6、信息安全等級(jí)保護(hù)的工作進(jìn)展、下一步等級(jí)保護(hù)工作部署

1、信息安全等級(jí)保護(hù)的工作進(jìn)展一、2006 年 1月制定出臺(tái)了信息安全等級(jí)保護(hù)管理辦法（試行） 。二、2006年5月 18日組織召開了國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組第一次會(huì) 議。三、制定了等級(jí)保護(hù)系列技術(shù)標(biāo)準(zhǔn)。四、開展了等級(jí)保護(hù)基礎(chǔ)調(diào)查工作。五、部署開展信息安全等級(jí)保護(hù)試點(diǎn)工作。六、出臺(tái)新的信息安全等級(jí)保護(hù)管理辦法 。七、籌備召開全國(guó)信息系統(tǒng)定級(jí)工作。 （基本完成）八、安全建設(shè)整改、等級(jí)測(cè)評(píng)和檢查。 （正在進(jìn)行）下一步等級(jí)保護(hù)工作部署一、總體思路 充分借鑒北京奧運(yùn)會(huì)信息網(wǎng)絡(luò)安全工作成功經(jīng)驗(yàn)， 健全完善等級(jí)保護(hù)工作機(jī) 制，明確重點(diǎn)工作對(duì)象，明確工作分工和任務(wù)要求，嚴(yán)格落實(shí)安全責(zé)任制，認(rèn)真 抓好安全

2、建設(shè)整改、等級(jí)測(cè)評(píng)和檢查等三項(xiàng)重點(diǎn)工作。二、工作目標(biāo) 各地區(qū)、各部門要依據(jù)等級(jí)保護(hù)有關(guān)政策和標(biāo)準(zhǔn)，通過開展等級(jí)測(cè)評(píng)，明確 等級(jí)保護(hù)安全建設(shè)整改需求， 有針對(duì)性地開展安全等級(jí)保護(hù)管理制度建設(shè)和技術(shù) 措施建設(shè)， 并通過監(jiān)督檢查， 落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求， 使重要信息系統(tǒng)安 全管理水平明顯提高，安全防范能力明顯增強(qiáng)，安全隱患和安全事故明顯減少， 有效保障信息化健康發(fā)展，維護(hù)國(guó)家安全、社會(huì)秩序和公共利益。 2010 年底前 完成涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)建設(shè)任務(wù)， 2011 年底前完成第三級(jí)以上 （含）信息系統(tǒng)安全建設(shè)任務(wù)。三、工作內(nèi)容（一）開展信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)，明確安全建設(shè)整改需求。

3、 開展信息安全等級(jí)測(cè)評(píng)工作是掌握信息系統(tǒng)安全狀況、 排查系統(tǒng)安全隱患和 薄弱環(huán)節(jié)、明確安全建設(shè)需求的有效措施。備案單位選擇符合管理辦法和有關(guān)標(biāo)準(zhǔn)規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)開展等級(jí)測(cè)測(cè)評(píng)機(jī)構(gòu)依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求等進(jìn)行測(cè)評(píng)測(cè)評(píng)機(jī)構(gòu)按照公安部制訂的信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版編制測(cè)評(píng)報(bào)告?zhèn)浒竼挝桓鶕?jù)測(cè)評(píng)報(bào)告中的改進(jìn)建議，研究確定系統(tǒng)安全建設(shè)整改的目標(biāo)、 內(nèi)容和要求系統(tǒng)安全建設(shè)整改工作完成后，應(yīng)再次進(jìn)行等級(jí)測(cè)評(píng)第三級(jí)以上信息系統(tǒng)每年至少一次等級(jí)測(cè)評(píng)備案單位應(yīng)及時(shí)向受理備案的公安機(jī)關(guān)提交測(cè)評(píng)報(bào)告（二）開展信息系統(tǒng)安全等級(jí)保護(hù)管理制度建設(shè)參照信息系統(tǒng)安全等級(jí)保護(hù)基本要求、信息系統(tǒng)安全管理要求、信息 系

