第一篇:信息安全等级保护工作简报第38期
信息安全等级保护工作简报
(第38期)
来自:公安部时间:2008-03-20
信息产业部、中国地震局信息安全等级保护工作
顺利推进
按照《关于进一步开展电信网络安全防护工作的实施意见》和《关于贯彻落实电信网络等级保护定级工作的通知》要求,信息产业部组织电信网络安全防护专家组对第一阶段定级的电信网络系统进行了评审,评审范围包括各集团公司直接负责管理和承担2008年奥运会赛事城市拟定为三级以上的定级对象。在此基础上,各电信运营企业采取有效措施,积极推进定级工作的深入开展,取得了阶段性成果。
中国电信、中国移动、中国联通、中国卫通、中国铁通分别成立了网络安全防护定级工作领导小组和工作组,负责定级工作的总体部署,加强和规范定级工作的有序开展。中国电信下发了指导奥运城市电信网络定级和中国电信全网定级工作的文件,进一步细化
了定级建议,提出了网络规模和客户重要性并举的原则,制定划分准则近20项,组织编制了定级指导查询表,规范定级工作。中国网通制定下发了《中国网通开展网络安全防护工作实施方案》,明确了定级工作的阶段性要求。同时,召开了全国范围内的视频会议,对定级工作进行部署和宣贯,举办了培训班,对电信网络防护相关标准、方法、备案等工作进行培训,并积极了解各省网通公司定级工作进展情况,研究解决定级工作中发现的新情况、新问题。中国移动组织奥运城市和部分省公司在沈阳召开了专题会议,确定了等级保护定级工作的职责、分工和流程,提出了各定级对象的定级建议,制定下发了第二阶段定级工作要求,并将于1季度建立全国安全通报制度,督促各省公司电信网络定级工作的有效开展。中国卫通还成立了等级保护测评工作组,负责集团公司等级保护备案、审核、评估工作。目前,各电信运营企业已将等级保护工作纳入今年工作重点,正全面推进各项工作的深入开展,持续提高网络安全水平。
中国地震局根据等级保护保护工作的整体部署和要求,深入开展信息系统安全等级保护工作,取得了明显实效。一是领导重视,组织到位。中国地震局在工作中不断提高对等级保护工作的认识和重视程度,并将其作为信息安全保障工作的重要基础,党组书记、局长陈建民同志以及分管信息安全工作的副局长赵和平同志分别
对此项工作作出批示,要求地震部门认真研究,扎实做好此项工作。为确保地震部门等级保护定级工作的有序开展,中国地震局成立了由机关各业务部门组成的定级工作组,以及由各业务系统技术人员组成的专家组,各单位也相应成立了领导机构,落实了具体工作人员,明确了工作目标和内容。同时,编制了工作方案,加强组织领导,积极推进定级工作的开展。二是精心组织,周密部署。中国地震局通过发文部署、开会讲解、重点培训、经验交流、网站宣传等多种形式,广泛宣传国家关于信息安全等级保护制度的政策、标准,使各单位人员及时深入掌握有关定级工作的规范要求,确保等级保护工作落到实处。中国地震局及时印发了《关于开展地震部门重要信息系统安全等级保护定级工作的通知》,对地震系统开展定级工作提出了具体要求,明确了工作范围和步骤。同时,根据开展工作的实际情况,为使各岗位人员准确掌握理解文件精神和标准规范,地震局先后组织了3次不同规模的培训,培训到地震系统各单位网络管理人员、技术人员和部分单位负责人近200人次,为后续工作的深入开展奠定了基础。三是加强指导,认真评审。针对定级工作中存在的问题,地震局认真研究,采取有效措施,不仅公布系统内专家联系方式,加强热线指导,发挥专家组工作优势,及时解决工作中的问题。同时针对地震系统信息化建设的特点,制定下发了《地震部门重要信息系统等级保护定级工作指导意见》,强化指导效果,力求工作到位。此外,中国地震局在各信息系统安全保护等级拟定
后,迅速组织召开了定级评审会,特邀国家信息安全等级保护专家评审委专家沈昌祥院士参加,经评审确定地震部门各信息系统安全保护等级科学、准确,为进一步加强地震部门信息安全等级保护工作奠定了有力的工作基础。
