第一篇:中国石化深入开展信息安全等级保护工作有效保障企业生产业务信息系统安全
中国石化深入开展信息安全等级保护工作有效保障企业生产业务信息系统安全
来源:admin发布日期:2012-03-1
2近年来,中国石化在集团公司党组的领导下,紧紧围绕公司战略发展目标,大力推进信息化建设和应用,信息系统已经成为公司生产运营和经营管理的“中枢神经系统”,保障信息系统的安全可靠运行直接关系到公司的健康发展。为此,中国石化始终坚持以信息安全等级保护工作为核心,把等级保护的相关政策和技术标准与企业自身的安全需求深度融合,采取一系列有效措施,使等级保护制度在全公司得到有效落实,有效保障了公司的生产业务信息系统安全。
一、领导高度重视,组织保障有力,宣传培训到位。公司领导高度重视信息化和信息安全工作,党组成员、股份公司副总裁戴厚良在公司信息安全工作会议上强调,要高度重视信息系统安全,按照国家信息安全等级保护制度要求,加强安全体系建设,把握信息系统安全特点,从源头抓起,重视信息化项目的安全设计。公司成立了专门的信息安全等级保护领导小组,由信息系统管理部具体负责等级保护相关工作,组建了等级保护制度编制队伍、培训队伍、监督检查队伍和整改建设队伍,明确以等级保护工作为抓手,统筹全公司的信息安全工作。公司建立了高可靠的信息安全基础设施,重点强化了第三级信息系统的合规建设,加强了信息系统的运维管理,对重要信息系统建立了灾难备份及应急预案,有效提高了系统的安全防护水平。同时,公司充分利用网络、企业电视台、会议培训等方式,组织专题研讨、技术培训和业务交流,提高企业各级领导、职工对等级保护工作的认识水平,并在远程教育系统平台上发布信息安全等级保护宣传课件,面向企业的100余万用户提供培训,确保了等级保护制度的有效落实。
二、坚持“三结合”、抓好“两必须”、严控“两环节”。中国石化将等级保护建设融入整个信息化建设过程中,要求信息系统与安全建设“同步设计、同步建设、同步运行”。一是坚持“三结合”,即国家政策与行业特色相结合、信息安全与生产安全密切相结合、信息安全等级保护工作与信息化工作相结合。中国石化根据国家等级保护政策和技术标准,结合企业特点,在不低于国家标准的基础上,对信息系统安全保护等级细分为:Ⅰ级、ⅡA级、ⅡB级、ⅢA级、ⅢB级、Ⅳ级、Ⅴ级,编写了《中国石化集团信息系统安全等级保护管理办法》、《中国石化集团信息系统安全等级保护定级规范》、《中国石化集团信息系统安全等级保护基本规范》、《中国石化集团信息系统安全等级保护评估检查细则》、《中国石化集团信息系统安全等级保护建设整改指南》等标准,形成了企业等级保护标准体系。同时将信息安全工作纳入公司整体安全管理体系,将等级保护落实情况纳入信息化考核评价指标体系中,通过岗位责任制联合大检查和信息化考核,有力推动了等级保护制度的贯彻落实。二是坚持“两个必须”。即信息系统建设之初,必须先明确系统的信息安全等级保护级别;信息系统的规划设计,必须有信息安全设计,重要信息系统特别是三级系统必须进行独立的信息安全设计。三是严抓“两个环节”。即抓好可研立项和项目验收两个关键环节,这两个关键环节是信息系统项目建设的一头一尾,切实抓好这两个关键环节,才能保证信息系统安全设计与实施工作的落实。
三、完善措施,保障经费,确保等级保护各项工作顺利开展。一是认真组织开展信息系统定级备案工作。中国石化制定了公司信息系统定级备案指导意见,指导公司总部和下属企业完成了信息系统定级备案工作。并通过技术化手段,实时了解总部和下属企业信息系统的变化情况,及时开展定级备案。二是组织开展信息系统等级测评和安全建设整改。目前,中国石化总部已落实经费1500多万元,用于开展等级保护标准制定、宣贯培训、信息系统等级测评和安全建设整改。对面向社会公众服务、涉及核心业务、覆盖范围广的信息系统优先进行了等级保护测评,通过分析信息系统和基础设施面临的风险,查找薄弱环节和安全隐患并进行整改,提升信息安全管理水平。对于新建系统参照等级保护有关要求进行建设;对于今年内未进行测评的三级信息系统,已经安排经费预算,预计于2012年上半年全部完成等级测评,以后每年纳入常态工作。三是开展了信息安全检查活动。对信息安全、等级保护落实情况进行了检查,已对61家单位进行了现场检查和110家单位的自查,通过检查督促各下属单位开展相关工作。四是建立信息安全通报机制。《中国石化信息安全运行简报》已发布24期,内容以表彰先进企业工作经验、等级保护工作情况、通报信息安全事件、发布信息安全公告和宣贯信息安全基础知识为主,建立了总部与企业信息安全工作的沟通平台,有效推动了信息安全工作的开展。
