• 今天是
信息名称: 关于印发《武进区重要信息系统安全等级保护定级工作实施方案》的通知
索 引 号: 014133162/2008-00015
主题分类: 公安 体裁分类: 通知 组配分类: 其他
文件编号: 武公局(2008)84号 发布机构: 公安局  
产生日期: 2008-09-23 发布日期: 2008-09-26 废止日期:有效
内容概述: 武进区重要信息系统安全等级保护定级工作实施方案。
关于印发《武进区重要信息系统安全等级保护定级工作实施方案》的通知
武公局(2008)84号
 


关于印发《武进区重要信息系统安全等级保护定级工作实施方案》的通知

 

区各相关部委办局:

为切实做好全区重要信息系统安全等级保护定级工作,区公安局、区国家保密工作局区密码管理局、区信息化领导小组办公室联合制定了《武进区重要信息系统安全等级保护定级工作实施方案》,并报经区信息安全等级保护工作协调小组同意,现印发给你们,请结合实际,抓好贯彻实施。

 

 

 

(本页无正文)

 

 

 

常州市武进区公安局           常州市武进区国安保密工作局

 

 

 

 

常州市武进区国家密码管理局   常州市武进区信息化领导小组办公室

 

 

  武进区重要信息系统安全等级保护定级工作实施方案

 

为切实做好我区重要信息系统安全等级保护定级工作,根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于印发〈信息安全等级保护管理办法〉的通知》(以下简称《管理办法》)和《关于开展全国重要信息系统安全等级保护定级工作的通知》(以下简称《定级通知》要求,决定从现在起至10月中旬在全区组织开展重要信息系统安全等级保护定级工作。

一、指导思想

以党的十六届六中全会精神为指导,全面落实科学发展观,按照国家关于加强信息安全保障工作的总体要求,认真组织全市重要信息系统运营使用单位开展信息安全等级保护定级工作,全面提升全区重要基础信息网络和信息系统的安全保障能力和水平,促进全区信息化建设与发展,切实维护国家安全、社会稳定和公共利益,创造安全有序的信息网络环境。

二、工作目标

按照公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《管理办法》和《定级通知》要求,认真组织开展全区基础信息网络和重要信息系统的基础调查、定级、评审、备案等工作,按时完成全区重要信息系统信息安全等级保护定级工作任务。具体工作目标是:完成党政机关重要网站和办公信息系统,电信、广电等基础信息网络,银行等重要信息系统以及涉及国家秘密的信息系统(以下简称“涉密信息系统”)等定级工作;完成第二级以上重要信息系统以及涉密信息系统的备案工作;建立健全全区信息安全等级保护组织领导、评审测评、监督检查等工作机制。

三、定级范围

(一)区级党政机关的重要网站和办公信息系统;

(二)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;

(三)银行、海关、税务、电力、证券、保险、外办、科技、发展改革、公安、人事劳动和社会保障、财政、审计、经贸、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统;

(四)涉及国家秘密的信息系统。

四、等级保护划分及定级方法

各机关各部门和信息系统运营使用单位应当依据《管理办法》、《定级通知》和《信息安全技术信息系统安全等级保护定级指南》(以下简称《定级指南》),按照上级主管部门提出的指导意见,开展信息安全等级保护定级工作。

(一)信息安全等级保护划分

第一级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。该级信息系统运营、使用单位依据国家有关管理规范和技术标准进行自我保护。

第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。该级信息系统信息安全等级保护工作,由国家信息安全监管部门进行指导。

第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。该级信息系统信息安全等级保护工作,由国家信息安全监管部门进行监督、检查。

第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。该级信息系统信息安全等级保护工作,由国家信息安全监管部门进行强制监督、检查。

第五级:信息系统受到破坏后,会对国家安全造成特别严重损害。该级信息系统信息安全等级保护工作,由国家指定专门部门进行专门监督、检查。

(二)定级方法

信息系统的安全等级由等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度两个要素决定。等级保护对象受到破坏时所侵害的客体包括公民、法人和其他组织的合法权益,社会秩序、公共利益及国家安全等三个方面,并随着重要性的递增其安全等级依次提高;同时,等级保护对象受到破坏后对客体造成侵害的程度分为一般损害、严重损害和特别严重损害,损害程度愈深,安全等级越高。

根据《定级指南》定级规则,信息系统的安全等级由该系统的业务信息安全等级和系统服务安全等级确定。其定级流程和方法是:

1、确定作为定级对象的信息系统;

2、确定业务信息安全受到破坏时所侵害的客体,并根据不同的受侵害客体,综合评定业务信息安全被破坏对客体的侵害程度,确定业务信息安全保护等级;

3、确定系统服务安全受到破坏时所侵害的客体,并根据不同的受侵害客体,综合评定系统服务安全被破坏对客体的侵害程度,确定系统服务安全保护等级;

4、根据所确定的业务信息安全等级、系统服务安全等级,最终确定信息系统安全等级,等级最高者为定级对象的安全保护等级。

五、工作措施和步骤

全区重要信息系统安全等级保护定级工作分三个阶段进行:

(一)动员部署和调查摸底阶段(从现在起至922日)。各单位、各部门对本地、本行业信息安全等级保护定级工作进行全面动员部署,成立工作领导(协调)小组,落实专门力量开展等级保护工作。重要信息系统运营使用单位要成立等级保护工作组,具体承担本单位的安全等级保护工作。区各行业主管部门、运营使用单位组织对所属信息系统开展摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《管理办法》、《定级通知》和《定级指南》要求,确定定级对象。各行业主管部门要根据行业特点提出本行业信息安全等级保护定级工作的具体实施意见。

(二)确定等级和评审阶段(923日到101日)。

1、各重要信息系统运营使用单位要按照《管理办法》、《定级通知》和《定级指南》,初步确定安全保护等级,起草定级报告。跨市、省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行

2、区公安局会同区国家保密工作局、区密码管理局、区信息办领导小组办公室成立由信息安全专家、安全技术研发单位专家和行业信息安全专家等组成的武进区信息安全保护等级专家评审组,负责定级评审等等级保护技术指导工作。

3重要信息系统运营使用单位或其主管部门自主确定为第四级以上(含,下同)信息系统的,运营使用单位或其主管部门应向国家信息安全等级保护专家评审委员会申请定级评审;对自主确定为第三级信息系统的,运营使用单位或其主管部门应向江苏省信息安全等级保护专家评审组申请定级评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。

(三)备案管理阶段(101日至1010日)。

1、信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到WWW.CZNIS.ORG下载《信息系统安全等级保护备案表》和辅助备案工具软件,持填写的备案表和利用辅助备案工具生成的备案电子数据,到区公安局网监大队办理备案手续,提交有关备案材料及电子数据文件。其中,第二级信息系统的备案单位只需填写备案表中的表一、表二和表三,第三级以上信息系统的备案单位还应当同时提交备案表表四所列各项内容的书面材料。

2、省直相关部门、单位,跨省市或全国统一联网运行并由主管部门统一定级的信息系统,由相关部门、单位或主管部门向省公安厅网络警察总队办理备案手续,上述部门、单位信息系统在武进本地运行、应用的分支系统,应向武进区公安局网监大队办理备案手续。

3、涉密信息系统建设使用单位依据《管理办法》、《定级通知》和国家保密局的有关规定,填写《涉及国家秘密的信息系统分级保护备案表》(见附件3),按照属地化管理原则,地方单位的涉密信息系统向武进区保密局备案;中央和国家机关地方所属单位的涉密信息系统,向所在地的省级保密工作部门备案。

4、公安机关和国家保密工作部门要切实加强信息系统安全等级保护备案管理工作,信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有关标准的,应当通知备案单位予以纠正。发现定级不准的,应当通知运营使用单位或其主管部门重新审核确定。保密工作部门要加强对涉密信息系统定级工作的指导、监督和检查。

六、工作要求   

(一)加强领导,落实保障。为加强对全区信息安全等级保护工作的领导,我区决定成立由  任组长、区公安局沈振华副局长、区保密局  、区密码管理局  、区信息化领导小组办公室  为成员的全区信息安全等级保护协调小组,在区公安局网监大队设立全区信息安全等级保护协调小组办公室,具体负责全区信息安全等级保护工作的规划、协调和指导。信息系统运营使用单位要成立等级保护工作组,落实责任部门、责任人员、技术支持力量和经费,保障定级工作顺利进行。

(二)明确责任,密切配合。信息安全等级保护定级工作由公安机关牵头,会同国家保密工作部门、国家密码管理部门和信息化领导小组办公室共同组织实施。公安机关负责定级工作的监督、检查、指导;国家保密工作部门负责涉密系统定级工作的监督、检查、指导;国家密码管理部门负责定级工作中有关密码工作的监督、检查、指导;信息化领导小组办公室负责定级工作的部门间协调。各信息系统主管部门组织本行业、本部门信息系统运营使用单位开展定级工作,督促其落实定级工作各项任务。各信息系统运营使用单位依据《管理办法》、《定级通知》和本《实施意见》的要求,具体实施定级工作。各单位要牢固树立“一盘棋”思想,加强沟通,协作配合,形成合力。督促各系统、各条线信息系统运营使用单位落实等级保护工作职责。

(三)深入宣传,组织培训。各单位、各部门要加大宣传工作力度,有针对性地加强对信息安全等级保护有关政策的宣传,努力为全区开展信息安全等级保护工作营造良好的氛围。要认真组织信息安全等级保护定级工作培训,公安局、国家保密局负责对重要信息系统运营使用单位的培训。

(四)检查指导,认真总结10月下旬,区信息安全等级保护工作协调小组办公室将组织有关部门成立联合检查组,对我区进行督导、检查。各单位、各部门要结合工作实际,认真总结经验和不足,提出改进和完善定级方法的意见和建议。

注:《管理办法》、《定级通知》、《信息安全技术信息系统安全等级保护定级指南》和《信息系统安全等级保护备案表》请到WWW.CZNIS.ORG网站下载。

 

 

 

 

 

打印      下载本信息公开文件