第二篇:信息安全等级保护工作简报第36期
信息安全等级保护工作简报
(第36期)
来自:国家信息安全等级保护工作协调小组办公室 时间:2008-01-23
广东省出台地方法规实现信息安全等级保护工作
法制化
为加强和规范信息安全等级保护工作,2007
年12月20日广东省第十届人民代表大会常务委员会第三十六次会议通过了《广东省计算机信息统安全保护条例》(以下简称《条例》),并将于2008年4月1日正式实施。该《条例》的出台,全面实现了广东省信息安全等级保护工作的法制化,为下一步深入贯彻落实国家信息安全等级保护制度奠定了坚实基础。
一、工作过程
随着信息安全等级保护工作的全面实施,广东省公安厅将《条例》的制定出台工作提上日程。广东省公安厅网警总队组织专门人员起草了《条例》(征求意见稿)和长达5万多字的立法指引,并广泛征求了各市公安网监部门以及省直16个单位意见建议,广东省委常委、公安厅厅长梁伟发同志多次关心立法进展,何广平副厅长也多次参与研究讨论,在此基础上形成了送审稿报广东省政府。广东省政府法制办在审查核过程中,在互联网上公开征求了意见,并根据各单位的意见作了进一步的修改后报广东省人大。在广东省人大法工委主任的牵头组织下,省人大法工委、内司委和省政府法制办、公安厅落实专门人员逐条进行修订,最终经广东省人大常委会委员投票,获全票通过。
二、《条例》规定的主要内容
《条例》共46条,分为总则、安全管理、安全秩序、安全监督、法律责任、附则等六章。《条例》根据《中华人民共和国计算机信息系统安全保护条例》的有关规定,吸收了《关于印发<关于信息安全等级保护工作的实施意见>的通知》(公通字[2004]66号)和《信息安全等保护管理办法》(公通字[2007]43号)的核心内容,将国家四部委的规范性文件转化为地方法规予以强制施行,为开展信息安全等级保护工作的提供了依据和保障。
(一)明确了信息系统建设完成后须经等级测评合格才可投入使用。《条例》第十二条规定了第二级以上计算机信息系统建设完成后,运营使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况开展等级测评,测评合格后方可投入使用。
(二)规定了信息系统的运营使用单位应当建立的安全管理制度和措施。《条例》第十条、第十一条规定计算机信息系统的运营使用单位应当建立、健全计算机信息系统安全管理制度,确定安全管理责任人。第二级以上计算机信息系统的运营使用单位应当建立安全保护组织,并报地级以上市人民政府公安机关备案。同时,《条例》第十八条规定第二级以上计算机信息系统应当建立并落实的9项安全管理制度,包括计算机机房安全管理制度、安全责任制度、网络安全漏洞检测和系统升级制度、系统安全风险管理和应急处置制度、操作权限管理制度、用户登记制度、重要设备、介质管理制度、信息发布审查、登记、保存、清除和备份制度、信息群发服务管理制度,并在第十九条规定了相应的安全保护技术措施。
(三)明确了突发事件应急处置制度。《条例》第十六条、第十七条、第三十四条规定了计算机信息系统运营使用单位的报告义务、预案制定义务、协作义务以及公安机关的应急处置职权,即对计算机信息系统中发生的案件和重大安全事故,计算机信息系统的运营使用单位应当在二十四小时内报告县级以上人民政府公安机关,并保留有关原始记录。第二级以上计算机信息系统发生重大突发事件,有关单位应当按照应急处置预案的要求采取相应的处置措施,并服从公安机关和国家指定的专门部门的调度。地级市以上人民政府公安机关、国家安全机关为保护计算机信息系统安全,在发生重大突发事件,危及国家安全、公共安全及社会稳定的紧急情况下,可以采取二十四小时内暂时停机、暂停联网、备份数据等措施。
