关于印发《山东省重要信息系统安全等级保护定级工作方案》的通知
- 发文机关:山东省公安厅、山东省保密局、山东省国家密码管理局、山东省信息化工作领导小组办公室
- 发布日期:2007年08月15日
- 编 号:鲁公发字[2007] 210号
为认真贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》(以下简称《管理办法》)精神,提高全省基础信息网络和重要信息系统的信息安全保护能力和水平, 根据全国重要信息系统安全等级保护定级工作电视电话会议的统一部署和省委省政府领导指示,结合我省实际,制定《山东省重要信息系统安全等级保护定级工作方案》。
一、指导思想
以邓小平理论和“三个代表”重要思想为指导,以科学发展观为统领,深入贯彻落实党的十六届六中全会精神,紧密围绕构建社会主义和谐社会的总目标,遵循 “谁主管谁负责,谁运营谁负责”的原则和“自主定级,自主保护”的要求,在各级党委、政府的统一领导下,充分发挥各职能部门的作用,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级工作。
二、定级范围
(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
三、定级工作的主要内容
(一)开展信息系统基本情况的摸底调查。各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的具体意见。
(二)初步确定安全保护等级。各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告(报告模版见附件1)。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
(三)评审与审批。初步确定信息系统安全保护等级后,可以聘请专家进行评审。对拟确定为第四级以上信息系统的,由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。
(四)备案。根据《管理办法》,信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安部网站下载《信息系统安全等级保护备案表》(见附件2)和辅助备案工具,持填写的备案表和利用辅助备案工具生成的备案电子数据,到公安机关办理备案手续,提交有关备案材料及电子数据文件。其中,第二级信息系统的备案单位只需填写备案表中的表一、表二和表三,第三级以上信息系统的备案单位还应当同时提交备案表表四所列各项内容的书面材料。隶属于省委、省政府的在济单位,其跨市或者全省统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安厅办理备案手续。跨市或者全省统一联网运行的信息系统在各地运行、应用的分支系统,向当地设区的市级公安机关备案。
涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定,填写《涉及国家秘密的信息系统分级保护备案表》(见附件3),按照属地化管理原则,省委和省政府机关单位的涉密信息系统、中央和国家机关地方所属单位的涉密信息系统向省国家保密局备案;地方单位的涉密信息系统向所在地的市(地)级以上保密工作部门备案。
(五)备案管理。公安机关和国家保密工作部门负责受理备案并进行备案管理。信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有关标准的,应当通知备案单位予以纠正。发现定级不准的,应当通知运营使用单位或其主管部门重新审核确定。各级保密工作部门加强对涉密信息系统定级工作的指导、监督和检查。
四、时间安排
(一)动员部署阶段(8月15日至8月22日)。电视电话会议后,各地要结合本地实际,制定具体工作方案,建立工作机构。广泛宣传《国家信息化领导小组关于加强信息安全保障工作的意见》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》,提高全社会对信息安全等级保护工作重要性的认识。
(二)调查摸底阶段(8月22日至9月5日)。按照《管理办法》和《信息系统安全等级保护定级指南》的要求,各行业主管部门、运营使用单位组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,确定定级对象。
(三)定级与评审审批阶段(9月5日至9月25日)。按照《管理办法》和《信息系统安全等级保护定级指南》,各信息系统主管部门和运营使用单位初步确定定级对象的安全保护等级。初步确定后,可以聘请专家进行评审,并参照评审意见由运营使用单位或主管部门自主决定确定信息系统安全保护等级,形成定级报告(报告模版见附件1)。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。
(四)备案管理及总结阶段(9月25日至9月30日)。各信息系统主管部门和运营使用单位向公安机关和国家保密工作部门报送定级报告进行备案。公安机关应当对信息系统的备案情况进行审核,颁发信息系统安全保护等级备案证明。各级保密工作部门加强对涉密信息系统定级工作的指导、监督和检查。各地区、各部门负责等级保护的领导机构及时总结定级工作经验,形成并上报定级工作总结报告。
五、定级工作的要求
(一)加强领导,落实保障。为加强我省信息系统保护工作的领导,省公安厅、省保密局、省密码管理局、省信息化工作办公室成立了“山东省信息安全等级保护工作协调小组”,由省公安厅秦黎副厅长任协调小组组长,省保密局、省密码管理局、省信息化工作办公室有关领导为协调小组成员,并在省公安厅公共信息网络安全监察总队设协调小组办公室,具体负责工作的指导、组织和协调全省的重要信息系统安全等级保护工作。同时成立“山东省信息安全等级保护工作专家评审委员会”,负责全省重要信息系统的定级评审工作,提供业务咨询,提出工作意见建议。各地区、各部门要加强对本地区、本行业信息安全等级保护工作的组织领导,及时掌握工作进展情况,并可组织成立专家组,明确技术支持力量。信息系统运营使用单位要成立等级保护工作组,落实责任部门、责任人员和经费,保障定级工作顺利进行。
(二)明确责任,密切配合。定级工作由各级公安机关牵头,会同国家保密工作部门、国家密码管理部门和信息化领导小组办事机构共同组织实施。公安机关负责定级工作的监督、检查、指导;国家保密工作部门负责涉密系统定级工作的监督、检查、指导;国家密码管理部门负责定级工作中有关密码工作的监督、检查、指导;信息化领导小组办事机构负责定级工作的部门间协调。各信息系统主管部门组织本行业、本部门信息系统运营使用单位开展定级工作,督促其落实定级工作各项任务。各信息系统运营使用单位依据《管理办法》和本通知要求,具体实施定级工作。
(三)动员部署,开展培训。各地、各部门要深入动员,周密部署,会同新闻媒体广泛宣传,提高各部门、各单位对等级保护工作重要性的认识。同时举办形式多样的培训班、研讨班等,对信息系统主管部门及信息系统运营使用单位进行培训。熟悉和掌握等级保护和定级工作的内容、标准和方法。
(四)及时总结,提出建议。各地区、各部门要结合本地区、本行业开展定级工作的实际,认真总结经验和不足,提出改进和完善定级方法的意见和建议。各地区、各部门负责等级保护的领导机构要及时总结定级工作经验,形成定级工作总结报告,并及时报送省公安厅。涉密信息系统定级工作总结报告向省国家保密局报送。
此次定级工作完成后,各主管部门、运营使用单位应按照《管理办法》和有关技术标准,继续开展信息系统安全等级保护的系统建设或整改、等级测评、自查自纠等后续工作,各级公安、保密、密码管理部门要开展等级保护工作的监督、检查和指导。
