十四小时内报告县级以上人民政府公安机关,并保留有关原始记录。第二级以上计算机信息系统发生重大突发事件,有关单位应当按照应急处置预案的要求采取相应的处置措施,并服从公安机关和国家指定的专门部门的调度。地级市以上人民政府公安机关、国家安全机关为保护计算机信息系统安全,在发生重大突发事件,危及国家安全、公共安全及社会稳定的紧急情况下,可以采取二十四小时内暂时停机、暂停联网、备份数据等措施。
(四)《条例》规范了安全服务行业的管理。《条例》规定公安机关加强对计算机信息系统安全服务机构的指导,推动安全服务质量和技术水平的提高。鉴于信息安全产品的双刃剑作用,《条例》第三十条确立对病毒防治、远程控制、密码猜解、漏洞检测、信息群发等技术产品和工具的生产、销售和提供等行为实施备案制度,便于掌握相关情况,确保信息系统安全。同时,为加强对信息安全工作人员的管理,《条例》第三十七条规定了地级市以上人民政府公安机关和人事部门应当组织计算机信息系统的运营使用单位的安全保护组织成员、管理责任人、信息审查员参加信息安全专业技术培训。
(五)《条例》规定了明确的法律责任。《条例》第四十条、第四十二条、第四十三条对违反计算机信息系统安全保护规定的行为明确了相应的法律责任,对计算机信息系统运营使用单位违反信息安全等级保护相关要求,如系统投入使用前未经符合国家规定的安全等级测评机构测评合格的,未履行备案义务,未建立安全保护组织,未落实安全措施,在突发事件处置中不服从调度指挥的,公安机关可处以警告、罚款、停机整顿等处罚,为信息安全等级保护工作的推进提供了强有力的法律武器。
第三篇:信息安全等级保护工作简报第32期
信息安全等级保护工作简报
(第32期)
来自:国家信息安全等级保护工作协调小组办公室时间:2007-12-20
北京奥运网络与信息系统安全等级保护工作快速推进
随着北京奥运会的临近,有效保护奥运会网络与信息系统安全的重要性、紧迫性日益凸显,奥运网络与信息系统的安全已成为北京奥运会能否顺利举办的关键问题之一。为此,北京奥组委信息网络安全委员会和技术部高度重视奥运网络与信息系统安全等级保护工作,积极行动,认真协调,快速有效地推进等级保护各项工作的开展,为全面提高奥运会网络与信息系统的安全保护能力发挥出了重要的作用。目前,北京奥运网络与信息系统的定级、备案、安全等级技术测评工作已经完成,目前正在根据测评情况全面开展安全建设整改工作。
一、高度重视,认真部署
7月20日“全国重要信息系统安全等级保护定级工作电视电话
会议”后,北京奥组委技术部在国家信息安全等级保护工作协调小组办公室的指导下,会同北京市公安局网监处、公安部信息安全等级保护评估中心、奥运网络与信息系统承建运营方等部门共同研究开展奥运网络与信息系统安全等级保护定级工作。为便于奥运网络与信息系统定级工作的快速推进,国家信息安全等级保护工作协调小组办公室、奥组委技术部、北京市公安局、公安部信息安全等级保护评估中心联合成立了工作组,制定工作方案,组织协调奥运网络与信息系统等级保护各项工作的开展。
二、认真开展基础调查,确定定级对象
北京奥组委技术部会同有关部门,认真梳理奥运网络与信息系统,专门听取了搜狐公司、奥组委票务中心、北京网通等承建运营方的详细介绍,对奥运主要网络和信息系统的种类、规模、承载主要业务、应用范围、责任部门等情况进行了详细的摸底调查,深入了解了奥运办公外网、奥运办公内网、票务网站和票务管理系统、奥运官方网站等基本情况。在此基础上,依据《信息安全等级保护管理办法》以及相关配套技术标准,确定了等级保护定级对象。
三、认真研究,合理确定信息系统安全保护等级
奥组委技术部根据奥运办公外网、奥运办公内网、票务网站和票务管理系统、奥运官方网站的重要性,以及其损害后对北京奥运会的危害性,初步确定了系统的安全保护等级。为确保定级准确,奥组委技术部邀请沈昌祥院士等专家对奥运网络和信息系统所定等级进行了评审,并对奥运所有网络和信息系统进行了全面梳理。奥组委技术部根据专家意见,最终科学、合理确定了各系统的安全保护等级。奥运网络与信息系统安全保护等级确定后,奥组委技术部组织奥运网络与信息系统运营使用相关单位按照《信息安全等级保护管理办法》关于定级备案的规定和要求,及时向北京市公安局完成了备案工作。
