关于开展全省重要信息系统安全等级保护定级工作的通知(吉安市劳动和社会保障局发布)
各设区市公安局、国家保密局、国家密码管理局(国家密码管理委员会办公室)、信息化工作领导小组办公室:
为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》(以下简称《管理办法》)精神,提高我省基础信息网络和重要信息系统的信息安全保护能力和水平,根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)精神,我省定于2007年8月至9月,在全省范围内组织开展信息系统安全等级保护定级工作。现将有关事项通知如下:
一、定级范围
(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;
(二)铁路、银行、海关、税务、民航、电力、证券、保险、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统;
(三)市(地)级以上党政机关的重要网站和办公信息系统;
(四)涉及国家秘密的信息系统(以下简称涉密信息系统)。
二、职责分工
定级工作由公安机关牵头,会同国家保密工作部门、国家密码管理部门和信息化工作领导小组办事机构共同组织实施。公安机关负责定级工作的监督、检查、指导;国家保密工作部门负责涉密信息系统定级工作的监督、检查、指导;国家密码管理部门负责定级工作中有关密码工作的监督、检查、指导;信息化工作领导小组办事机构负责定级工作的部门间协调。各信息系统主管部门组织本行业、本部门信息系统运营使用单位开展定级工作,督促其落实定级工作各项任务。各信息系统运营使用单位依据《管理办法》和本通知要求,具体实施定级工作。
三、方法步骤
(一)开展摸底调查,掌握信息系统底数。各地公安机关要在去年开展基础调查的基础上,结合今年定级范围,通过组织或会同有关部门组织调查,进一步全面了解和掌握此次定级对象所属单位的基本情况。各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。
(二)初步确定信息系统等级。各信息系统主管部门和运营使用单位根据《管理办法》和《信息系统安全保护等级定级指南》,以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,科学、准确的确定系统安全保护等级,起草定级报告。跨市或者全省统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统按照国家保密局有关规定进行定级。
(三)专家咨询评审和主管部门审批。在信息系统安全保护等级初步确定后,除四级以上由国信办组织专家评审外,信息系统运营使用单位可自行聘请专家进行评审,公安机关要参加评审,掌握专家意见,对定级明显不准确的,要及时发表意见进行纠正。主管部门对其主管的运营商使用单位定级进行审批把关,如果是跨地域联网运营使用的信息系统,则必须由其上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。信息系统运营使用单位参考专家定级评审意见,最终确定信息系统等级,形成《定级报告》。如果专家评审意见与运营使用单位意见不一致时,由运营使用单位自主决定系统等级,信息系统运营使用单位有上级主管部门的,应当经上级主管部门对安全保护等级进行审核批准。涉密信息系统按照国家保密局有关规定进行等级评审。
(四)备案。第二级以上的信息系统由信息系统运营使用单位或主管部门到省公安厅网警在线网站(www.jxwj.gov.cn)下载《信息系统安全等级保护备案表》(见附件2)和辅助备案工具,持填写的备案表和利用辅助备案工具生成的备案电子数据,到所在地设区的同级公安机关办理备案手续,提交有关备案材料及电子数据文件。其中,第二级信息系统的备案单位只需填写备案表中的表一和表二,第三级以上信息系统的备案单位还应当提交备案表附件所列各项内容的书面材料。跨市或者全省统一联网运行并由主管部门统一定级的信息系统,由主管部门向省公安厅办理备案手续。跨市或者全省统一联网运行的信息系统在各地运行、应用的分支系统,向当地设区的市级以上公安机关备案。各市公安机关要及时将等级保护备案数据录入到基础数据库中。
涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定,填写《涉及国家秘密的信息系统分级保护备案表》(见附件3),按照属地化管理原则,省直单位的涉密信息系统向省国家保密局备案;地方单位的涉密信息系统向所在地的市(地)级以上保密工作部门备案。
(五)备案管理。公安机关和国家保密工作部门负责受理备案并进行备案管理。受理备案时,公安机关应当对提交的备案材料进行完整性审核和定级准确性审核,对符合等级保护要求的,颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有关标准的,应当通知备案单位予以纠正。发现定级不准的,应当通知运营使用单位或其主管部门重新审核确定。各运营使用单位要按要求向监管部门备案,对拒不备案的运营使用单位,监管部门要发限期备案通知,逾期不备案的,要给予书面警告,并向其上级主管部门通报。此次定级工作以备案完成为标志,各运营使用单位的定级备案工作9月底前完成。
(六)总结。备案工作完成后,各地区、各部门要结合本地区、本行业开展定级工作的实际,认真总结经验和不足,提出改进和完善定级方法的意见和建议,及时总结定级工作经验,形成定级工作总结报告,并于10月10日前报送省信息安全等级保护工作协调小组办公室。涉密信息系统定级工作总结报告向省国家保密局报送。
四、工作要求
此次定级工作由各级公安机关牵头,会同保密、密码和信息办共同组织开展。各级公安机关要积极向当地党委、政府进行专门汇报,主动争取党委、政府对信息安全等级保护工作的重视和支持。省公安厅、省国家保密局和省国家密码管理局联合成立了江西省信息系统安全等级保护工作协调小组,协调小组办公室设在省公安厅网监总队。各地要成立专门的等级保护工作协调小组,加强对定级工作的领导,研究制定定级工作实施方案。各运营使用单位及其主管部门要按照“谁主管谁负责、谁运营谁负责”的要求,明确主管领导和责任部门。各信息系统主管部门要切实加强对定级工作的组织、领导,落实等级保护各项责任,督促、指导本行业、本系统开展好定级、备案、建设整改、等级测评等工作。各信息系统运营使用单位按照“谁运营谁负责”的要求,落实定级工作的各项要求。
等级保护工作是各单位、各部门面临的新任务、新工作,公安、保密、密码和信息办等部门要认真组织相关部门、单位及人员学习和掌握等级保护有关政策、规范和相关标准。同时,要充分利用广播电视、报刊杂志、互联网等媒体,加大对国家信息安全等级保护制度的宣传力度,积极开展面向不同层次、不同对象的宣传、培训,为开展顺利实施等级保护工作奠定坚实的基础。
此次定级工作完成后,公安机关应当指导各信息系统主管部门、运营使用单位按照《管理办法》和有关技术标准,继续开展信息系统安全等级保护的系统建设或整改、等级测评、自查自纠等后续工作,公安、保密、密码部门要开展等级保护工作的监督、检查和指导。运营使用单位在开展安全建设整改工作时,公安机关可以提供必要的支持和咨询。
工作中遇到问题,请及时报告。
省公安厅联系人毛娅芳,联系电话:0791-7288362
省国家保密局联系人罗国群,联系电话:0791-6240331
省国家密码管理局联系人尹弟,联系电话:0791-6806386
省信息化工作领导小组办公室联系人黄进,联系电话:0791-6200543
省公安厅网警在线网址:www.jxwj.gov.cn(互联网);
技术咨询电话:0791-6101867。
二〇〇七年八月十四日