4、統(tǒng)安全工程管理要求等標(biāo)準(zhǔn)，建立健全符合相應(yīng)等級(jí)要求的安全管理制度。 定期檢查制度落實(shí)情況并不斷完善。信息安全責(zé)任制。要明確信息安全工作的主管領(lǐng)導(dǎo)、責(zé)任部門、人員及有關(guān) 崗位的信息安全責(zé)任；（三）開展信息系統(tǒng)安全等級(jí)保護(hù)技術(shù)措施建設(shè)。參照信息系統(tǒng)安全等級(jí)保護(hù)基本要求、信息系統(tǒng)通用安全技術(shù)要求等 有關(guān)標(biāo)準(zhǔn)，結(jié)合行業(yè)特點(diǎn)和安全需求，制定符合相應(yīng)等級(jí)要求的信息系統(tǒng)安全技 術(shù)建設(shè)方案。按照建設(shè)方案，參照信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南、信息系統(tǒng)安全工 程管理要求等有關(guān)標(biāo)準(zhǔn)和信息安全產(chǎn)品分等級(jí)使用要求，組織實(shí)施信息系統(tǒng)安 全建設(shè)工程，建立健全相應(yīng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù) 安全等安全保護(hù)技

5、術(shù)措施。既可以針對(duì)等級(jí)測(cè)評(píng)發(fā)現(xiàn)的問題進(jìn)行整改，也可以重新全面規(guī)劃安全建設(shè)。建立并完善系統(tǒng)安全保障體系，提高系統(tǒng)的整體安全防護(hù)能力在系統(tǒng)安全保護(hù)技術(shù)設(shè)計(jì)中，可以結(jié)合實(shí)際，參照信息系統(tǒng)等級(jí)保護(hù)安全 設(shè)計(jì)技術(shù)要求進(jìn)行（四）開展等級(jí)測(cè)評(píng)機(jī)構(gòu)建設(shè)和管理關(guān)于開展信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)試點(diǎn)工作的通知 （公信安2009812 號(hào)）信息安全等級(jí)保護(hù)等級(jí)測(cè)評(píng)實(shí)施細(xì)則 推動(dòng)測(cè)評(píng)機(jī)構(gòu)建設(shè)模式，探索測(cè)評(píng)機(jī)構(gòu)能力建設(shè)和確認(rèn)的內(nèi)容和方法 探索測(cè)評(píng)人員條件、能力以及資格等內(nèi)容和要求。根據(jù)信息安全等級(jí)測(cè)評(píng)的實(shí)際需要， 有計(jì)劃地開展信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)建 設(shè)。等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)符合信息安全等級(jí)保護(hù)管理辦法的有關(guān)條件，并向當(dāng)

6、地等級(jí)保護(hù)工作協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室備案，供備案單位選擇。等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)遵守國(guó)家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供安全、客觀、公 正的檢測(cè)評(píng)估服務(wù)；保守秘密，防范測(cè)評(píng)風(fēng)險(xiǎn)；對(duì)測(cè)評(píng)人員進(jìn)行教育，并負(fù)責(zé)檢 查落實(shí)。各級(jí)等級(jí)保護(hù)工作協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室 對(duì)備案的測(cè)評(píng)機(jī)構(gòu)實(shí)施管理。 加強(qiáng)對(duì)測(cè)評(píng)過程的管理，審核、審查 。加強(qiáng)對(duì)測(cè)評(píng)機(jī)構(gòu)的管理（條件、能力、培訓(xùn)、測(cè)評(píng)活動(dòng)的規(guī)范） 。（五）開展信息安全等級(jí)保護(hù)工作的監(jiān)督管理 。各地區(qū)、各部門和各有關(guān)單位要定期對(duì)本地區(qū)、本部門、本單位等級(jí)保護(hù)安 全責(zé)任制、安全管理制度及技術(shù)保護(hù)措施等信息安全等級(jí)保護(hù)制度的落實(shí)情況進(jìn) 行督促，定期開展自查和抽查。公安機(jī)關(guān) 應(yīng)當(dāng)按照