四、建立完善各项安全保护技术措施和管理制度,有效保障重要信息系统安全。一是对网络和系统进行安全区域划分。按照《信息系统安全等级保护基本要求》,提出了“纵向分层、水平分区、区内细分”的网络安全区域划分原则,对网络进行了认真梳理、合理规划、有效调整,对重要区域部署了安全防护设备,针对具体应用系统部署了细粒度的安全防护策略,建立了必备的网络安全防护技术手段。二是持续推进病毒治理和桌面安全管理。建立了以公司总部为核心,覆盖全部企业的多级管理防病毒系统。建立了桌面安全管理系统,实现了资产管理、补丁管理、电源管理等功能。实施网络准入控制,实现了网络接入认证、合规检查等。三是加强用户身份认证强度。建成了数字证书管理(PKI/CA)系统,启动了用户身份管理、信息安全日志审计、文档安全管理系统的建设工作,完成了100万用户基础数据的导入工作,为远程教育系统、经营管理系统等多个应用系统提供了用户身份数据。四是加强制度建设和信息安全管理。本着“预防为主,建章立制,加强管理,重在治本”的原则,坚持管理与技术并重,制订和发布了《中国石化信息系统安全管理办法》《中国石化信息基础设施运行维护管理办法》等31个制度规范,对信息安全工作的有效开展起到了很好的指导和规范作用。
第二篇:关于开展电力行业信息系统安全等级保护定级工作的通知
关于开展电力行业信息系统安全等级保护定级工作的通知
电监信息〔2007〕34号
国家电网公司,南方电网公司,华能、大唐、华电、国电、中电投集团公司,各有关电力公司:
为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于印发<信息安全等级保护管理办法>的通知》(公通字〔2007〕43号)和《关于开展全国重要信息系统安全
等级保护定级工作的通知》(公信安〔2007〕861号)要求,提高电力行业网络和信息系统的信息安全保护能力和水平,定于2007年8月至10月在电力行业组织开展信息系统安全等级保护定级工作。现就有关事项通知如下:
一、工作组织
电力行业网络与信息安全领导小组:统一协调领导电力行业信息系统安全等级保护定级工作。
电力行业网络与信息安全领导小组办公室(以下简称领导小组办公室):具体负责组织开展电力行业信息系统安全等级保护定级工作,监督指导信息系统运营使用单位的定级工作。
电力行业信息系统安全等级保护定级工作专家组(以下简称专家组):对电力行业信息系统安全定级工作进行指导、咨询,对定级结果进行评审。
各有关电力公司(名单附后)等级保护责任部门(以下简称公司责任部门):负责组织开展本单位(系统)信息系统安全等级保护定级工作。
信息系统运营使用单位(以下简称运营使用单位):具体负责所运营、使用的信息系统的安全定级工作。
技术支持单位:中国电力科学研究院信息安全研究所等单位为本次信息系统安全定级工作的技术支持单位,负责提供技术支持。
二、主要工作内容
1、摸底调查
各公司责任部门要组织本系统的信息系统运营使用单位,开展对所属网络和信息系统的摸底调查工作,全面掌握信息网络和信息系统的数量、分布、业务类型、系统结构、应用或服务范围等基本情况。
2、初步定级
各单位在摸底调查的基础上,要按照《信息安全等级保护管理办法》(以下简称《管理办法》,附件1)和《信息系统安全等级保护定级指南》(附件2)的要求,确定各定级对象。并初步确定定级对象的安全保护等级,起草定级报告(报告模板见附件3)。各公司责任部门将本单位(系统)运营使用单位的定级报告汇总后统一报送领导小组办公室。
涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
3、评审
领导小组办公室组织专家对上报的定级报告进行分类评审。评审后领导小组办公室印发《电力行业信息系统安全等级保护定级实施指南》,指导各电力公司和信息系统运营使用单位的定级工作。
对于跨电力公司联网运行的信息系统,由领导小组办公室统一确定安全保护等级。
对于属同一电力公司,但跨省联网运行的信息系统,由公司责任部门统一确定安全保护等级。对于通用信息系统,由领导小组办公室提出安全保护等级建议,运营使用单位自主确定安全保护等级。
对于运营使用单位所特有的信息系统,各运营使用单位自行确定安全保护等级。
对拟确定为第四级以上信息系统的,由领导小组办公室邀请国家信息安全保护等级专家评审委员会评审。
4、审批与备案
根据《管理办法》,信息系统安全等级确定为二级以上的信息系统运营使用单位到公安部网站下载《信息系统安全等级保护备案表》(见附件4)和辅助备案工具,持填写的备案表和利用辅助备案工具生成的备案电子数据,到公安机关办理备案手续,提交有关备案材料及电子数据文件。其中,第二级信息系统的备案单位只需填写备案表中的表
一、表二和表三,第三级以上信息系统的备案单位还应当同时提交备案表表四所列各项内容的书面材料。
各运营使用单位要参照《电力行业信息系统安全等级保护定级实施指南》,结合本单位实际,填写备案表,由公司责任部门审定后,统一汇总报送领导小组办公室审批。
备案表经领导小组办公室审查批准后,各有关单位应根据下列要求到公安机关办理备案手续。