四、开展等级技术测评,认真落实整改措施
定级备案工作完成后,为全面掌握奥运网络与信息系统的安全保护状况,以及其符合信息系统安全保护等级基本要求的情况,2007年11月份,奥组委技术部聘请公安部信息安全等级保护评估中心,依据信息系统的等级保护基本要求及奥组委信息系统的特殊安全需求,对北京奥组委官方网站、办公内网和办公外网进行了安全等级技术测评。测评内容涵盖物理安全、网络安全、主机系统安全、应用系统安全、数据安全等多个层面。公安部信息安全等级保护评估中心根据测评情况,及时出具了测评报告。目前,奥组委技
术部针对测评发现的安全隐患和问题,制定了详细的整改计划,正在组织有关部门对奥运网络和信息系统开展安全建设、整改,落实安全责任,建设安全设施、落实安全措施和安全管理制度,全力保障奥运网络与信息系统安全。
第四篇:信息安全等级保护工作简报第74期
信息安全等级保护工作
简
报
第(74)期 国家信息安全等级保护工作协调小组办公室
2009年12月25日
国家信息安全等级保护安全建设指导
专家委员会在京成立
为确保信息安全等级保护安全建设整改工作顺利开展,加强对重要信息系统运营使用单位及其主管部门的政策和技术指导,公安部于近期成立了国家信息安全等级保护安全建设指导专家委员会(以下简称“专家委”),充分发挥社会资源优势,共同推动等级保护安全建设整改工作。
一、聘请了专家委的主任和委员。信息安全等级保护安全建设整改工作是一项长期的系统工程,需要有国家政策和标准的指引、— 1 — 行业主管部门的重视和实施、专家和信息安全企业的服务与支持,为使专家委成员能够覆盖到等级保护安全建设整改工作的各个领域,更好的为重要行业、重要部门提供政策和技术指导,经认真研究及专家所在单位推荐,聘请沈昌祥院士担任专家委主任,聘请方滨兴院士担任专家委副主任,并从科研院所、行业主管部门和信息安全企业聘请了28位具有丰富信息安全等级保护工作经验的同志为专家委委员(专家委名单附后)。
二、明确了专家委的主要职责。一是配合公安部宣传信息安全等级保护安全建设相关政策,根据等级保护安全建设总体部署,指导备案单位研究拟定信息安全等级保护安全建设的贯彻实施意见和建设规划;二是宣传国家信息安全等级保护安全建设相关技术标准,并结合行业特点,研究、指导备案单位等级保护安全建设相关技术标准的行业应用,指导备案单位研究拟定行业技术标准规范;三是参与备案单位信息安全等级保护安全建设整改方案的论证、评审,指导备案单位信息安全等级保护安全建设工作;四是了解掌握并研究探索行业开展信息安全等级保护安全建设工作中安全管理、安全技术和工程建设、工程管理等最佳实践,总结成功经验,树立典型并提出推广意见;五是跟踪国内外信息安全技术最新发展,组织和引导信息安全研究机构和企业开展信息安全等级保护共性技术和关键技术专题研究,推动等级保护技术研究工作,促进信息安全产业发展;六是研究提出完善国家信息安全等级保护政策体系和技术体
— 2 — 系的意见和建议。
三、召开了专家委成立大会。12月22日,公安部网络安全保卫局在北京召开了专家委成立大会。会上,公安部网络安全保卫局赵林副局长高度赞扬了专家在等级保护制度贯彻落实过程中发挥的重要作用,宣布了专家委成员名单和主要职责,顾建国局长为专家发放了聘书,并作了总结讲话。沈院士、方院士、崔书昆委员、周德铭委员、李京春委员等5位专家结合自身的工作情况和切身感受,简要回顾了十几年来等级保护工作的发展历程,充分肯定了等级保护工作取得的显著成效,沈院士还专门概括等级保护工作很重要、很正确、很紧迫。专家们表示,在国家信息安全等级保护工作协调小组的领导下,在公安部的具体组织和指导下,各单位、各部门高度重视,坚决贯彻落实等级保护制度要求,等级保护工作取得了令人瞩目的成绩,目前已经基本形成了等级保护制度的政策体系和标准体系,下一阶段,要在等级保护定级备案工作的基础上,充分发挥专家作用,全力配合公安部工作,为重要行业、重要部门开展等级保护安全建设整改工作做好技术支持和服务。