7、管理辦法和公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī) 范（公信安2008736號(hào)）的有關(guān)要求， 會(huì)同主管部門定期對(duì)第三、四級(jí)信息系 統(tǒng)備案單位信息安全等級(jí)保護(hù)工作情況進(jìn)行檢查，及時(shí)發(fā)現(xiàn)問題并督促整改。四、工作步驟1、部署階段 ：要利用多種形式，積極開展宣貫培訓(xùn)。結(jié)合本部門、本行業(yè)特 點(diǎn)和實(shí)際情況認(rèn)真研究貫徹落實(shí)意見， 明確具體工作目標(biāo)、 內(nèi)容和計(jì)劃安 排，制定具體落實(shí)工作方案。2、等級(jí)測(cè)評(píng)階段 ：要組織信息系統(tǒng)運(yùn)營(yíng)使用單位， 通過等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估 等方法，對(duì)照相關(guān)標(biāo)準(zhǔn)進(jìn)行差距評(píng)估， 查找信息系統(tǒng)安全隱患和問題， 明 確信息系統(tǒng)安全建設(shè)整改需求， 制定信息系統(tǒng)安全建設(shè)整改方案 ，經(jīng)專家 評(píng)審、主管部門

8、審批后報(bào)公安機(jī)關(guān)備案。3、建設(shè)整改階段 ：各地區(qū)、各部門全面開展重要信息系統(tǒng)安全建設(shè)整改工作。 建設(shè)整改完成后要開展等級(jí)測(cè)評(píng)，針對(duì)測(cè)評(píng)發(fā)現(xiàn)的問題進(jìn)一步開展整改， 直至符合等級(jí)保護(hù)制度要求。 重要行業(yè)、 重要部門可以根據(jù)實(shí)際情況， 選 擇有代表性的信息系統(tǒng)進(jìn)行安全建設(shè)整改試點(diǎn)、示范，及時(shí)總結(jié)并推廣 先進(jìn)經(jīng)驗(yàn)。重點(diǎn)行業(yè)可以根據(jù)國(guó)家標(biāo)準(zhǔn)，在有關(guān)部門指導(dǎo)下，結(jié)合行業(yè) 特點(diǎn)制定行業(yè)規(guī)范。4、總結(jié)階段：各地區(qū)、各部門要結(jié)合開展重要信息系統(tǒng)安全建設(shè)工作的實(shí)際， 認(rèn)真總結(jié)經(jīng)驗(yàn)，查找不足，提出改進(jìn)和完善安全建設(shè)工作的意見和建議， 報(bào)國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室五、工作要求1、加強(qiáng)領(lǐng)導(dǎo)，落實(shí)責(zé)任。各地區(qū)

9、、各部門要高度重視重要信息系統(tǒng)等級(jí)保 護(hù)安全建設(shè)工作，按照“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)”的原則，切實(shí)加強(qiáng)對(duì)重 要信息系統(tǒng)安全建設(shè)工作的組織領(lǐng)導(dǎo)， 完善工作機(jī)制， 明確安全責(zé)任， 落實(shí)等級(jí) 保護(hù)工作的行業(yè)主管責(zé)任。 信息系統(tǒng)運(yùn)營(yíng)使用單位要落實(shí)責(zé)任部門、 責(zé)任人員和 安全建設(shè)經(jīng)費(fèi)，保障安全建設(shè)工作順利進(jìn)行。2、明確職責(zé)，密切配合。各級(jí)公安機(jī)關(guān)、保密工作部門、國(guó)家密碼管理部 門要加強(qiáng)對(duì)各單位、各部門安全建設(shè)工作落實(shí)情況的監(jiān)督、檢查、指導(dǎo)，各級(jí)工 業(yè)和信息化部門要按照 管理辦法 的要求加強(qiáng)對(duì)等級(jí)保護(hù)工作的協(xié)調(diào)。 各信息 系統(tǒng)主管部門組織本行業(yè)、 本部門信息系統(tǒng)運(yùn)營(yíng)使用單位開展安全建設(shè)工作， 督 促、指導(dǎo)其落實(shí)各項(xiàng)工作任務(wù)。各信息系統(tǒng)運(yùn)營(yíng)使用單位依據(jù)管理辦法和本 通知要求，具體實(shí)施安全建設(shè)工作。3