(1)跨电力公司联网运行,且由领导小组办公室统一确定安全等级的信息系统,领导小组办公室负责统一向公安部办理备案手续。
(2)电力公司内部跨省联网运行,且由公司责任部门统一确定安全等级的信息系统,由公司责任部门负责统一向公安部办理备案手续。
(3)其它信息系统的由运营使用单位直接向当地设区的市级以上公安机关备案。
(4)跨省联网运行的信息系统,在各地运行、应用的分支系统,向当地设区的市级以上公安机关备案。
涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定,填写《涉及国家秘密的信息系统分级 保护备案表》(见附件5),按照属地化管理原则,中央和国家机关单位的涉密信息系统向国家保密局备案;地方单位的涉密信息系统向所在地的市(地)级以上保密工作部门备案;中央和国家机关地方所属单位的涉密信息系统,向所在地的省级保密工作部门备案。
5、备案管理
公安机关和国家保密工作部门负责受理电力行业信息系统等级保护定级备案,并进行备案管理。信息系统备案后,公安机关对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有关标准的,将通知备案单位予以纠正。发现定级不准的,通知运营使用单位或者领导小组办公室重新审核确定。各级保密工作部门加强对涉密信息系统定级工作的指导、监督和检查。
三、进度安排
动员部署阶段,8月15日前印发通知,对定级工作进行动员部署。
摸底调查及初步定级阶段,8月31日前完成。开展信息系统基本摸底调查,初步确定定级对象的安全保护等级,起草定级报告。
评审阶段,9月24日前完成。领导小组办公室对上报的初步定级报告进行分类评审,并编制印发《电力行业信息系统安全等级保护定级实施指南》。
审批与备案阶段,10月15日前完成。各运营使用单位按照《电力行业信息系统安全等级保护定级实施指南》,填写备案表并上报领导小组办公室审核,审核批准后按要求向公安机关备案。
总结阶段,10月20日前完成。各公司责任部门对本单位(系统)信息系统安全定级工作进行总结,并向领导小组办公室报送总结报告。领导小组办公室对行业信息系统安全定级工作进行总结,并报送公安部。
四、工作要求
1、加强领导,落实保障
各电力公司要按照领导小组办公室的统一部署,明确等级保护责任部门,加强组织领导,及时掌握工作进展情况。信息系统运营使用单位要落实责任部门、责任人员和经费,保障定级工作顺利进行。
2、明确责任,密切配合
信息系统的运营使用单位是安全等级保护工作的责任主体,要切实落实运营使用单位的责任。电力公司对所属单位信息系统的安全等级保护工作负总责,各单位要承担起本单位(本系统)信息系统安全等级保护工作的组织管理职责。
各电力公司、各运营使用单位要按照领导小组办公室的部署,积极协调做好本系统、本单位信息系统的安全等级保护工作。
3、动员部署,开展培训
各单位要按照统一部署,广泛进行宣传动员,举办形式多样的培训班、研讨班等,层层培训。领导小组办公室将根据电力行业特点,按照国家要求,会同有关专业培训单位,组织开展电力行业等级保护培训工作。
4、及时总结,提出建议
各电力公司、运营使用单位要结合本单位、本系统开展定级工作的实际,认真总结经验和不足,提出改进和完善定级方法的意见和建议。各公司责任部门要及时总结定级工作经验,形成定级工作总结报告,及时报送领导小组办公室。
此次定级工作完成后,领导小组办公室将按照《管理办法》和有关技术标准,继续组织开展信息系统安全等级保护的系统建设或整改、等级测评、自查自纠等后续工作。
联系方式:
电力行业网络与信息安全领导小组办公室
联系人:胡红升 010-58681816 温红子 010-58681815 电子邮件:xxtb@serc.gov.cn 传真:010-58681835 技术支持电话:010-82812516 附件:1.《信息安全等级保护管理办法》 2.《信息安全等级保护定级指南》
3.《信息系统安全等级保护定级报告》模版 4.《信息安全等级保护备案表》
5.《涉及国家秘密的信息系统分级保护备案表》
二○○七年八月十三日
【来源】电监会办公厅 【日期】2007-08-20
【字体: 大 中 小】 【打印】 【关闭】
Copyright ®1998-2007 All Rights Reserved 国家电力监管委员会 版权所有
第三篇:医院信息系统安全等级保护工作实施方案
关于做好信息安全等级保护工作的通知 各科室:
医院信息系统是医疗服务的重要支撑体系。为贯彻落实国家信息安全等级保护制度,确保我院信息系统安全可靠运行,根据《湖北省卫生厅湖北省公安厅关于开展全省卫生行业信息安全等级保护工作通知》(鄂卫发〔2012〕14号)精神,并结合我院信息系统应用的特点,就相关事项通知如下。
一、组织领导 组长: 副组长: 组员:
领导小组办公室设在XX科,由XX同志兼任主任,XXX等同志负责具体工作。
二、工作任务