赵林副局长在会上表示,自等级保护工作开展以来,以沈院士为代表的一大批在我国享有盛誉的信息安全专家,以高度的政治责任感和大局意识,以高度负责的态度,以高超精湛的技术素养和丰富的专业知识,勇于探索,扎实工作,无私奉献,团结协作,积极为等级保护制度的制定和实施献计献策,为我国信息安全等级保护政策和标准制定、技术研发、产业发展以及重要信息系统等级保护
— 3 — 定级、测评、安全建设等工作付出了心血,为建立具有我国特色的信息安全等级保护制度发挥了极其重要的作用,为等级保护制度的贯彻落实和工作的深入推进奠定了坚实的基础,为国家信息安全保障事业作出了重要贡献。等级保护安全建设整改工作是当前和今后一个时期等级保护工作的一项主要任务,相信有各位专家的大力支持,有各行各业的共同努力,我国的信息安全等级保护工作目标一定能够实现,我国的信息安全保障水平一定能够再上一个新台阶。
顾建国局长总结了信息安全等级保护工作的开展情况,充分肯定了专家在等级保护工作做出的贡献,并对今后的工作提出了要求。他指出,成立专家委是推进国家信息安全等级保护事业的需要。国家实施信息安全等级保护是一项伟大的、浩大的工程,需要一批实干的、有影响力的、高水平的专家来带领和指导这项事业不断地往前推进。等级保护既是他山之石又有更多的中国特色,是走前人没有走过的路,是一项新的事业,有许多工作需要探索。这次成立由沈院士和方院士领衔的专家委,水平很高,是把等级保护工作不断推向前进的可靠保障。成立专家委是公安部推进信息安全等级保护工作的需要。等级保护工作这是一个历史造成的任务,公安部作为信息安全等级保护工作的牵头部门,近年来投入了很多人力物力,在各位专家、各部门的大力支持下,这项工作取得了初步成效。但这项工作只靠公安部自身的能力是承担不好的,迫切希望各位专家的指导和帮助。各位专家的背景不同,在各自实际工作领域更有发言权和权威性,有利于我们解决各行各业在落实等级保护制度中遇
— 4 — 到的困难和问题,推动等级保护工作不断前进。对于下一步专家的工作,顾局长提出了三点希望:一是希望各位专家要多多参与,多出成效,使得等级保护工作不断推进;二是希望各位专家多提意见,多出主意,建立沟通渠道和机制,推动公安部各项工作的开展;三是希望各位专家加强学习,加强交流,不断掌握新情况,研究新问题,适应新形势,为推进等级保护工作做出更大贡献。
国家信息安全等级保护安全建设指导
主 任:沈昌祥 副主任:方滨兴
委 员:崔书昆 王立福 袁文恭 王
娜 郭全明 张瑞芝 刘祖泷 李建彬 李宏图 闫宏强 周德铭 刘长虹 专家委员会专家名单
海军计算技术研究所
院士
北京邮电大学校长
院士
解放军信息安全测评认证中心研究员 北京大学教授
国家信息安全工程技术研究中心研究员 国家发展和改革委员会高技术司处长 人民银行科技司处长
国家广播电影电视总局安调中心副总工程师 铁道部信息办处长
国家税务总局电子税务管理中心副处长 海关总署科技发展司副处长 工业与信息化部通信保障局副处长 国家审计署信息办主任
国有资产监督管理委员会信息办副主任
王连印
国家质量监督检验检疫总局信息中心副主任 马晓东
公安部科技与信息化局总工程师 王才有
卫生部统计信息中心副主任 蔡
阳
水利部水利信息中心副主任 顾炳中
栗演兵
王继业
罗
凯
朱建平
李京春
王
军
顾
健
陈建民
刘科全
赵呈东
孙
铁
国土资源部信息中心总工程师 民政部信息中心总工程师 国家电网公司信息化工作部 副主任 中国证券监督管理委员会信息中心总工程师 公安部信息安全等级保护评估中心副主任 国家信息技术安全研究中心 总工程师 中国信息安全测评中心总工程师 公安部信息安全产品检测中心副主任 计算机病毒防治产品检验中心副主任 联想网御科技(北京)有限公司总裁 北京启明星辰信息技术有限公司总监 北京神州绿盟科技有限公司 技术顾问