(四)《条例》规范了安全服务行业的管理。《条例》规定公安机关加强对计算机信息系统安全服务机构的指导,推动安全服务质量和技术水平的提高。鉴于信息安全产品的双刃剑作用,《条例》第三十条确立对病毒防治、远程控制、密码猜解、漏洞检测、信息群发等技术产品和工具的生产、销售和提供等行为实施备案制度,便于掌握相关情况,确保信息系统安全。同时,为加强对信息安全工作人员的管理,《条例》第三十七条规定了地级市以上人民政府公安机关和人事部门应当组织计算机信息系统的运营使用单位的安全保护组织成员、管理责任人、信息审查员参加信息安全专业技术培训。
(五)《条例》规定了明确的法律责任。《条例》第四十条、第四十二条、第四十三条对违反计算机信息系统安全保护规定的行为明确了相应的法律责任,对计算机信息系统运营使用单位违反信息安全等级保护相关要求,如系统投入使用前未经符合国家规定的安全等级测评机构测评合格的,未履行备案义务,未建立安全保护组织,未落实安全措施,在突发事件处置中不服从调度指挥的,公安机关可处以警告、罚款、停机整顿等处罚,为信息安全等级保护工作的推进提供了强有力的法律武器。
第三篇:信息安全等级保护工作简报第32期
信息安全等级保护工作简报
(第32期)
来自:国家信息安全等级保护工作协调小组办公室时间:2007-12-20
北京奥运网络与信息系统安全等级保护工作快速推进
随着北京奥运会的临近,有效保护奥运会网络与信息系统安全的重要性、紧迫性日益凸显,奥运网络与信息系统的安全已成为北京奥运会能否顺利举办的关键问题之一。为此,北京奥组委信息网络安全委员会和技术部高度重视奥运网络与信息系统安全等级保护工作,积极行动,认真协调,快速有效地推进等级保护各项工作的开展,为全面提高奥运会网络与信息系统的安全保护能力发挥出了重要的作用。目前,北京奥运网络与信息系统的定级、备案、安全等级技术测评工作已经完成,目前正在根据测评情况全面开展安全建设整改工作。
一、高度重视,认真部署
7月20日“全国重要信息系统安全等级保护定级工作电视电话
会议”后,北京奥组委技术部在国家信息安全等级保护工作协调小组办公室的指导下,会同北京市公安局网监处、公安部信息安全等级保护评估中心、奥运网络与信息系统承建运营方等部门共同研究开展奥运网络与信息系统安全等级保护定级工作。为便于奥运网络与信息系统定级工作的快速推进,国家信息安全等级保护工作协调小组办公室、奥组委技术部、北京市公安局、公安部信息安全等级保护评估中心联合成立了工作组,制定工作方案,组织协调奥运网络与信息系统等级保护各项工作的开展。
二、认真开展基础调查,确定定级对象
北京奥组委技术部会同有关部门,认真梳理奥运网络与信息系统,专门听取了搜狐公司、奥组委票务中心、北京网通等承建运营方的详细介绍,对奥运主要网络和信息系统的种类、规模、承载主要业务、应用范围、责任部门等情况进行了详细的摸底调查,深入了解了奥运办公外网、奥运办公内网、票务网站和票务管理系统、奥运官方网站等基本情况。在此基础上,依据《信息安全等级保护管理办法》以及相关配套技术标准,确定了等级保护定级对象。
三、认真研究,合理确定信息系统安全保护等级
奥组委技术部根据奥运办公外网、奥运办公内网、票务网站和票务管理系统、奥运官方网站的重要性,以及其损害后对北京奥运会的危害性,初步确定了系统的安全保护等级。为确保定级准确,奥组委技术部邀请沈昌祥院士等专家对奥运网络和信息系统所定等级进行了评审,并对奥运所有网络和信息系统进行了全面梳理。奥组委技术部根据专家意见,最终科学、合理确定了各系统的安全保护等级。奥运网络与信息系统安全保护等级确定后,奥组委技术部组织奥运网络与信息系统运营使用相关单位按照《信息安全等级保护管理办法》关于定级备案的规定和要求,及时向北京市公安局完成了备案工作。
四、开展等级技术测评,认真落实整改措施
定级备案工作完成后,为全面掌握奥运网络与信息系统的安全保护状况,以及其符合信息系统安全保护等级基本要求的情况,2007年11月份,奥组委技术部聘请公安部信息安全等级保护评估中心,依据信息系统的等级保护基本要求及奥组委信息系统的特殊安全需求,对北京奥组委官方网站、办公内网和办公外网进行了安全等级技术测评。测评内容涵盖物理安全、网络安全、主机系统安全、应用系统安全、数据安全等多个层面。公安部信息安全等级保护评估中心根据测评情况,及时出具了测评报告。目前,奥组委技
