马鞍山市信息安全等级保护定级工作实施方案
为进一步提高马鞍山市信息安全的保障能力和防护水平,确保国家基础信息网络和重要信息系统的安全运行,维护国家安全和社会稳定,保障公共利益,促进信息化建设,根据《信息安全等级保护管理办法》(公通字2007第43号)和《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)的要求,结合马鞍山市实际,制定如下实施方案:
一、指导思想
以“三个代表”重要思想和党的十六大、十六届五中、六中全会精神为指导,深入贯彻执行国家信息化领导小组《关于加强信息安全保障工作的意见》、《信息安全等级保护管理办法》,全面推进信息安全等级保护工作,维护全市信息网络安全。
二、工作目标
落实信息安全规划、建设、评估、运行、维护等各个环节的等级保护制度,逐步建立起信息安全风险评估、信息安全产品认证、信息安全应急协调机制等制度,进一步提高我市信息安全的保障能力和防护水平,切实保护我市基础信息网络和重要信息系统的安全。
三、职责分工
市公安局依法对运营、使用信息系统的单位的信息安全等级保护工作实施监督管理,督促、指导信息安全等级保护工作,监督、检查信息系统运营、使用单位的安全保护管理制度和技术措施的落实情况,受理信息系统保护等级的备案,依法查处信息系统运营、使用单位和个人的违法行为。市信息产业办公室在自己的职责范围内指导、协调全市信息安全等级保护工作。保密部门按照国家有关规定和技术标准,对涉及国家秘密的信息系统的设计实施、审批备案、运行维护和日常保密管理等工作进行监督、检查、指导;督促、指导涉及国家秘密的信息安全等级保护工作,受理涉及国家秘密的信息系统保护等级的备案,依法查处信息泄密、失密事件。密码管理部门加强对涉及密码管理的信息安全等级保护工作的监督、检查和指导,查处信息安全等级保护工作中违反密码管理的行为和事件。财政部门负责信息安全等级保护工作所需的经费保障,并列入年度财政预算。各信息系统主管部门按照《信息安全等级保护管理办法》的要求,加强对本系统、本单位、本行业安全等级保护工作的领导,配合主管部门落实好安全等级保护工作。
四、定级范围
(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
五、实施步骤
(一)准备阶段(2007年8月20日前)。
1、组织领导。
成立等级保护工作协调领导小组,成员单位分别是公安局、市信息产业办公室、机要局和保密局
组长:杨志刚(市公安局副局长)
领导小组成员:夏为顺(市信息产业办公室主任)
班先林(市机要局副局长)
王传玺(市保密局副局长)
领导小组下设办公室,市公安局网监支队支队长吕兵任办公室主任,办公室抽调各成员单位的同志参加,成员如下:
吴玮(市信息产业办公室)
陈其龙(市机要局)
沈东源(市保密局)
沈莉(市公安局)
办公地点设在市局网监支队,负责具体工作。
各运营使用单位及其主管部门要按照“谁主管谁负责、谁运营谁负责”的要求,明确主管领导和责任部门,成立相应组织。
2、宣传动员。
等级保护工作协调领导小组要积极协同新闻媒体,集中力量、集中时间,充分运用专题、专栏、评论等形式,利用广播、电视、报纸、网络等媒体,多角度、全方位地开展国家信息安全等级保护制度的宣传,积极组织市政府门户网站和各子网站,建立和完善信息安全等级保护制度的宣传网页、专栏。组织开展对各部门、各单位的信息系统主管领导和安全员的信息安全等级保护专业培训,进一步提高对信息安全等级保护工作重要性和紧迫性的认识,掌握等级保护的基本业务知识,积极推动各有关单位做好信息安全等级保护工作的前期准备。
(二)摸底调查阶段(2007年8月31日前)。各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的具体意见。
(三)初步定级阶段(2007年9月15日前)。各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
(四)评审审批阶段(2007年9月20日前)。初步确定信息系统安全保护等级后,可以聘请专家进行评审。对拟确定为第四级以上信息系统的,由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意
(五)备案阶段(2007年9月30日前)。根据《管理办法》,信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到马鞍山市政府网站下载《信息系统安全等级保护备案表》和辅助备案工具,持填写的备案表和利用辅助备案工具生成的备案电子数据,到市公安局网监支队办理备案手续,提交有关备案材料及电子数据文件。其中,第二级信息系统的备案单位只需填写备案表中的表一、表二和表三,第三级以上信息系统的备案单位还应当同时提交备案表表四所列各项内容的书面材料。跨省或者全国统一联网运行的信息系统在我市运行、应用的分支系统,向本市公安局网监支队备案。
涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定,填写《涉及国家秘密的信息系统分级保护备案表》(见附件3),按照属地化管理原则,向我市保密工作部门备案。
(六)备案管理阶段(2007年10月20日前)。公安机关和国家保密工作部门负责受理备案并进行备案管理。信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有关标准的,应当通知备案单位予以纠正。发现定级不准的,应当通知运营使用单位或其主管部门重新审核确定。各级保密工作部门加强对涉密信息系统定级工作的指导、监督和检查。
六、工作要求
(一)统一思想,提高认识。各部门要清醒地看到,我市的信息安全保障工作尚处于起步阶段,信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。为此,各部门要把思想统一到维护国家安全和社会稳定上来,进一步提高对信息安全等级保护工作重要性和紧迫性的认识。
(二)加强领导,落实职责。各信息系统运营、使用单位主要负责人是信息安全等级保护工作第一责任人,负责对此项工作的组织协调,并指定专门部门或专门人员从事信息安全等级保护工作,各单位要根据各自职责制订工作方案。
(三)强化措施,确保实效。为切实贯彻落实信息安全等级保护制度,要严格按照预定工作方案定人员、定岗位、定职责,做到措施到位、行动到位,提高信息安全保障能力与水平。各信息系统运营、使用单位的主管部门要给予足够的人力、资金支持,切实把信息系统安全等级保护工作落到实处。
(四)加强协调,提高效率。各信息安全等级保护工作领导小组成员单位要整合力量,密切配合,互通信息,加强监管,建立健全信息安全等级保护工作的协作机制,在政策宣传、基础调查、等级评测、定级建设、验收备案等方面充分发挥组织、指导、监管作用,进一步提高工作效率和水平,确保等级保护工作顺利、有效实施。各级主管部门要从维护国家安全和社会稳定的战略高度,强力推进信息系统等级保护工作,为促进我市信息化发展提供坚实保障。