關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知
各省�����、自治區(qū)�、直轄市公安廳(局)、保密局�、國家密碼管理局(國家密碼管理委員會辦公室)����、信息化領(lǐng)導(dǎo)小組辦公室�����,新疆生產(chǎn)建設(shè)兵團(tuán)公安局��、保密局���、國家密碼管理局����、信息化領(lǐng)導(dǎo)小組辦公室����,中央和國家機(jī)關(guān)各部委保密委員會辦公室、密碼工作領(lǐng)導(dǎo)小組辦公室�、信息化領(lǐng)導(dǎo)小組辦公室,各人民團(tuán)體保密委員會辦公室:
為進(jìn)一步貫徹落實(shí)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》和公安部����、國家保密局、國家密碼管理局�、國務(wù)院信息化工作辦公室《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》��、《信息安全等級保護(hù)管理辦法》(以下簡稱《管理辦法》)精神�����,提高我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全保護(hù)能力和水平��,根據(jù)國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組2007年的工作部署���,公安部、國家保密局����、國家密碼管理局、國務(wù)院信息化工作辦公室定于2007年7月至10月在全國范圍內(nèi)組織開展重要信息系統(tǒng)安全等級保護(hù)定級工作(以下簡稱“定級工作”)?��,F(xiàn)就有關(guān)事項(xiàng)通知如下:
一、定級范圍
(一)電信���、廣電行業(yè)的公用通信網(wǎng)��、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)�����,經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位����、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)�。
(二)鐵路、銀行��、海關(guān)�����、稅務(wù)��、民航��、電力�����、證券�����、保險(xiǎn)、外交�、科技、發(fā)展改革��、國防科技�、公安、人事勞動和社會保障�����、財(cái)政����、審計(jì)、商務(wù)�、水利、國土資源����、能源、交通��、文化�����、教育�����、統(tǒng)計(jì)���、工商行政管理��、郵政等行業(yè)�����、部門的生產(chǎn)�����、調(diào)度�����、管理��、辦公等重要信息系統(tǒng)�����。
(三)市(地)級以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)����。
(四)涉及國家秘密的信息系統(tǒng)(以下簡稱“涉密信息系統(tǒng)”)。
二���、定級工作的主要內(nèi)容
(一)開展信息系統(tǒng)基本情況的摸底調(diào)查��。各行業(yè)主管部門�����、運(yùn)營使用單位要組織開展對所屬信息系統(tǒng)的摸底調(diào)查����,全面掌握信息系統(tǒng)的數(shù)量�、分布、業(yè)務(wù)類型���、應(yīng)用或服務(wù)范圍�、系統(tǒng)結(jié)構(gòu)等基本情況����,按照《管理辦法》和《信息系統(tǒng)安全等級保護(hù)定級指南》的要求�����,確定定級對象。各行業(yè)主管部門要根據(jù)行業(yè)特點(diǎn)提出指導(dǎo)本地區(qū)�、本行業(yè)定級工作的具體意見。
(二)初步確定安全保護(hù)等級����。各信息系統(tǒng)主管部門和運(yùn)營使用單位要按照《管理辦法》和《信息系統(tǒng)安全等級保護(hù)定級指南》,初步確定定級對象的安全保護(hù)等級��,起草定級報(bào)告���?�?缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級�。涉密信息系統(tǒng)的等級確定按照國家保密局的有關(guān)規(guī)定和標(biāo)準(zhǔn)執(zhí)行��。
(三)評審與審批����。初步確定信息系統(tǒng)安全保護(hù)等級后,可以聘請專家進(jìn)行評審�����。對擬確定為第四級以上信息系統(tǒng)的,由運(yùn)營使用單位或主管部門請國家信息安全保護(hù)等級專家評審委員會評審�����。運(yùn)營使用單位或主管部門參照評審意見最后確定信息系統(tǒng)安全保護(hù)等級�,形成定級報(bào)告。當(dāng)專家評審意見與信息系統(tǒng)運(yùn)營使用單位或其主管部門意見不一致時(shí)����,由運(yùn)營使用單位或主管部門自主決定信息系統(tǒng)安全保護(hù)等級。信息系統(tǒng)運(yùn)營使用單位有上級行業(yè)主管部門的���,所確定的信息系統(tǒng)安全保護(hù)等級應(yīng)當(dāng)報(bào)經(jīng)上級行業(yè)主管部門審批同意�。
(四)備案�����。根據(jù)《管理辦法》����,信息系統(tǒng)安全保護(hù)等級為第二級以上的信息系統(tǒng)運(yùn)營使用單位或主管部門到公安部網(wǎng)站下載《信息系統(tǒng)安全等級保護(hù)備案表》和輔助備案工具,持填寫的備案表和利用輔助備案工具生成的備案電子數(shù)據(jù)�����,到公安機(jī)關(guān)辦理備案手續(xù),提交有關(guān)備案材料及電子數(shù)據(jù)文件�。其中,第二級信息系統(tǒng)的備案單位只需填寫備案表中的表一�����、表二和表三����,第三級以上信息系統(tǒng)的備案單位還應(yīng)當(dāng)同時(shí)提交備案表表四所列各項(xiàng)內(nèi)容的書面材料���。隸屬于中央的在京單位����,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級的信息系統(tǒng)�,由主管部門向公安部辦理備案手續(xù)?���?缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)����,向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機(jī)關(guān)備案�。
