石景山区各单位:
为进一步贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号)、《信息安全等级保护管理办法》(公通字[2007]43 号)、《关于开展全国重要信息系统等级保护定级工作的通知》(公信安[2007]861号)和北京市《北京市公共服务网络与信息系统安全管理规定》(市政府第163号令)精神,按照《奥运会前北京市网络与信息安全保障工作要点》(京信安协[2007]3号)总体工作要求,全面贯彻落实《市公安局、市信息办、市国家保密局、市国家密码办关于印发北京市开展信息安全等级保护工作的实施方案的通知》(京公网监字[2007]788 号)精神,特制定工作方案如下:
一、 指导思想
深入贯彻党的十六大和十六届六中全会精神,以科学发展观为统领,紧紧围绕构建社会主义和谐社会首善之区,以保障石景山区重点领域重要信息系统的安全为目标,进一步规范信息安全等级保护管理,完善本区信息安全等级保护工作机制,全面提高重要信息系统的安全防护能力和应急水平,最大限度减少信息安全时间及其造成的损失和危害,确保奥运会期间信息和网络安全,促进本区经济建设全面、协调、可持续发展,维护国家安全和社会稳定。
二、 工作任务和目标
为顺利推进等级保护工作,确保奥运期间重点保障的我区重要信息系统安全,计划按照“突出重点,分步实施”工作原则,对遭受破坏后将对奥运会的顺利举行有直接或间接影响的公安、电力、银行、民航、电信、广电、公共服务、证券、税务、保险等基础信息网络和信息系统分几个阶段重点开展等级保护工作,通过系统定级、评估整改、等级测评、备案和监督检查等工作流程,全面落实信息安全等级保护制度,且务必于奥运会召开之前全部完成;对其他领域信息系统,所属部门或单位也要正式启动信息安全等级保护工作,各相关职能部门或单位也要正式启动信息安全等级保护工作,各相关职能部门要按照职责分工,对其工作进行监督、检查和指导。
三、 组织领导
我区信息安全等级保护工作,是在北京市信息安全等级保护工作办公室和石景山区网络与信息安全协调小组的统一领导下,石景山区信息安全等级保护工作办公室统筹规划和组织下,公安分局牵头,区信息化办、区国家保密局、以及相关领域重要信息系统主管部门参与、配合,协作开展工作。
四、 职责分工
(一) 石景山区信息安全等级保护工作办公室
负责监督、指导和协调各相关职能部门和重要信息系统主管部门开展等级保护工作;对上报的等级保护备案信息进行分析、汇总;传达市里下达的相关文件和精神;制定下发我区等级保护相关工作同志和规范要求,上报工作情况和分析报告。
(二) 北京市公安局石景山分局
负责牵头组织石景山区信息安全等级保护办公室日常工作,负责监督、检查和指导除石景山区政务信息系统和涉及国家秘密信息系统意外,我区其他领域信息系统的信息安全等级保护工作;具体受理信息系统运营使用单位的安全保护等级备案,开展监督检查工作;分阶段汇总工作情况,报石景山区信息安全等级保护工作办公室。
(三) 石景山区信息化工作办公室
负责监督、检查和指导区属电子政务信息系统的信息安全等级保护工作的;具体受理石景山区政务信息系统运营使用单位的安全保护等级备案,开展监督检查工作;分阶段汇总等级保护工作实施情况,报石景山区信息安全等级保护工作办公室。
(四) 石景山区国家保密局
负责依据国家有关保密工作管理规定,监督、检查和指导我区涉及国家秘密信息系统安全等级保护工作;具体受理我区涉及国家秘密信息系统运营使用单位的安全保护等级备案,开展监督检查工作;对开展等级保护工作中的泄密事件依法进行查处;分阶段汇总等级保护工作实施情况,报石景山区信息安全等级保护工作办公室。
(五) 各重要信息系统主管部门
按照“谁主管谁负责,谁运营谁负责”原则,依据信息安全等级保护工作相关法律法规和技术标准要求,充分发挥行业主管或上级主管优势,直到所管辖信息系统运营使用单位开展等级保护工作;建立健全信息安全事件分等级应急响应、处置机制,制定信息安全时间应急预案;接受等级保护工作主管部门对本行业、本单位安全等级保护工作的监督管理,积极配合开展各项检查。
五、 工作流程
各基础信息网络和重要信息系统,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。各信息安全等级保护主管部门要依据相关法规和制度,认真受理备案,开展监督检查,确保此项工作按时完成。