1、做好系统定级工作。定级系统包括基础支撑系统,面向患者服务信息系统,内部行政管理信息系统、网络直报系统及门户网站,定级方法由市卫生局统一与市公安局等信息安全相关部门协商。
2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求,对信息系统进行定级后,将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局,由卫生局报属地公安机关办理备案手续。
3、做好系统等级测评工作。完成定级备案后,选择市卫生局推荐的等级测评机构,对已确定安全保护等级信息系统,按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评,信息系统测评后,及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。
4、完善等级保护体系建设做好整改工作。按照测评报告评测结果,对照《信息系统安全等级保护基本要求》等有关标准,组织开展等级保护安全建设整改工作,具体要求如下: 安全类别
控制项
主要安全措施
二级保护措施
三级保护措施
物理安全
物理访问控制
机房安排专人负责,来访人员须审批和陪同
√
√
重要区域配置门禁系统
√
防盗窃和防破坏
暴露在公共场所的网络设备须具备安全保护措施
√
√
主机房安装监控报警系统
√
防雷击
机房计算机系统接地符合GB 50057-1994《建筑物防雷设计规范》中的计算机机房防雷要求
√
√
机房电源、网络信号线、重要设备安装有资质的防雷装置
√
防火
机房设置灭火设备和火灾自动报警系统
√
√
机房配置自动灭火装置
√
电力供应
机房及关键设备应配置UPS备用电力供应
√
√
医院重要科室应采用双回路电源供电
√
√
环境监控
机房设置温、湿度自动调节设施
√
√
机房设置防水检测和报警设施
√
对机房关键设备和磁介质实施电磁屏蔽
√
网络安全
结构安全
网络应按职能和重要程度不同划分网段
√
√
重要网段之间应采用防火墙进行隔离
√
访问控制
网络边界部署防火墙或网闸
√
√
安全审计
网络日志审计、网络运维管理安全审计
√
√
边界完整性检查
采用准入控制系统,实现准入控制、非法外联检查
√
√
采用准入控制系统,实现准入控制及非法外联可阻断
√
入侵防范
入侵检测系统/入侵防御系统
√
√
恶意代码防范
防病毒网关
√
主机安全
入侵防范
采用服务器安全加固
√
√
安全审计
采用终端管理系统实现安全审计
√
√
恶意代码防范
防病毒软件
√
√
应用安全
身份鉴别
采用电子认证措施
√
√
安全审计
数据库安全审计系统
√
√
数据安全与备份恢复
备份和恢复
本地数据备份与恢复
√
√
硬件冗余
关键网络设备、线路和服务器硬件冗余 √
√
异地备份
异地数据备份
√
三、工作要求
1、切实加强组织领导。拟定实施医院信息系统安全等级保护的具体方案,并制定相应的岗位责任制,召开专题会议,确保信息安全等级保护工作顺利实施。
2、建立健全信息系统安全管理制度。根据信息安全等级保护的要求,制定各项信息系统安全管理制度,对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。
3、制定保障医疗活动不中断的应急预案。按可能出现问题的不同情形制定相应的应急措施,在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。
第四篇:信息安全等级保护工作实施方案
白鲁础九年制学校
信息安全等级保护工作实施方案
为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【2011】321号文件精神,结合我校实际,制订本实施方案。
一、指导思想
以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。
二、定级范围
学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。
三、组织领导
(一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。
学校办公室负责定级工作的部门间协调。
安全保卫处负责定级工作的监督。
电教组负责定级工作的检查、指导、评审。
各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。
(二)协调领导机制。
1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。
2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。