报:国家信息安全等级保护工作协调小组组长。
送:外交部、国家发展和改革委员会、教育部、科学技术部、工业和信息化部、国家民族事务委员会、国家安全部、民政部、司法部、财政部、人力资源和社会保障部、国土资源部、环境保护部、住房和城乡建设部、交通运输部、铁道部、水利部、农业部、商务部、文化部、卫生部、中国人民银行、审计署、海关总署、国家新闻出版总署、国家税务总局、国家工商行政管理总局、国家质量监督检验检疫总局、国家广播电影电视总局、中国民用航空总局、国家邮政总局、国家体育总局、国家安全生产监督管理总局、国家统计局、国家林业局、国家食品药品监督管理局、中国气象局、中国地震局、国家信访局、国家粮食局、国家烟草专卖局、国家海洋局、国家测绘局、国家机关事务管理局、国家档案局、国家外国专家局、国务院国有资产监督委员会、中国银行业监督管理委员会、中国证券监督管理委员会、中国保险监督管理委员会、国家电力监管委员会、最高人民法院、最高人民检察院、新华通讯社、中国科学院、中国社会科学院、中国工程院办公厅,国务院法制办公室、国务院新闻办公室、中央610办公室秘书局,国家保密局、国家密码管理局。
发:各省、自治区、直辖市公安厅(局)公共信息网络安全监察总队(处)、信息化领导小组办公室,新疆生产建设兵团公安局公共信息网络安全监察处、信息化领导小组办公室。
(共印1000份,存档5份)
审批:赵
林
核稿:郭启全
编校:祝国邦
第五篇:信息安全等级保护工作简报第33期
信息安全等级保护工作简报
(第33期)
来自:国家信息安全等级保护工作协调小组办公室 时间:2008-01-04
全国重要信息系统安全等级保护定级工作取得
重大成效
为了保障党的“十七大”胜利召开和北京奥运会的顺利举办,按照《国家网络与信息安全协调小组关于确保党的十七大信息安全的意见》和《国家网络与信息安全协调小组2007年工作要点》安排,公安部会同国家保密局、国家密码管理局、国务院信息办于2007年7月份开始,在全国范围内部署开展了重要信息系统安全等级保护定级工作(以下简称“定级工作”)。几个月来,各级公安、保密、密码、信息办密切配合,周密部署,广泛宣传,加强指导,各重要信息系统运营使用单位及其主管部门认真组织,积极落实,定级备案工作取得重大成效,基本完成了全国重要信息系统的定级工作任务。
一、定级工作明确重点、突出重点,有力地推动了国家信息安全保障工作
此次定级的范围和对象主要是电信、广电行业的公用通信网、广播电视传输网等基础信息网络;涉及国计民生的重要行业中生产、调度、指挥、控制、管理、办公等重要信息系统;国有大型骨干企业的重要信息系统;市(地)级以上党政机关的重要网站、管理系统和办公系统;涉及国家秘密的信息系统。定级工作覆盖了国家重要领域、重要部门,明确了重点、突出了重点。绝大多数备案信息系统定级准确、备案及时,为深入开展信息安全等级保护工作,全面落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),提高国家基础网络和重要信息系统安全保护能力奠定了坚实基础。
二、各地区、各部门高度重视,狠抓落实
(一)及时成立等级保护工作领导机构,为定级工作的顺利开展提供了组织保证。2007年7月20日,公安部、国家保密局、国家密码管理局和国务院信息办组织召开“全国重要信息系统安全等级保护定级工作电视电话会议”后,各级党委政府和主要领导高度重视,迅速作出了明确批示或指示。各省(区、市)和各部(委、局)根据全国定级工作电视电话会议和四部委通知精神,结合本地区、本行业实际,研究制定下发定级工作指导意见或实施方案。人民银行、铁道部、海关总署、电监会、水利部、信息产业部、广电总局、税务总局、证监会等50多个部(委、局)专门成立了由主要领导挂帅的等级保护领导(协调)机构,确定责任部门,召开全系统会议,部署定级工作,为定级工作的顺利开展提供了组织保证。各省(区、市)或专门成立了由主要领导挂帅的等级保护领导(协调)机构,或由网络与信息安全协调小组领导开展定级工作,并落实了由公安机关牵头,保密部门、密码部门、信息办参加的等级保护工作办公室。
