佛山市禅城区信息安全等级保护定级工作实施方案
(其他***见页尾)
根据公安部、国家保密局、国家密码管理局、***信息化工作办公室《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》(以下简称《管理办法》)、《佛山市信息安全等级保护工作的实施方案》的要求,为提高我区基础信息网络和重要信息系统的信息安全保护能力和水平,按照国家和广东省统一部署,由佛山市公安局禅城分局、佛山市禅城区保密局、佛山市禅城区信息化工作办公室共同制定我区信息安全等级保护定级工作的(以下简称“定级工作”)实施方案:
一、组织领导和责任分工
(一)成立定级工作协调领导小组及其办公室。
1.定级工作协调领导小组
组 长:姜俊坚 佛山市公安局禅城分局副局长。
副组长:郝国光 佛山市禅城区机要保密局局长。
李 浩 佛山市禅城区信息化工作办公室副主任。
2.定级工作协调领导小组办公室(设在富民路10号7楼佛山市公安局禅城分局网监大队);
主 任:陈浩坚 佛山市公安局禅城分局网监大队大队长。
副主任:廖 原 佛山市公安局禅城分局网监大队副大队长。
刘秀珍 佛山市禅城区机要保密局副局长。
3.定级工作协调领导小组办公室成员:
郑小广 佛山市禅城区信息化工作办公室技术科负责人。
刘 炼 佛山市公安局禅城分局网监大队科员。
4.定级工作协调领导小组办公室联系人及电话:
联系人:刘炼,电话:0757-82306008。
(二)确定定级工作职责分工。
佛山市禅城区信息安全等级保护定级工作协调领导小组负责组织、协调全区信息安全等级保护定级工作的开展和管理。区直各行业主管部门成立行业信息安全等级保护工作领导小组,组织本系统和行业的信息安全等级保护工作。重要信息系统运营使用单位成立信息安全等级保护工作领导小组,负责组织本单位的信息系统安全等级保护工作。
定级工作由区公安局牵头,会同区保密局和信息化工作办公室共同组织实施。区公安局负责定级工作的监督、检查、指导;区保密局负责***系统定级工作的监督、检查、指导;区信息化工作办公室负责定级工作的部门间协调。各信息系统主管部门组织本行业、本部门信息系统运营使用单位开展定级工作,督促其落实定级工作各项任务。各信息系统运营使用单位依据《管理办法》和本方案要求,具体实施定级工作。
二、信息安全保护等级的划分和标准
《管理办法》第六条、第七条规定,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
可见,信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
1.受侵害的客体。等级保护对象受到破坏时所侵害的客体包括以下三个方面:一是公民、法人和其他组织的合法权益;二是社会秩序、公共利益;三是国家安全。
2.对客体的侵害程度。对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度为三种:一是造成一般损害;二是造成严重损害;三是造成特别严重损害。
三、定级范围
(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)区(县)级党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称***信息系统)。
四、定级工作的计划任务
(一)组织部署阶段。(8月20日至9月10日)
1.召集我区重要信息系统运营使用单位、主管部门召开全区信息系统等级保护定级工作会议,部署信息系统安全等级保护等级工作。
2.成立区信息安全等级保护工作协调小组,制订工作方案,重要信息网络主管部门成立信息安全等级保护工作小组。区各主管部门信息安全等级保护工作小组名单、联系方式和工作方案送同级信息安全等级保护工作协调小组办公室。
3.各重要信息网络主管部门组织对重要信息网络开展调查,指导各重要信息网络运营使用单位建立信息安全等级保护工作组。
4.各主管部门8月31日前将本阶段工作情况送同级信息安全等级保护工作协调小组办公室。各区于8月31日前将本阶段工作情况上报市信息安全等级保护工作协调小组办公室。
(二)定级备案阶段。(9月10日至10月20日)
1.10月15日前,各信息系统主管部门和运营使用单位开展信息系统定级工作,并向区协调小组办公室办理备案手续。
2.10月20日前,区公安局会同区保密局、信息化工作办公室对定级工作进行监督、检查和指导,对不符合信息安全等级保护有关规定和标准的,通知备案单位纠正。督促未开展定级和备案工作的重要信息系统运营使用单位和主管部门开展相关工作。
3.定级备案期间,市信息安全等级保护工作协调小组将对我区定级工作进行检查指导。
