为进一步提高我市信息安全的保障能力和防护水平,确保国家基础信息网络和重要信息系统的安全运行,维护国家安全和社会稳定,保障公共利益,促进信息化建设,根据公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室《关于印发<信息安全等级保护办法>(试行)的通知》(公通字2006[7]号)的要求,计划用三年左右的时间在我市实施信息安全等级保护制度。
一、指导思想
以“三个代表”重要思想为指导,以党的十六大、十六届四中、五中全会精神以及国家信息化领导小组《关于加强信息安全保障工作的意见》为指针,深入贯彻执行公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室《关于印发<信息安全等级保护办法>(试行)的通知》的要求,全面推进信息安全等级保护工作,维护全市信息网络安全。
二、工作目标
经过三年努力,全面落实在信息安全规划、建设、评估、运行、维护等各个环节的等级保护制度,信息安全风险评估、信息安全产品认证、信息安全应急协调机制等制度逐步确立,进一步提高我市信息安全的保障能力和防护水平,切实保护我市基础信息网络和重要信息系统的安全。
三、职责分工
公安部门依法对运营、使用信息系统的单位的信息安全等级保护工作实施监督管理。督促、指导信息安全等级保护工作;监督、检查信息系统运营、使用单位的安全保护管理制度和技术措施的落实情况;受理信息系统保护等级的备案;依法查处信息系统运营、使用单位和个人的违法行为。保密部门按照国家有关规定和技术标准,对涉及国家秘密的信息系统的设计实施、审批备案、运行维护和日常保密管理等工作进行监督、检查、指导。督促、指导涉及国家秘密的信息安全等级保护工作;受理涉及国家秘密的信息系统保护等级的备案;依法查处信息泄密、失密事件。密码管理部门加强对涉及密码管理的信息安全等级保护工作的监督、检查和指导,查处信息安全等级保护工作中违反密码管理的行为和事件。信息化工作领导小组办公室协调信息安全等级保护工作。指导、协调信息安全等级保护工作;组织制定信息安全等级保护工作规范;组织专家审定信息系统的保护等级;为相关单位提供信息安全等级保护的有关咨询;根据预案规定,组织落实信息安全突发公共事件的应急处置工作。
四、方法步骤
(一)准备实施阶段(2006年底前)。一是做好宣传动员工作。《信息安全等级保护办法(试行)》已于今年3月1日起实施,各地各部门要积极协同新闻媒体,集中力量、集中时间,充分运用专题、专栏、评论等形式,组织开展征文、讲座等活动,多角度、全方位地开展国家信息安全等级保护制度的宣传,宁波市计算机信息网络安全协会网站(http://www.nb-infosec.org.cn/)开设信息安全等级保护专栏,刊发国家重要法规文件、技术标准和综述性文章;积极组织各地门户网站和各部门政府网站,建立和完善信息安全等级保护制度的宣传网页、专栏;充分发挥协会民间社团作用,组织各部门、各单位的信息系统主管领导和安全员开展信息安全等级保护专业培训,进一步提高对信息安全等级保护工作重要性和紧迫性的认识,掌握等级保护的基本业务知识,积极推动各有关单位做好信息安全等级保护工作的前期准备。二是做好基础调查工作。根据公安部、国务院信息化工作办公室《关于开展信息系统安全等级保护基础调查工作的通知》要求,由公安机关负责、指导全市各重要信息系统运营、使用单位基础数据调查工作,信息化工作领导小组办公室做好基础调查的协调工作。各级公安机关必须充分认识开展基础调查的重要性、必要性和紧迫性,制订工作方案,明确调查对象,落实专人负责,按规定做好调查和上报工作,确保调查工作取得实效。三是实施信息安全等级保护试点工作。公安机关要及时汇总全市重要信息系统基础调查情况,在不同领域、不同地区确定6-8家全市信息安全等级保护试点单位。各信息系统主管部门应根据《信息系统安全等级保护定级指南》(试用稿V3.2)(下载网站:http://www.nb-infosec.org.cn/)对本单位信息系统进行定级。由信息化工作领导小组办公室组织专家审定信息系统的保护等级。定级在三、四级信息系统的运营、使用单位到公安机关进行备案登记工作。公安机关要督促定级在三、四级的信息系统的运营单位委托信息安全等级保护评测机构对技术状况、管理现状、综合分析进行安全评估,并取得评测报告。在测评基础上,各信息系统运营、使用单位根据安全评估报告,制定安全保护整改策略,按照等级保护规定实施整改。各信息系统运营单位对整改后的系统再次委托信息安全等级保护评测机构进行安全等级保护评测,如存在问题继续整改,直至信息系统安全状况达到标准。
