爲進一步貫徹落實《國家信息化領導小組關於加強信息安全保障工作的意見》和《關於信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》(以下簡稱《管理辦法》)精神,指導各部門在信息安全等級保護定級工作基礎上,開展已定級信息系統(不包括涉及國家祕密信息系統)安全建設整改工作,特提出如下意見:
一、明確工作目標
依據信息安全等級保護有關政策和標準,通過組織開展信息安全等級保護安全管理制度建設、技術措施建設和等級測評,落實等級保護制度的各項要求,使信息系統安全管理水平明顯提高,安全防範能力明顯增強,安全隱患和安全事故明顯減少,有效保障信息化健康發展,維護國家安全、社會秩序和公共利益,力爭在2012年底前完成已定級信息系統安全建設整改工作。
二、細化工作內容
(一)開展信息安全等級保護安全管理制度建設,提高信息系統安全管理水平。按照《管理辦法》、《信息系統安全等級保護基本要求》,參照《信息系統安全管理要求》、《信息系統安全工程管理要求》等標準規範要求,建立健全並落實符合相應等級要求的安全管理制度:一是信息安全責任制,明確信息安全工作的主管領導、責任部門、人員及有關崗位的信息安全責任;二是人員安全管理制度,明確人員錄用、離崗、考覈、教育培訓等管理內容;三是系統建設管理制度,明確系統定級備案、方案設計、產品採購使用、密碼使用、軟件開發、工程實施、驗收交付、等級測評、安全服務等管理內容;四是系統運維管理制度,明確機房環境安全、存儲介質安全、設備設施安全、安全監控、網絡安全、系統安全、惡意代碼防範、密碼保護、備份與恢復、事件處置、應急預案等管理內容。建立並落實監督檢查機制,定期對各項制度的落實情況進行自查和監督檢查。
(二)開展信息安全等級保護安全技術措施建設,提高信息系統安全保護能力。按照《管理辦法》、《信息系統安全等級保護基本要求》,參照《信息系統安全等級保護實施指南》、《信息系統通用安全技術要求》、《信息系統安全工程管理要求》、《信息系統等級保護安全設計技術要求》等標準規範要求,結合行業特點和安全需求,制定符合相應等級要求的信息系統安全技術建設整改方案,開展信息安全等級保護安全技術措施建設,落實相應的物理安全、網絡安全、主機安全、應用安全和數據安全等安全保護技術措施,建立並完善信息系統綜合防護體系,提高信息系統的安全防護能力和水平。
(三)開展信息系統安全等級測評,使信息系統安全保護狀況逐步達到等級保護要求。選擇由省級(含)以上信息安全等級保護工作協調小組辦公室審覈並備案的測評機構,對第三級(含)以上信息系統開展等級測評工作。等級測評機構依據《信息系統安全等級保護測評要求》等標準對信息系統進行測評,對照相應等級安全保護要求進行差距分析,排查系統安全漏洞和隱患並分析其風險,提出改進建議,按照公安部制訂的信息系統安全等級測評報告格式編制等級測評報告。經測評未達到安全保護要求的,要根據測評報告中的改進建議,制定整改方案並進一步進行整改。各部門要及時向受理備案的公安機關提交等級測評報告。對於重要部門的第二級信息系統,可以參照上述要求開展等級測評工作。
三、落實工作要求
(一)統一組織,加強領導。要按照“誰主管、誰負責”的原則,切實加強對信息安全等級保護安全建設整改工作的組織領導,完善工作機制。要結合各自實際,統一規劃和部署安全建設整改工作,制定安全建設整改工作實施方案。要落實責任部門、責任人員和安全建設整改經費。要利用多種形式,組織開展宣傳、培訓工作。
(二)循序漸進,分步實施。信息系統主管部門可以結合本行業、本部門信息系統數量、等級、規模等實際情況,按照自上而下或先重點後一般的順序開展。重點行業、部門可以根據需要和實際情況,選擇有代表性的第二、三、四級信息系統先進行安全建設整改和等級測評工作試點、示範,在總結經驗的基礎上全面推開。
(三)結合實際,制定規範。重點行業信息系統主管部門可以按照《信息系統安全等級保護基本要求》等國家標準,結合行業特點,確定《信息系統安全等級保護基本要求》的具體指標;在不低於等級保護基本要求的情況下,結合系統安全保護的特殊需求,在有關部門指導下制定行業標準規範或細則,指導本行業信息系統安全建設整改工作。
(四)認真總結,按時報送。自2009年起,要對定級備案、等級測評、安全建設整改和自查等工作開展情況進行年度總結,於每年年底前報同級公安機關網安部門,各省(自治區、直轄市)公安機關網安部門報公安部網絡安全保衛局。信息系統備案單位每半年要填寫《信息安全等級保護安全建設整改工作情況統計表》並報受理備案的公安機關。