术部针对测评发现的安全隐患和问题,制定了详细的整改计划,正在组织有关部门对奥运网络和信息系统开展安全建设、整改,落实安全责任,建设安全设施、落实安全措施和安全管理制度,全力保障奥运网络与信息系统安全。
第四篇:信息安全等级保护工作简报第74期
信息安全等级保护工作
简
报
第(74)期 国家信息安全等级保护工作协调小组办公室
2009年12月25日
国家信息安全等级保护安全建设指导
专家委员会在京成立
为确保信息安全等级保护安全建设整改工作顺利开展,加强对重要信息系统运营使用单位及其主管部门的政策和技术指导,公安部于近期成立了国家信息安全等级保护安全建设指导专家委员会(以下简称“专家委”),充分发挥社会资源优势,共同推动等级保护安全建设整改工作。
一、聘请了专家委的主任和委员。信息安全等级保护安全建设整改工作是一项长期的系统工程,需要有国家政策和标准的指引、— 1 — 行业主管部门的重视和实施、专家和信息安全企业的服务与支持,为使专家委成员能够覆盖到等级保护安全建设整改工作的各个领域,更好的为重要行业、重要部门提供政策和技术指导,经认真研究及专家所在单位推荐,聘请沈昌祥院士担任专家委主任,聘请方滨兴院士担任专家委副主任,并从科研院所、行业主管部门和信息安全企业聘请了28位具有丰富信息安全等级保护工作经验的同志为专家委委员(专家委名单附后)。
二、明确了专家委的主要职责。一是配合公安部宣传信息安全等级保护安全建设相关政策,根据等级保护安全建设总体部署,指导备案单位研究拟定信息安全等级保护安全建设的贯彻实施意见和建设规划;二是宣传国家信息安全等级保护安全建设相关技术标准,并结合行业特点,研究、指导备案单位等级保护安全建设相关技术标准的行业应用,指导备案单位研究拟定行业技术标准规范;三是参与备案单位信息安全等级保护安全建设整改方案的论证、评审,指导备案单位信息安全等级保护安全建设工作;四是了解掌握并研究探索行业开展信息安全等级保护安全建设工作中安全管理、安全技术和工程建设、工程管理等最佳实践,总结成功经验,树立典型并提出推广意见;五是跟踪国内外信息安全技术最新发展,组织和引导信息安全研究机构和企业开展信息安全等级保护共性技术和关键技术专题研究,推动等级保护技术研究工作,促进信息安全产业发展;六是研究提出完善国家信息安全等级保护政策体系和技术体
— 2 — 系的意见和建议。
三、召开了专家委成立大会。12月22日,公安部网络安全保卫局在北京召开了专家委成立大会。会上,公安部网络安全保卫局赵林副局长高度赞扬了专家在等级保护制度贯彻落实过程中发挥的重要作用,宣布了专家委成员名单和主要职责,顾建国局长为专家发放了聘书,并作了总结讲话。沈院士、方院士、崔书昆委员、周德铭委员、李京春委员等5位专家结合自身的工作情况和切身感受,简要回顾了十几年来等级保护工作的发展历程,充分肯定了等级保护工作取得的显著成效,沈院士还专门概括等级保护工作很重要、很正确、很紧迫。专家们表示,在国家信息安全等级保护工作协调小组的领导下,在公安部的具体组织和指导下,各单位、各部门高度重视,坚决贯彻落实等级保护制度要求,等级保护工作取得了令人瞩目的成绩,目前已经基本形成了等级保护制度的政策体系和标准体系,下一阶段,要在等级保护定级备案工作的基础上,充分发挥专家作用,全力配合公安部工作,为重要行业、重要部门开展等级保护安全建设整改工作做好技术支持和服务。
赵林副局长在会上表示,自等级保护工作开展以来,以沈院士为代表的一大批在我国享有盛誉的信息安全专家,以高度的政治责任感和大局意识,以高度负责的态度,以高超精湛的技术素养和丰富的专业知识,勇于探索,扎实工作,无私奉献,团结协作,积极为等级保护制度的制定和实施献计献策,为我国信息安全等级保护政策和标准制定、技术研发、产业发展以及重要信息系统等级保护