(二)各地区、各部门认真贯彻定级工作会议和通知精神,认真抓好落实。各省(区、市)和各部(委、局)根据全国定级工作电视电话会议和四部委通知精神,结合本地区、本行业实际,研究制定下发定级工作指导意见或实施方案,确定技术支持单位,组建专家组,认真开展定级工作。铁道部、人民银行、海关总署、国税总局、证监会、电监会、国防科工委、民航总局、农业部、商务部、国家统计局、质检总局、水利部、文化部、科技部、国家体育总局、国资委、国家民委、国土资源部、国家地震局、国家海洋局、国家外汇管理局、中国进出口银行等40多个部(委、局)以及国家电网公司、中石油集团、中石化集团、中材集团、建筑设计院等中央骨干企业还召开了专门会议,部署定级工作或开展集中培训。通过培训,各单位、各部门准确理解等级保护政策和标准,定级工作趋于规范化。人民银行、劳动和社会保障部、国家体育总局、水利部、发改委、商务部、卫生部、证监会、新华社等30多个部(委、局)请专家对定级系统进行了评审。通过开展定级工作,各单位、各部门提高了对国家信息安全保障工作重要性的认识,加深了对信息安全等级保护制度的理解,同时,培养和锻炼了信息安全队伍。
三、各级公安、保密、密码、信息办密切配合,认真组织,确保定级工作顺利实施
公安机关与保密部门、密码部门、信息办密切配合,按照全国重要信息系统安全等级保护定级工作电视电话会议精神和部署,积极组织各行各业开展定级工作。主要措施是:
(一)及时举办了定级工作培训班。2007年7月31日,公安部在北京举办了为期一天的中央和国家机关定级工作培训班。在京的中央和国家机关各部委、国务院各直属机构、办事机构、事业单位共93家单位150余人参加了培训。各省(区、市)公安机关也举办了相关部门参加的培训班,重点就开展定级工作的政策、内容、要求以及相关技术进行了培训。
(二)召开了全国公安机关信息安全等级保护工作会议。2007年8月2日至3日,公安部在黑龙江召开了全国各省(区、市)、计划单列市和副省级以上城市公安机关网监部门的分管领导和业务骨干共120余人参加的信息安全等级保护工作会议,对全国公安机关牵头组织开展信息安全等级保护工作进行了全面部署。各省(区、市)公安机关也按照公安部的部署,及时召开了公安机关信息安全等级保护工作会议,对本省(区、市)公安机关牵头组织开展信息安全等级保护工作进行了部署。
(三)开展了对信息系统主管部门和运营使用单位定级工作的监督、检查和指导。一是组织召开了十部委定级工作汇报交流会。2007年9月18日,公安部召集信息产业部、广电总局、铁道部、人民银行、海关总署、国税总局、民航总局、证监会、电监会、保监会等十家基础信息网络和重要信息系统主管部门的有关处长召开了定级工作汇报交流会,听取了十部委定级工作部署开展情况的工作汇报和工作建议,交流了定级工作经验和体会,并就加快开展定级工作提出了明确要求。二是加强对有关部门定级工作的指导和支持。从2007年9月24日开始到现在,公安部会同有关专家,对国家工商总局、国土资源部、教育部、卫生部、劳动与社会保障部、交通部、广电总局、铁道部、人民银行、海关总署、国税总局、民航总局、证监会、电监会、保监会、科技部、财政部、外交部、人事部、气象局等20多个部委的定级工作进行上门指导和调研,各地公安机关也同步开展上门指导工作,进行政策解读,协助解决工作中存在的问题,推动了所到单位定级工作的开展。三是配合有关部门开展定级工作培训。截至目前,公安部应邀参加了铁道部、人民银行、海关总署、国税总局、证监会、电监会、国防科工委、民航总局、农业部、商务部、国家统计局、质检总局、水利部、文化部、科技部、国家体育总局、国资委、国家民委、国土资源部、国家地震局、国家海洋局、国家外汇管理局、中国进出口银行等40多个部(委、局)以及国家电网公司、中石油集团、中石化集团、中材集团、建筑设计院等中央骨干企业的定级培训班,直接为培训人员讲解有关政策和标准,为有关部门的定级工作提供支持。各地公安机关也为本地相关部门组织的培训班提供了指导和帮助。四是及时反映各地区、各部门的工作进展,加强工作经验交流。为及时反映、交流各地区、各部门开展定级工作的做法和经验,公安部以国家信息安全等级保护工作协调小组办公室名义编发了《信息安全等级保护工作简报》30多期,发各部委、奥组委和全国公安网监部门、信息办,强化了对定级工作的指导。