(一)系统定级。一是各信息系统主管部门或运营使用单位要认真组织开展对所属信息系统的摸底调查,全面掌握信息系统的基本情况,按照《管理办法》和《信息系统安全等级保护定级指南》(以下简称《定级指南》)要求,自主确定系统等级。对新建信息系统在系统建设的同时,主管部门要同步确定系统的安全保护等级,按照具体等级同步规划建设安全设施。
二是各信息系统主管部门或运营使用单位初步确定定级对象的安全保护等级后,可以聘请专家对定级情况进行评审,并出具评审意见。主管部门或运营使用单位参照评审意见最后确定信息系统安全保护等级,形成定级报告(报告模版详见附件1,各单位可登录北京市信息安全等级保护服务中心网站或北京市信息化工作办公室网站或石景山区信息化工作办公室网站下载 域名:www.bjdjbh.corn;www.beiijingit.gov.cn;sjsnc.bjsjs.gov.cn)。涉密信息系统的等级确定按照国家和市保密局的有关规定和标准执行。
(二)备案。一是信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门填写《信息系统安全等级保护备案表》(详见附件2),持备案表和利用辅助备案工具(备案表和辅助工具可到北京市信息安全等级保护服务中心网站或北京市信息化工作办公室网站或石景山区信息化工作办公室网站下载 域名:www.bjdjbh.corn;www.beijingit.gov.cn;sjsnc.bjsjs.gov.cn)生成的备案电子数据,到等级保护工作主管部门办理备案手续,提交有关备案材料及电子数据文件。其中,区级党政机关到区信息化办备案,汇总后报市信息办。对涉及国家秘密信息系统运营使用单位依据《管理办法》和国家保密局的有关规定,填写《涉及国家秘密的信息系统分级保护备案表》(详见附件3)报区国家保密局。其他领域信息系统运营使用单位到北京市公安局石景山分局关办理备案手续。
二是信息系统备案后,受理备案单位应当对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有关标准要求的,应当通知备案单位予以纠正。发现定级不准的,应当通知运营使用单位或其主管部门重新确定。
(三)评估和整改建设。一是系统定级完成后,运营使用单位应依据《管理办法》和有关技术标准,对本单位的网络与信息系统进行评估和现状检测(可请评估或检测机构协助开展),查找安全漏洞和隐患,编制检测评估情况报告。
二是依据信息安全等级保护管理规范和相关技术标准要求,制定系统整改方案,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作,建设符合等级要求的信息安全设施,制定本单位应急处置预案,建立健全信息安全等级保护管理制度。
(四)等级测评。信息系统整改建设完成后,运营使用单位应当选择符合信息安全保护等级管理规范和相关部门文件要求的测评机构,依据信息系统安全等级保护测评等技术标准对信息系统安全等级状况开展技术测评,并出具测评报告。第三级以上信息系统运营使用单位应当按照《管理办法》要求选择测评机构开展等级测评,出具测评报告。完成后上?各阶段工作中,相关职能部门要加大对信息安全等级保护工作的监督检查力度,通过检查督促其落实等级保护各项安全管理制度和技术保护措施。在检查过程中,??申请测评备案等问题要责令其限期整改,发现各类违法违规情况,要依法严肃处理。各信息系统主管部门和运营使用单位也要按要求开展对本行业、本单位信息系统等级保护工作的自查,在自查工作中,发现存在的不足,及时予以改正。
六、 阶段划分
按照公安部、国家保密局、国家密码管理局和国务院信息化工作办公室联合签发的《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号) ,市公安局、市信息办、市国家保密局、市国家密码办联合签发的《关于印发北京市开展信息安全等级保护工作的实施方案的通知》(京公网监字[2007]788 号)和《奥运会前北京市网络与信息安全保障工作要点》(京信安协[2007]3号)要求,结合当前奥运信息安全保卫的工作重点,我区的信息安全等级保护工作计划按时间分为以下三个阶段:
第一阶段:从现在起至2007年10月12日