— 3 — 定级、测评、安全建设等工作付出了心血,为建立具有我国特色的信息安全等级保护制度发挥了极其重要的作用,为等级保护制度的贯彻落实和工作的深入推进奠定了坚实的基础,为国家信息安全保障事业作出了重要贡献。等级保护安全建设整改工作是当前和今后一个时期等级保护工作的一项主要任务,相信有各位专家的大力支持,有各行各业的共同努力,我国的信息安全等级保护工作目标一定能够实现,我国的信息安全保障水平一定能够再上一个新台阶。
顾建国局长总结了信息安全等级保护工作的开展情况,充分肯定了专家在等级保护工作做出的贡献,并对今后的工作提出了要求。他指出,成立专家委是推进国家信息安全等级保护事业的需要。国家实施信息安全等级保护是一项伟大的、浩大的工程,需要一批实干的、有影响力的、高水平的专家来带领和指导这项事业不断地往前推进。等级保护既是他山之石又有更多的中国特色,是走前人没有走过的路,是一项新的事业,有许多工作需要探索。这次成立由沈院士和方院士领衔的专家委,水平很高,是把等级保护工作不断推向前进的可靠保障。成立专家委是公安部推进信息安全等级保护工作的需要。等级保护工作这是一个历史造成的任务,公安部作为信息安全等级保护工作的牵头部门,近年来投入了很多人力物力,在各位专家、各部门的大力支持下,这项工作取得了初步成效。但这项工作只靠公安部自身的能力是承担不好的,迫切希望各位专家的指导和帮助。各位专家的背景不同,在各自实际工作领域更有发言权和权威性,有利于我们解决各行各业在落实等级保护制度中遇
— 4 — 到的困难和问题,推动等级保护工作不断前进。对于下一步专家的工作,顾局长提出了三点希望:一是希望各位专家要多多参与,多出成效,使得等级保护工作不断推进;二是希望各位专家多提意见,多出主意,建立沟通渠道和机制,推动公安部各项工作的开展;三是希望各位专家加强学习,加强交流,不断掌握新情况,研究新问题,适应新形势,为推进等级保护工作做出更大贡献。
国家信息安全等级保护安全建设指导
主 任:沈昌祥 副主任:方滨兴
委 员:崔书昆 王立福 袁文恭 王
娜 郭全明 张瑞芝 刘祖泷 李建彬 李宏图 闫宏强 周德铭 刘长虹 专家委员会专家名单
海军计算技术研究所
院士
北京邮电大学校长
院士
解放军信息安全测评认证中心研究员 北京大学教授
国家信息安全工程技术研究中心研究员 国家发展和改革委员会高技术司处长 人民银行科技司处长
国家广播电影电视总局安调中心副总工程师 铁道部信息办处长
国家税务总局电子税务管理中心副处长 海关总署科技发展司副处长 工业与信息化部通信保障局副处长 国家审计署信息办主任
国有资产监督管理委员会信息办副主任
王连印
国家质量监督检验检疫总局信息中心副主任 马晓东
公安部科技与信息化局总工程师 王才有
卫生部统计信息中心副主任 蔡
阳
水利部水利信息中心副主任 顾炳中
栗演兵
王继业
罗
凯
朱建平
李京春
王
军
顾
健
陈建民
刘科全
赵呈东
孙
铁
国土资源部信息中心总工程师 民政部信息中心总工程师 国家电网公司信息化工作部 副主任 中国证券监督管理委员会信息中心总工程师 公安部信息安全等级保护评估中心副主任 国家信息技术安全研究中心 总工程师 中国信息安全测评中心总工程师 公安部信息安全产品检测中心副主任 计算机病毒防治产品检验中心副主任 联想网御科技(北京)有限公司总裁 北京启明星辰信息技术有限公司总监 北京神州绿盟科技有限公司 技术顾问
报:国家信息安全等级保护工作协调小组组长。