4.10月13日前,区信息安全等级保护工作协调小组办公室将本阶段工作情况上报给市信息安全等级保护工作协调小组办公室。
(三)总结评估阶段。(10月21日至10月31日)
1.区协调小组办公室总结定级工作的经验和不足,形成总结报告,于10月28日前报送市信息安全等级保护工作协调小组办公室,***系统定级工作总结报告由区保密局向上级保密局报送。
2.市信息安全等级保护工作协调小组办公室对我区定级工作情况进行评估并予以通报。
3.各重要信息系统主管部门组织本行业、本部门信息系统运营使用单位着手按照信息安全等级保护相关标准开展系统整改和测评工作。
五、具体工作措施
(一)开展信息系统基本情况的摸底调查。各行业主管部门、运营使用单位组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构以及系统建设规划等基本情况,按照《管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。各行业主管部门根据行业特点提出指导本行业定级工作的具体意见。
(二)初步确定安全保护等级。各信息系统主管部门和运营使用单位按照《管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。跨区或者全国、全省、全市统一联网运行的信息系统可以由中央、省级和市级主管部门统一确定安全保护等级。没有主管部门的,由运营使用单位自行确定安全保护等级。***信息系统的等级确定按照国家保密局的有关规定和标准执行。
(三)评审与审批。初步确定信息系统安全保护等级后,对拟确定为第四级以上信息系统的,可聘请专家进行评审。由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。
(四)备案要求。定级单位填写《信息系统安全等级保护备案表》并利用辅助备案工具(地址:http://www.mps.gov.cn/->公安工作->信息网络安全管理)生成的备案电子数据,持填写的备案表和生成的备案电子数据,到区信息安全等级保护定级工作协调小组办公室办理备案手续。其中,第二级信息系统的备案单位只需填写备案表中的表一和表二,第三级以上信息系统的备案单位还应当提交备案表***所列各项内容的书面材料。***信息系统建设使用单位依据《管理办法》和国家保密局的有关规定,填写《涉及国家秘密的信息系统分级保护备案表》,向区保密局备案。
(五)备案管理。市协调小组办公室负责受理区协调小组办公室报送的备案资料并进行备案管理。对信息系统的备案情况进行复审,对符合等级保护要求的,颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有关标准的,通知备案单位予以纠正。发现定级不准的,通知运营使用单位或其主管部门重新审核确定。各级保密工作部门将加强对***信息系统定级工作的指导、监督和检查。
六、工作要求
(一)指导思想。
通过开展重要信息系统安全等级保护定级和备案工作,全面掌握我区重要信息系统基本情况和安全保护等级,为开展整改工作打下基础,合理分配投入,明确保护责任,健全工作机制,提高重要信息系统的安全保护水平。
(二)工作目标。
全面掌握我区重要信息网络的基本情况;建立信息安全等级保护职能部门与重要信息网络运营使用单位、行业主管部门的联络机制;在10月底前完成我区各重要信息网络的定级和备案工作。
(三)高度重视,加强领导。各级有关部门、信息网络运营使用单位对信息安全等级保护定级工作要予以高度重视,加强信息安全等级保护工作的组织领导。市将成立专家组,明确技术支持力量,为信息安全等级保护定级工作提供咨询和技术支持。信息系统运营使用单位要落实人员和经费,保障定级工作顺利进行。
(四)加强宣传,深化培训。各级有关部门要加强对信息安全等级保护工作有关规定和标准的宣传,通过警务公开、政务公开网站,向社会公布信息安全等级保护工作相关规定、标准和辅助工具。分工负责,加强对重要信息系统主管部门和运营使用单位的培训,使其熟悉《管理办法》、《信息系统安全等级保护定级指南》和相关表格的填报要求,确保定级备案工作万无一失。
(五)落实安全保护措施。此次定级和备案工作完成后,重要信息系统主管部门和运营使用单位按照《管理办法》和有关技术标准,继续开展信息系统安全等级保护的系统建设或整改、等级测评、自查自纠等后续工作,我区公安、保密、信息部门将对等级保护工作进行监督、检查和指导。
***:1.
2.
***:
注:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.