(四)及时出台备案、监督检查等工作规范,使定级备案、监督检查工作法制化。各级公安机关精心组织受理备案和备案材料的审核工作,严格把关。公安部及时出台《信息安全等级保护备案实施细则》,确保了定级备案工作的顺利进行,正在研究制定《公安机关信息安全等级保护监督检查规范》,为下一步开展监督检查工作打下良好基础。
四、分析定级备案数据,进一步明确等级保护工作重点
全国重要信息系统定级工作是等级保护工作的首要环节和关键环节,这项工作的基本完成,标志着我国信息安全保障工作步入科学化、规范化、标准化阶段,对我国信息安全保障工作将会起到巨大的推动作用。根据此次定级备案的情况,对反映出的国家信息安全状况作初步分析:
(一)高依赖度的信息系统所占比例大、数量多,反映出我国信息化发展迅猛,社会进步、经济发展对重要信息系统具有强依赖性。根据备案数据统计,银行、铁路、民航、税务、海关、电力、证券等重要领域的生产、调度、管理、控制、指挥等重要业务完全依赖或较强依赖的信息系统占备案总数的较大比例。说明这些重要业务均已实现了信息化,并对信息系统具有很强的依赖性,这些系统一旦瘫痪,重要领域、部门的生产、调度、办公等重要业务工作将完全停顿或受到严重影响。因此,在定级备案后,各部门、各单位应及时按标准开展安全建设整改和等级测评工作,解决随时可能发生的安全事件和事故,堵塞漏洞和安全隐患。
(二)重要信息系统集中在广电、银行等重要行业,需要尽快落实安全措施重点保护。根据备案数据统计,第三级以上的重要信息系统主要分布在电信、广电、银行、铁道、海关、税务、民航、证券、电力、公安、财政、教育、科技、国防、交通、文化、工商、劳动保障、水利、卫生、统计等涉及经济命脉、社会发展的重点行业、重点领域。全国范围服务的特大型信息系统占有较大比重。因此必须重点维护和保障这些重要行业信息系统,特别是涉及全国范围的特大型信息系统的安全,从根本上提升国家基础信息网络和重要信息系统整体安全保护水平。
(三)有些部门信息安全责任、安全措施和安全制度不落实,信息系统存在严重的安全隐患和问题。公安机关在督促、检查、指导有关单位定级工作中发现,一些重要信息系统的安全状况十分令人担忧,以至发生严重的信息安全事件,直接威胁国家安全和北京奥运会的顺利举办。信息系统主管部门和运营使用单位必须通过实施等级保护,突出重点,严格进行安全建设、整改,落实安全责任,建设安全设施,落实安全措施,从根本上解决重要信息系统存在的严重问题,扭转信息安全面临的被动局面。
(四)加快开展信息系统安全建设整改和等级测评工作,全面落实国家信息安全等级保护制度。重要信息系统定级备案情况表明,我国基础信息网络和重要信息系统业已成为国家关键基础设施,在国家经济发展、社会进步中的基础性、关键性、全局性作用日益增强,全面加快和推进国家信息安全等级保护工作,有效保护基础信息网络和重要信息系统安全至关重要。2008年北京奥运日益临近,奥运网络以及为奥运提供服务保障的基础网络和重要信息系统的安全直接影响奥运会的顺利举办。虽然全国重要信息系统的定级备案工作基本完成,但国家信息安全等级保护工作才刚刚开始,因此,各部门、各单位要在定级备案工作的基础上,选择技术支撑力量,制定安全建设整改规划和方案,按照《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》等规范标准,加快对三级以上信息系统开展安全建设整改、等级测评、自查等工作,并配合公安机关、国家保密部门和国家密码工作部门开展监督、检查。各级财政和发展改革部门应对重要信息系统安全建设整改和等级测评工作给予支持,以确保国家信息安全等级保护制度的有效贯彻和实施。