送:外交部、国家发展和改革委员会、教育部、科学技术部、工业和信息化部、国家民族事务委员会、国家安全部、民政部、司法部、财政部、人力资源和社会保障部、国土资源部、环境保护部、住房和城乡建设部、交通运输部、铁道部、水利部、农业部、商务部、文化部、卫生部、中国人民银行、审计署、海关总署、国家新闻出版总署、国家税务总局、国家工商行政管理总局、国家质量监督检验检疫总局、国家广播电影电视总局、中国民用航空总局、国家邮政总局、国家体育总局、国家安全生产监督管理总局、国家统计局、国家林业局、国家食品药品监督管理局、中国气象局、中国地震局、国家信访局、国家粮食局、国家烟草专卖局、国家海洋局、国家测绘局、国家机关事务管理局、国家档案局、国家外国专家局、国务院国有资产监督委员会、中国银行业监督管理委员会、中国证券监督管理委员会、中国保险监督管理委员会、国家电力监管委员会、最高人民法院、最高人民检察院、新华通讯社、中国科学院、中国社会科学院、中国工程院办公厅,国务院法制办公室、国务院新闻办公室、中央610办公室秘书局,国家保密局、国家密码管理局。
发:各省、自治区、直辖市公安厅(局)公共信息网络安全监察总队(处)、信息化领导小组办公室,新疆生产建设兵团公安局公共信息网络安全监察处、信息化领导小组办公室。
(共印1000份,存档5份)
审批:赵
林
核稿:郭启全
编校:祝国邦
第五篇:信息安全等级保护工作简报第33期
信息安全等级保护工作简报
(第33期)
来自:国家信息安全等级保护工作协调小组办公室 时间:2008-01-04
全国重要信息系统安全等级保护定级工作取得
重大成效
为了保障党的“十七大”胜利召开和北京奥运会的顺利举办,按照《国家网络与信息安全协调小组关于确保党的十七大信息安全的意见》和《国家网络与信息安全协调小组2007年工作要点》安排,公安部会同国家保密局、国家密码管理局、国务院信息办于2007年7月份开始,在全国范围内部署开展了重要信息系统安全等级保护定级工作(以下简称“定级工作”)。几个月来,各级公安、保密、密码、信息办密切配合,周密部署,广泛宣传,加强指导,各重要信息系统运营使用单位及其主管部门认真组织,积极落实,定级备案工作取得重大成效,基本完成了全国重要信息系统的定级工作任务。
一、定级工作明确重点、突出重点,有力地推动了国家信息安全保障工作
此次定级的范围和对象主要是电信、广电行业的公用通信网、广播电视传输网等基础信息网络;涉及国计民生的重要行业中生产、调度、指挥、控制、管理、办公等重要信息系统;国有大型骨干企业的重要信息系统;市(地)级以上党政机关的重要网站、管理系统和办公系统;涉及国家秘密的信息系统。定级工作覆盖了国家重要领域、重要部门,明确了重点、突出了重点。绝大多数备案信息系统定级准确、备案及时,为深入开展信息安全等级保护工作,全面落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),提高国家基础网络和重要信息系统安全保护能力奠定了坚实基础。
二、各地区、各部门高度重视,狠抓落实
(一)及时成立等级保护工作领导机构,为定级工作的顺利开展提供了组织保证。2007年7月20日,公安部、国家保密局、国家密码管理局和国务院信息办组织召开“全国重要信息系统安全等级保护定级工作电视电话会议”后,各级党委政府和主要领导高度重视,迅速作出了明确批示或指示。各省(区、市)和各部(委、局)根据全国定级工作电视电话会议和四部委通知精神,结合本地区、本行业实际,研究制定下发定级工作指导意见或实施方案。人民银行、铁道部、海关总署、电监会、水利部、信息产业部、广电总局、税务总局、证监会等50多个部(委、局)专门成立了由主要领导挂帅的等级保护领导(协调)机构,确定责任部门,召开全系统会议,部署定级工作,为定级工作的顺利开展提供了组织保证。各省(区、市)或专门成立了由主要领导挂帅的等级保护领导(协调)机构,或由网络与信息安全协调小组领导开展定级工作,并落实了由公安机关牵头,保密部门、密码部门、信息办参加的等级保护工作办公室。
