馬鞍山市信息安全等級保護定級工作實施方案
為進一步提高馬鞍山市信息安全的保障能力和防護水平,確保國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全運行,維護國家安全和社會穩(wěn)定,保障公共利益,促進信息化建設(shè),根據(jù)《信息安全等級保護管理辦法》(公通字2007第43號)和《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》(公信安[2007]861號)的要求,結(jié)合馬鞍山市實際,制定如下實施方案:
一、指導(dǎo)思想
以“三個代表”重要思想和黨的十六大、十六屆五中、六中全會精神為指導(dǎo),深入貫徹執(zhí)行國家信息化領(lǐng)導(dǎo)小組《關(guān)于加強信息安全保障工作的意見》、《信息安全等級保護管理辦法》,全面推進信息安全等級保護工作,維護全市信息網(wǎng)絡(luò)安全。
二、工作目標
落實信息安全規(guī)劃、建設(shè)、評估、運行、維護等各個環(huán)節(jié)的等級保護制度,逐步建立起信息安全風(fēng)險評估、信息安全產(chǎn)品認證、信息安全應(yīng)急協(xié)調(diào)機制等制度,進一步提高我市信息安全的保障能力和防護水平,切實保護我市基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。
三、職責(zé)分工
市公安局依法對運營、使用信息系統(tǒng)的單位的信息安全等級保護工作實施監(jiān)督管理,督促、指導(dǎo)信息安全等級保護工作,監(jiān)督、檢查信息系統(tǒng)運營、使用單位的安全保護管理制度和技術(shù)措施的落實情況,受理信息系統(tǒng)保護等級的備案,依法查處信息系統(tǒng)運營、使用單位和個人的違法行為。市信息產(chǎn)業(yè)辦公室在自己的職責(zé)范圍內(nèi)指導(dǎo)、協(xié)調(diào)全市信息安全等級保護工作。保密部門按照國家有關(guān)規(guī)定和技術(shù)標準,對涉及國家秘密的信息系統(tǒng)的設(shè)計實施、審批備案、運行維護和日常保密管理等工作進行監(jiān)督、檢查、指導(dǎo);督促、指導(dǎo)涉及國家秘密的信息安全等級保護工作,受理涉及國家秘密的信息系統(tǒng)保護等級的備案,依法查處信息泄密、失密事件。密碼管理部門加強對涉及密碼管理的信息安全等級保護工作的監(jiān)督、檢查和指導(dǎo),查處信息安全等級保護工作中違反密碼管理的行為和事件。財政部門負責(zé)信息安全等級保護工作所需的經(jīng)費保障,并列入年度財政預(yù)算。各信息系統(tǒng)主管部門按照《信息安全等級保護管理辦法》的要求,加強對本系統(tǒng)、本單位、本行業(yè)安全等級保護工作的領(lǐng)導(dǎo),配合主管部門落實好安全等級保護工作。
四、定級范圍
(一)電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò),經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。
(二)鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。
(三)市(地)級以上黨政機關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。
(四)涉及國家秘密的信息系統(tǒng)(以下簡稱“涉密信息系統(tǒng)”)。
五、實施步驟
(一)準備階段(2007年8月20日前)。
1、組織領(lǐng)導(dǎo)。
成立等級保護工作協(xié)調(diào)領(lǐng)導(dǎo)小組,成員單位分別是公安局、市信息產(chǎn)業(yè)辦公室、機要局和保密局
組長:楊志剛(市公安局副局長)
領(lǐng)導(dǎo)小組成員:夏為順(市信息產(chǎn)業(yè)辦公室主任)
班先林(市機要局副局長)
王傳璽(市保密局副局長)
領(lǐng)導(dǎo)小組下設(shè)辦公室,市公安局網(wǎng)監(jiān)支隊支隊長呂兵任辦公室主任,辦公室抽調(diào)各成員單位的同志參加,成員如下:
吳瑋(市信息產(chǎn)業(yè)辦公室)
陳其龍(市機要局)
沈東源(市保密局)
沈莉(市公安局)
辦公地點設(shè)在市局網(wǎng)監(jiān)支隊,負責(zé)具體工作。
各運營使用單位及其主管部門要按照“誰主管誰負責(zé)、誰運營誰負責(zé)”的要求,明確主管領(lǐng)導(dǎo)和責(zé)任部門,成立相應(yīng)組織。
2、宣傳動員。
等級保護工作協(xié)調(diào)領(lǐng)導(dǎo)小組要積極協(xié)同新聞媒體,集中力量、集中時間,充分運用專題、專欄、評論等形式,利用廣播、電視、報紙、網(wǎng)絡(luò)等媒體,多角度、全方位地開展國家信息安全等級保護制度的宣傳,積極組織市政府門戶網(wǎng)站和各子網(wǎng)站,建立和完善信息安全等級保護制度的宣傳網(wǎng)頁、專欄。組織開展對各部門、各單位的信息系統(tǒng)主管領(lǐng)導(dǎo)和安全員的信息安全等級保護專業(yè)培訓(xùn),進一步提高對信息安全等級保護工作重要性和緊迫性的認識,掌握等級保護的基本業(yè)務(wù)知識,積極推動各有關(guān)單位做好信息安全等級保護工作的前期準備。