(二)重点实行阶段(2007年底前)。一是建立等级保护工作规范。各部门、各信息系统运营使用单位、信息安全等级保护测试评估机构要认真总结2006年全市信息安全等级保护工作的经验和问题,按照国家和省级信息安全等级保护办法的要求,在基础调查、等级评定、备案归档、安全评测、安全建设等方面建立工作规范,特别是公安机关、保密部门、密码管理部门都要建立工作档案,规范工作制度,建立信息安全等级保护的长效机制。二是在全市重要信息系统中实行等级保护制度。根据《信息安全等级保护办法(试行)》要求,对涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统全面实行等级保护制度,按照行业划分,会同重要信息系统的上级主管部门,从定级、备案、评估、整改、检验等环节,建立本行业信息系统等级保护的实施方案,经过一年的建设,使基础信息网络和重要信息系统的核心要害部位得到有效保护,安全状况得到较大改善,扭转目前基本没有保护措施或保护措施不到位的状况。
(三)全面实行阶段(2008年底前)。各单位在重点信息系统实行安全等级保护工作的基础上,在全市范围内全面推行信息安全等级保护制度。由行业主管单位负责对本行业内的信息系统进行全面归类分析,将信息安全等级保护纳入日常工作制度,对已经实施等级保护制度的信息和信息系统的运营、使用单位及其主管部门,要进一步完善信息安全保护措施,对尚未实施等级保护制度的单位,按照等级保护的管理规范和技术标准认真组织落实。2008年底由市信息安全等级保护工作领导小组对此项工作检查验收,表彰奖励先进,通报鞭策后进。
五、工作要求
(一)统一思想,提高认识。近年来,在市委、市政府的高度重视支持和有关部门共同努力下,我市信息安全保障工作取得了很大进展。但是我们要清醒地认识到,全市的信息安全保障工作尚处于起步阶段,信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。为此,各级各部门要把思想统一到维护国家安全和社会稳定上来,要从提高我市信息和信息系统安全建设的整体水平,保障信息安全与信息化建设协调发展,有效控制信息安全建设成本,优化信息安全资源配置,加强信息安全管理的高度,进一步提高对信息安全等级保护工作重要性和紧迫性的认识。
(二)加强领导,落实职责。各地、各单位主要领导是信息安全等级保护工作第一责任人,负责对此项工作的组织协调,并指定专门部门或专门人员从事信息安全等级保护工作。公安机关要充实信息安全等级保护专门工作机构人员,市保密局、密码管理委员会和信息化工作领导小组办公室要指定专人负责这项工作,各单位要根据各自职责制订工作方案。
(三)积极汇报,争取支持。各地各信息安全等级保护主管部门要广泛发动,采取各种形式和渠道,加强与信息系统运营部门沟通、协调,积极争取社会各界的支持。各信息系统运营、使用部门要积极向主管部门、上级领导请示汇报,争取更多的人力、资金支持,切实把信息系统安全等级保护工作落实到实处。
(四)强化措施,确保实效。为切实贯彻实施信息安全等级保护制度,各地各级信息系统安全等级保护主管部门严格按照预定工作方案定人员、定岗位、定职责,保障措施到位、行动到位,真正做到困难再大目标不改,事情再多热情不降,工作再忙精力不减,突出重点,强化措施,提高信息安全保障能力与水平。
(五)加强协调,提高效率。各信息安全等级保护工作领导小组成员单位要分工负责,密切配合,整合信息安全监管力量,根据《信息安全等级保护办法》(试行)规定的职责分工,互通信息,加强监管,建立健全信息安全等级保护工作的协作机制,从政策宣传、基础调查、等级评测、定级建设、验收备案等方面充分发挥组织、指导、监管作用,进一步提高工作效率和水平,确保等级保护工作顺利、有效实施。各级主管部门要从维护国家安全和社会稳定的战略高度,强力推进信息系统等级保护工作,为促进我市信息化发展提供坚实保障。