(二)各地区、各部门认真贯彻定级工作会议和通知精神,认真抓好落实。各省(区、市)和各部(委、局)根据全国定级工作电视电话会议和四部委通知精神,结合本地区、本行业实际,研究制定下发定级工作指导意见或实施方案,确定技术支持单位,组建专家组,认真开展定级工作。铁道部、人民银行、海关总署、国税总局、证监会、电监会、国防科工委、民航总局、农业部、商务部、国家统计局、质检总局、水利部、文化部、科技部、国家体育总局、国资委、国家民委、国土资源部、国家地震局、国家海洋局、国家外汇管理局、中国进出口银行等40多个部(委、局)以及国家电网公司、中石油集团、中石化集团、中材集团、建筑设计院等中央骨干企业还召开了专门会议,部署定级工作或开展集中培训。通过培训,各单位、各部门准确理解等级保护政策和标准,定级工作趋于规范化。人民银行、劳动和社会保障部、国家体育总局、水利部、发改委、商务部、卫生部、证监会、新华社等30多个部(委、局)请专家对定级系统进行了评审。通过开展定级工作,各单位、各部门提高了对国家信息安全保障工作重要性的认识,加深了对信息安全等级保护制度的理解,同时,培养和锻炼了信息安全队伍。
三、各级公安、保密、密码、信息办密切配合,认真组织,确保定级工作顺利实施
公安机关与保密部门、密码部门、信息办密切配合,按照全国重要信息系统安全等级保护定级工作电视电话会议精神和部署,积极组织各行各业开展定级工作。主要措施是:
(一)及时举办了定级工作培训班。2007年7月31日,公安部在北京举办了为期一天的中央和国家机关定级工作培训班。在京的中央和国家机关各部委、国务院各直属机构、办事机构、事业单位共93家单位150余人参加了培训。各省(区、市)公安机关也举办了相关部门参加的培训班,重点就开展定级工作的政策、内容、要求以及相关技术进行了培训。
(二)召开了全国公安机关信息安全等级保护工作会议。2007年8月2日至3日,公安部在黑龙江召开了全国各省(区、市)、计划单列市和副省级以上城市公安机关网监部门的分管领导和业务骨干共120余人参加的信息安全等级保护工作会议,对全国公安机关牵头组织开展信息安全等级保护工作进行了全面部署。各省(区、市)公安机关也按照公安部的部署,及时召开了公安机关信息安全等级保护工作会议,对本省(区、市)公安机关牵头组织开展信息安全等级保护工作进行了部署。
(三)开展了对信息系统主管部门和运营使用单位定级工作的监督、检查和指导。一是组织召开了十部委定级工作汇报交流会。2007年9月18日,公安部召集信息产业部、广电总局、铁道部、人民银行、海关总署、国税总局、民航总局、证监会、电监会、保监会等十家基础信息网络和重要信息系统主管部门的有关处长召开了定级工作汇报交流会,听取了十部委定级工作部署开展情况的工作汇报和工作建议,交流了定级工作经验和体会,并就加快开展定级工作提出了明确要求。二是加强对有关部门定级工作的指导和支持。从2007年9月24日开始到现在,公安部会同有关专家,对国家工商总局、国土资源部、教育部、卫生部、劳动与社会保障部、交通部、广电总局、铁道部、人民银行、海关总署、国税总局、民航总局、证监会、电监会、保监会、科技部、财政部、外交部、人事部、气象局等20多个部委的定级工作进行上门指导和调研,各地公安机关也同步开展上门指导工作,进行政策解读,协助解决工作中存在的问题,推动了所到单位定级工作的开展。三是配合有关部门开展定级工作培训。截至目前,公安部应邀参加了铁道部、人民银行、海关总署、国税总局、证监会、电监会、国防科工委、民航总局、农业部、商务部、国家统计局、质检总局、水利部、文化部、科技部、国家体育总局、国资委、国家民委、国土资源部、国家地震局、国家海洋局、国家外汇管理局、中国进出口银行等40多个部(委、局)以及国家电网公司、中石油集团、中石化集团、中材集团、建筑设计院等中央骨干企业的定级培训班,直接为培训人员讲解有关政策和标准,为有关部门的定级工作提供支持。各地公安机关也为本地相关部门组织的培训班提供了指导和帮助。四是及时反映各地区、各部门的工作进展,加强工作经验交流。为及时反映、交流各地区、各部门开展定级工作的做法和经验,公安部以国家信息安全等级保护工作协调小组办公室名义编发了《信息安全等级保护工作简报》30多期,发各部委、奥组委和全国公安网监部门、信息办,强化了对定级工作的指导。