涉密信息系統(tǒng)建設(shè)使用單位依據(jù)《管理辦法》和國家保密局的有關(guān)規(guī)定���,填寫《涉及國家秘密的信息系統(tǒng)分級保護(hù)備案表》�,按照屬地化管理原則����,中央和國家機(jī)關(guān)單位的涉密信息系統(tǒng)向國家保密局備案;地方單位的涉密信息系統(tǒng)向所在地的市(地)級以上保密工作部門備案�����;中央和國家機(jī)關(guān)地方所屬單位的涉密信息系統(tǒng)���,向所在地的省級保密工作部門備案�。
(五)備案管理�����。公安機(jī)關(guān)和國家保密工作部門負(fù)責(zé)受理備案并進(jìn)行備案管理��。信息系統(tǒng)備案后�����,公安機(jī)關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案情況進(jìn)行審核,對符合等級保護(hù)要求的����,頒發(fā)信息系統(tǒng)安全保護(hù)等級備案證明。發(fā)現(xiàn)不符合《管理辦法》及有關(guān)標(biāo)準(zhǔn)的��,應(yīng)當(dāng)通知備案單位予以糾正��。發(fā)現(xiàn)定級不準(zhǔn)的���,應(yīng)當(dāng)通知運(yùn)營使用單位或其主管部門重新審核確定。各級保密工作部門加強(qiáng)對涉密信息系統(tǒng)定級工作的指導(dǎo)�����、監(jiān)督和檢查����。
三、定級工作的要求
(一)加強(qiáng)領(lǐng)導(dǎo)��,落實(shí)保障��。各地區(qū)、各部門要加強(qiáng)對本地區(qū)�、本行業(yè)信息安全等級保護(hù)工作的組織領(lǐng)導(dǎo),及時(shí)掌握工作進(jìn)展情況�,并可組織成立專家組,明確技術(shù)支持力量���。信息系統(tǒng)運(yùn)營使用單位要成立等級保護(hù)工作組�����,落實(shí)責(zé)任部門��、責(zé)任人員和經(jīng)費(fèi)�,保障定級工作順利進(jìn)行��。
(二)明確責(zé)任���,密切配合���。定級工作由各級公安機(jī)關(guān)牽頭,會同國家保密工作部門����、國家密碼管理部門和信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)共同組織實(shí)施�。公安機(jī)關(guān)負(fù)責(zé)定級工作的監(jiān)督����、檢查、指導(dǎo)��;國家保密工作部門負(fù)責(zé)涉密系統(tǒng)定級工作的監(jiān)督�、檢查、指導(dǎo)���;國家密碼管理部門負(fù)責(zé)定級工作中有關(guān)密碼工作的監(jiān)督����、檢查�、指導(dǎo)�;信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)定級工作的部門間協(xié)調(diào)。各信息系統(tǒng)主管部門組織本行業(yè)��、本部門信息系統(tǒng)運(yùn)營使用單位開展定級工作��,督促其落實(shí)定級工作各項(xiàng)任務(wù)��。各信息系統(tǒng)運(yùn)營使用單位依據(jù)《管理辦法》和本通知要求,具體實(shí)施定級工作����。
(三)動員部署,開展培訓(xùn)����。各地區(qū)、各部門要按照統(tǒng)一部署廣泛進(jìn)行宣傳動員��,舉辦形式多樣的培訓(xùn)班��、研討班等��,層層培訓(xùn)���。公安部會同國家保密局����、國家密碼管理局�����、國務(wù)院信息化工作辦公室對國家有關(guān)部委���、各省級公安����、保密、密碼和信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)就《管理辦法》和《信息系統(tǒng)安全等級保護(hù)定級指南》等內(nèi)容進(jìn)行培訓(xùn)��。信息系統(tǒng)主管部門對所管轄的信息系統(tǒng)運(yùn)營使用單位進(jìn)行培訓(xùn)�����。各地參照上述培訓(xùn)模式開展培訓(xùn)工作���。
(四)及時(shí)總結(jié)�,提出建議���。各地區(qū)���、各部門要結(jié)合本地區(qū)�����、本行業(yè)開展定級工作的實(shí)際�����,認(rèn)真總結(jié)經(jīng)驗(yàn)和不足,提出改進(jìn)和完善定級方法的意見和建議��。各地區(qū)����、各部門負(fù)責(zé)等級保護(hù)的領(lǐng)導(dǎo)機(jī)構(gòu)要及時(shí)總結(jié)定級工作經(jīng)驗(yàn),形成定級工作總結(jié)報(bào)告���,并及時(shí)報(bào)送公安部����。涉密信息系統(tǒng)定級工作總結(jié)報(bào)告向國家保密局報(bào)送����。
此次定級工作完成后,請各主管部門��、運(yùn)營使用單位按照《管理辦法》和有關(guān)技術(shù)標(biāo)準(zhǔn)�����,繼續(xù)開展信息系統(tǒng)安全等級保護(hù)的系統(tǒng)建設(shè)或整改���、等級測評�、自查自糾等后續(xù)工作,各級公安����、保密、密碼管理部門要開展等級保護(hù)工作的監(jiān)督��、檢查和指導(dǎo)�����。