(二)摸底調(diào)查階段(2007年8月31日前)。各行業(yè)主管部門、運營使用單位要組織開展對所屬信息系統(tǒng)的摸底調(diào)查,全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況,按照《管理辦法》和《信息系統(tǒng)安全等級保護定級指南》的要求,確定定級對象。各行業(yè)主管部門要根據(jù)行業(yè)特點提出指導(dǎo)本地區(qū)、本行業(yè)定級工作的具體意見。
(三)初步定級階段(2007年9月15日前)。各信息系統(tǒng)主管部門和運營使用單位要按照《管理辦法》和《信息系統(tǒng)安全等級保護定級指南》,初步確定定級對象的安全保護等級,起草定級報告??缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。涉密信息系統(tǒng)的等級確定按照國家保密局的有關(guān)規(guī)定和標準執(zhí)行。
(四)評審審批階段(2007年9月20日前)。初步確定信息系統(tǒng)安全保護等級后,可以聘請專家進行評審。對擬確定為第四級以上信息系統(tǒng)的,由運營使用單位或主管部門請國家信息安全保護等級專家評審委員會評審。運營使用單位或主管部門參照評審意見最后確定信息系統(tǒng)安全保護等級,形成定級報告。當(dāng)專家評審意見與信息系統(tǒng)運營使用單位或其主管部門意見不一致時,由運營使用單位或主管部門自主決定信息系統(tǒng)安全保護等級。信息系統(tǒng)運營使用單位有上級行業(yè)主管部門的,所確定的信息系統(tǒng)安全保護等級應(yīng)當(dāng)報經(jīng)上級行業(yè)主管部門審批同意
(五)備案階段(2007年9月30日前)。根據(jù)《管理辦法》,信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)運營使用單位或主管部門到馬鞍山市政府網(wǎng)站下載《信息系統(tǒng)安全等級保護備案表》和輔助備案工具,持填寫的備案表和利用輔助備案工具生成的備案電子數(shù)據(jù),到市公安局網(wǎng)監(jiān)支隊辦理備案手續(xù),提交有關(guān)備案材料及電子數(shù)據(jù)文件。其中,第二級信息系統(tǒng)的備案單位只需填寫備案表中的表一、表二和表三,第三級以上信息系統(tǒng)的備案單位還應(yīng)當(dāng)同時提交備案表表四所列各項內(nèi)容的書面材料。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在我市運行、應(yīng)用的分支系統(tǒng),向本市公安局網(wǎng)監(jiān)支隊備案。
涉密信息系統(tǒng)建設(shè)使用單位依據(jù)《管理辦法》和國家保密局的有關(guān)規(guī)定,填寫《涉及國家秘密的信息系統(tǒng)分級保護備案表》(見附件3),按照屬地化管理原則,向我市保密工作部門備案。
(六)備案管理階段(2007年10月20日前)。公安機關(guān)和國家保密工作部門負責(zé)受理備案并進行備案管理。信息系統(tǒng)備案后,公安機關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案情況進行審核,對符合等級保護要求的,頒發(fā)信息系統(tǒng)安全保護等級備案證明。發(fā)現(xiàn)不符合《管理辦法》及有關(guān)標準的,應(yīng)當(dāng)通知備案單位予以糾正。發(fā)現(xiàn)定級不準的,應(yīng)當(dāng)通知運營使用單位或其主管部門重新審核確定。各級保密工作部門加強對涉密信息系統(tǒng)定級工作的指導(dǎo)、監(jiān)督和檢查。
六、工作要求
(一)統(tǒng)一思想,提高認識。各部門要清醒地看到,我市的信息安全保障工作尚處于起步階段,信息安全意識和安全防范能力薄弱,信息安全滯后于信息化發(fā)展;信息系統(tǒng)安全建設(shè)和管理的目標不明確;信息安全保障工作的重點不突出;信息安全監(jiān)督管理缺乏依據(jù)和標準,監(jiān)管措施有待到位,監(jiān)管體系尚待完善。為此,各部門要把思想統(tǒng)一到維護國家安全和社會穩(wěn)定上來,進一步提高對信息安全等級保護工作重要性和緊迫性的認識。
(二)加強領(lǐng)導(dǎo),落實職責(zé)。各信息系統(tǒng)運營、使用單位主要負責(zé)人是信息安全等級保護工作第一責(zé)任人,負責(zé)對此項工作的組織協(xié)調(diào),并指定專門部門或?qū)iT人員從事信息安全等級保護工作,各單位要根據(jù)各自職責(zé)制訂工作方案。
(三)強化措施,確保實效。為切實貫徹落實信息安全等級保護制度,要嚴格按照預(yù)定工作方案定人員、定崗位、定職責(zé),做到措施到位、行動到位,提高信息安全保障能力與水平。各信息系統(tǒng)運營、使用單位的主管部門要給予足夠的人力、資金支持,切實把信息系統(tǒng)安全等級保護工作落到實處。
(四)加強協(xié)調(diào),提高效率。各信息安全等級保護工作領(lǐng)導(dǎo)小組成員單位要整合力量,密切配合,互通信息,加強監(jiān)管,建立健全信息安全等級保護工作的協(xié)作機制,在政策宣傳、基礎(chǔ)調(diào)查、等級評測、定級建設(shè)、驗收備案等方面充分發(fā)揮組織、指導(dǎo)、監(jiān)管作用,進一步提高工作效率和水平,確保等級保護工作順利、有效實施。各級主管部門要從維護國家安全和社會穩(wěn)定的戰(zhàn)略高度,強力推進信息系統(tǒng)等級保護工作,為促進我市信息化發(fā)展提供堅實保障。