(四)及时出台备案、监督检查等工作规范,使定级备案、监督检查工作法制化。各级公安机关精心组织受理备案和备案材料的审核工作,严格把关。公安部及时出台《信息安全等级保护备案实施细则》,确保了定级备案工作的顺利进行,正在研究制定《公安机关信息安全等级保护监督检查规范》,为下一步开展监督检查工作打下良好基础。
四、分析定级备案数据,进一步明确等级保护工作重点
全国重要信息系统定级工作是等级保护工作的首要环节和关键环节,这项工作的基本完成,标志着我国信息安全保障工作步入科学化、规范化、标准化阶段,对我国信息安全保障工作将会起到巨大的推动作用。根据此次定级备案的情况,对反映出的国家信息安全状况作初步分析:
(一)高依赖度的信息系统所占比例大、数量多,反映出我国信息化发展迅猛,社会进步、经济发展对重要信息系统具有强依赖性。根据备案数据统计,银行、铁路、民航、税务、海关、电力、证券等重要领域的生产、调度、管理、控制、指挥等重要业务完全依赖或较强依赖的信息系统占备案总数的较大比例。说明这些重要业务均已实现了信息化,并对信息系统具有很强的依赖性,这些系统一旦瘫痪,重要领域、部门的生产、调度、办公等重要业务工作将完全停顿或受到严重影响。因此,在定级备案后,各部门、各单位应及时按标准开展安全建设整改和等级测评工作,解决随时可能发生的安全事件和事故,堵塞漏洞和安全隐患。
(二)重要信息系统集中在广电、银行等重要行业,需要尽快落实安全措施重点保护。根据备案数据统计,第三级以上的重要信息系统主要分布在电信、广电、银行、铁道、海关、税务、民航、证券、电力、公安、财政、教育、科技、国防、交通、文化、工商、劳动保障、水利、卫生、统计等涉及经济命脉、社会发展的重点行业、重点领域。全国范围服务的特大型信息系统占有较大比重。因此必须重点维护和保障这些重要行业信息系统,特别是涉及全国范围的特大型信息系统的安全,从根本上提升国家基础信息网络和重要信息系统整体安全保护水平。
(三)有些部门信息安全责任、安全措施和安全制度不落实,信息系统存在严重的安全隐患和问题。公安机关在督促、检查、指导有关单位定级工作中发现,一些重要信息系统的安全状况十分令人担忧,以至发生严重的信息安全事件,直接威胁国家安全和北京奥运会的顺利举办。信息系统主管部门和运营使用单位必须通过实施等级保护,突出重点,严格进行安全建设、整改,落实安全责任,建设安全设施,落实安全措施,从根本上解决重要信息系统存在的严重问题,扭转信息安全面临的被动局面。
(四)加快开展信息系统安全建设整改和等级测评工作,全面落实国家信息安全等级保护制度。重要信息系统定级备案情况表明,我国基础信息网络和重要信息系统业已成为国家关键基础设施,在国家经济发展、社会进步中的基础性、关键性、全局性作用日益增强,全面加快和推进国家信息安全等级保护工作,有效保护基础信息网络和重要信息系统安全至关重要。2008年北京奥运日益临近,奥运网络以及为奥运提供服务保障的基础网络和重要信息系统的安全直接影响奥运会的顺利举办。虽然全国重要信息系统的定级备案工作基本完成,但国家信息安全等级保护工作才刚刚开始,因此,各部门、各单位要在定级备案工作的基础上,选择技术支撑力量,制定安全建设整改规划和方案,按照《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》等规范标准,加快对三级以上信息系统开展安全建设整改、等级测评、自查等工作,并配合公安机关、国家保密部门和国家密码工作部门开展监督、检查。各级财政和发展改革部门应对重要信息系统安全建设整改和等级测评工作给予支持,以确保国家信息安全等级保护制度的有效贯彻和实施。