3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。
四、主要内容、工作步骤
(一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。
(二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
(三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。
(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。
五、定级工作要求
(一)加强领导,落实保障。各部门要落实责任,并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。
(二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我校基础信息网络和重要信息系统的信息安全保护能力和水平,保证定级工作顺利进行,各部门要认真学习《信息安全等级保护管理办法》、《文保处教育系统单位信息分级培训材料》、《信息系统安全保护等级定级指南(国标)》、《信息系统安全等级保护基本要求(报批)》、《信息系统安全等级保护实施指南(报批)》等材料。
(三)积极配合、认真整改。各部门要认真按照评级要求,组织开展等级保护工作,切实做好重要信息系统的安全等级保护。
(四)自查自纠、完善制度。此次定级工作完成后,请各部门按照《信息安全等级保护管理办法》和有关技术标准,依据系统所定保护等级的要求,定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查,并不断完善安全管理制度,今后,若信息系统备案资料发生变化,应及时进行变更备案
第五篇:关于开展全国重要信息系统安全等级保护定级工作的通知
附件二:
中华人民共和国公安部 国
家
保
密
局
国家密码管理局 国务院信息化工作办公室
关于开展全国重要信息系统安全等级保护
定级工作的通知
公信安[2007]861号
各省、自治区、直辖市公安厅(局)、保密局、国家密码管理局(国家密码管理委员会办公室)、信息化领导小组办公室,新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室,各人民团体保密委员会办公室:
为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》(以下简称《管理办法》)精神,提高我国基础信息网络和重要信息系统的信息安全保护能力和水平,根据国家网络与信息安全协调小组2007年的工作部署,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作(以下简称“定级工作”)。现就有关事项通知如下:
一、定级范围
(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
二、定级工作的主要内容
(一)开展信息系统基本情况的摸底调查。各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的具体意见。
(二)初步确定安全保护等级。各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告(报告模版见附件1)。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
(三)评审与审批。初步确定信息系统安全保护等级后,可以聘请专家进行评审。对拟确定为第四级以上信息系统的,由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。
(四)备案。根据《管理办法》,信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安部网站下载《信息系统安全等级保护备案表》(见附件2)和辅助备案工具,持填写的备案表和利用辅助备案工具生成的备案电子数据,到公安机关办理备案手续,提交有关备案材料及电子数据文件。其中,第二级信息系统的备案单位只需填写备案表中的表
一、表二和表三,第三级以上信息系统的备案单位还应当同时提交备案表表四所列各项内容的书面材料。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,向当地设区的市级以上公安机关备案。
涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定,填写《涉及国家秘密的信息系统分级保护备案表》(见附件3),按照属地化管理原则,中央和国家机关单位的涉密信息系统向国家保密局备案;地方单位的涉密信息系统向所在地的市(地)级以上保密工作部门备案;中央和国家机关地方所属单位的涉密信息系统,向所在地的省级保密工作部门备案。