完成信息安全等级保护定级、备案工作。重点完成以下行业重要信息系统的定级、备案工作:电信、广电等行业的基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;公安、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统;区党政机关的政务网站和政务信息系统;涉及国家秘密的信息系统(以下简称“涉密信息系统’’)。 各信息系统主管部门和运营使用单位要积极开展系统情况摸底,明确具体工作对象,理顺工作关系,通过等级自评、评审、备案等工作环节,完成所辖系统的等级保护定级、备案工作。
第二阶段:从2007年10月至2007年年底
完成为2008年奥运会提供基础性保障信息系统的安全等级保护工作。重点完成公安、电力、银行、民航、海关、税务、证券、保险、交通、自来水、排水、天然气、燃气等行业和电信、广电等基础信息网络和重要信息系统的安全等级保护工作。
通过系统建设整改,测评、评估等技术手段和措施,从管理和技术两方面全面提升这些领域重要信息系统的安全防护能力和水平,降低系统安全风险,减少众多威胁源的破坏途径,为奥运会的顺利召开奠定信息安全基础。其中,区党政机关在定级的基础上,对所有的政务网站和政务信息系统进行一次安全测评.根据安全测评中发现的问题,制定安全整改方案。
第三阶段:从2007年年底至2008年奥运会召开之前
完成其他领域重要信息系统等级保护工作。重点完成重要网站、网络管理中心和文化、教育、能源、水利、国土资源、人事劳动和社会保障等重要信息系统的安全等级保护工作。区党政机关依据安全整改方案完成所有政务网站、政务信息系统等级保护安全整改工作。
其他信息系统也要按照全市信息安全等级保护工作的整体部署,积极开展本单位的等级保护工作。
在各个阶段,受理备案的各职能部门要依法对备案单位开展监督检查,督促各运营使用单位有效施行信息安全等级保护制度。
七、 工作要求
(一)加强领导,明确职责。此次工作由北京市公安局石景山分局牵头,会同区信息化办、市区国家保密局共同组织开展。各运营使用单位要按照“谁主管谁负责、谁运营谁负责’’的要求,明确主管领导和责任部门,认真落实各项工作要求。各信息系统主管部门要切实加强对等级保护工作的组织、领导,落实等级保护各项工作责任,督促、指导本行业、本系统开展好定级、备案、建设整改、等级测评等工作。信息系统运营、使用单位或主管部门的法定代表人或主要领导为第一责任人,签订信息安全等级保护工作责任书,负责本单位信息安全等级保护工作的组织实施,为开展信息安全等级保护工作提供必要的条件。
(二)加强学习,强化培训。等级保护是我们面临的一项新任务、新工作,技术性强,专业程度高,短期内不易熟练掌握。为此,各单位、各部门要进行深入学习,准确把握等级保护相关政策和法规文件精神,尽快掌握相关技术标准内容和具体要求。公安分局、区信息化办、区国家保密局及各重要信息系统主管部门要认真组织所辖相关部门、单位及人员,大力加强宣传,强化等级保护工作培训,在各系统、各行业中培训出一批能够熟练运用等级保护相关管理规范和技术标准,组织实施具体工作的骨干力量,充实到等级保护工作队伍中,推动此项工作顺利开展。
(三)加强协作,通力配合。公安分局、区信息化办、区国家保密局在区网络与信息安全协调小组的统一领导下,加强协调与配合,逐步建立健全部门间协作会商工作机制。在开展等级保护工作中,信息系统主管部门要充分发挥行业主管或上级主管优势,督促、指导所管辖单位开展工作,公安分局要加强与信息系统主管部门的配合沟通,建立公安机关监督管理与行业主管相结合的管理工作模式。
(四)依托标准,务求实效。在工作中,各单位、各部门要深入学习等级保护相关管理规范和技术标准,准确掌握定级、测评等技术要求,依托标准认真开展等级保护各阶段工作。各测评机构要严格按照等级保护相关技术标准,在石景山区信息安全等级保护工作办公室的指导下,开展测评工作,务求取得实效,确保信息系统安全保障能力得到全面提高。
(五)加大资金投入,确保等级保护工作取得实效。各信息系统运营使用单位或主管部门要充分认识开展此项工作的重要性和必要性,积极协调财政部门,把等级保护工作列入本单位明年的财政预算,加大资金投入,明确专人负责,保障此项工作评估和测评等阶段相关费用的投入。系统安全设施建设完成后,要保障系统的日常运行维护费用,确保此项工作取得实效。
北京市公安局石景山分局
北京市石景山区信息化工作办公室
北京市石景山区国家保密局
二〇〇七年九月二十九日