(五)备案管理。公安机关和国家保密工作部门负责受理备案并进行备案管理。信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有关标准的,应当通知备案单位予以纠正。发现定级不准的,应当通知运营使用单位或其主管部门重新审核确定。各级保密工作部门加强对涉密信息系统定级工作的指导、监督和检查。
三、定级工作的要求
(一)加强领导,落实保障。各地区、各部门要加强对本地区、本行业信息安全等级保护工作的组织领导,及时掌握工作进展情况,并可组织成立专家组,明确技术支持力量。信息系统运营使用单位要成立等级保护工作组,落实责任部门、责任人员和经费,保障定级工作顺利进行。
(二)明确责任,密切配合。定级工作由各级公安机关牵头,会同国家保密工作部门、国家密码管理部门和信息化领导小组办事机构共同组织实施。公安机关负责定级工作的监督、检查、指导;国家保密工作部门负责涉密系统定级工作的监督、检查、指导;国家密码管理部门负责定级工作中有关密码工作的监督、检查、指导;信息化领导小组办事机构负责定级工作的部门间协调。各信息系统主管部门组织本行业、本部门信息系统运营使用单位开展定级工作,督促其落实定级工作各项任务。各信息系统运营使用单位依据《管理办法》和本通知要求,具体实施定级工作。
(三)动员部署,开展培训。各地区、各部门要按照统一部署广泛进行宣传动员,举办形式多样的培训班、研讨班等,层层培训。公安部会同国家保密局、国家密码管理局、国务院信息化工作办公室对国家有关部委、各省级公安、保密、密码和信息化领导小组办事机构就《管理办法》和《信息系统安全等级保护定级指南》等内容进行培训。信息系统主管部门对所管辖的信息系统运营使用单位进行培训。各地参照上述培训模式开展培训工作。
(四)及时总结,提出建议。各地区、各部门要结合本地区、本行业开展定级工作的实际,认真总结经验和不足,提出改进和完善定级方法的意见和建议。各地区、各部门负责等级保护的领导机构要及时总结定级工作经验,形成定级工作总结报告,并及时报送公安部。涉密信息系统定级工作总结报告向国家保密局报送。
此次定级工作完成后,请各主管部门、运营使用单位按照《管理办法》和有关技术标准,继续开展信息系统安全等级保护的系统建设或整改、等级测评、自查自纠等后续工作,各级公安、保密、密码管理部门要开展等级保护工作的监督、检查和指导。
执行中有何问题,请及时报告。
公安部联系人郭启全,联系电话:010-66261745 国家保密局联系人魏力,联系电话:010-83086085 国家密码管理局联系人王家玮,联系电话:010-83084734 国务院信息办联系人李强,联系电话:010-83083664 公安部网址:www.xiexiebang.com(互联网);
ftp://10.1.185.68(公安网)。技术咨询电话:010—88530013、88530015。
附件:
1、《信息系统安全等级保护定级报告》模版
2、《信息系统安全等级保护备案表》
3、《涉及国家秘密的信息系统分级保护备案表》
公 安 部
国家保密局
国家密码管理局
国务院信息化工作办公室
二〇〇七年七月十六日
附件一:《信息系统安全等级保护定级报告》模版
《信息系统安全等级保护定级报告》
一、XXX信息系统描述
简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。
二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)
(一)业务信息安全保护等级的确定
1、业务信息描述
描述信息系统处理的主要业务信息等。
2、业务信息受到破坏时所侵害客体的确定
说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、业务信息安全等级的确定
依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。
(二)系统服务安全保护等级的确定
1、系统服务描述
描述信息系统的服务范围、服务对象等。
2、系统服务受到破坏时所侵害客体的确定
说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、系统服务安全等级的确定
依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。
(三)安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定XXX系统安全保护等级为第几级。
信息系统名称 XXX信息系统 安全保护等级
X
业务信息安全等级
X
系统服务安全等级
X
点击咨询 