发布部门: 舟山市人民政府办公室
发布文号: 舟政办发[2007]80号
各县(区)人民政府,市政府直属各单位:
《舟山市信息安全等级保护工作实施方案》已经市政府同意,现印发给你们,请认真贯彻执行。
二○○七年六月十八日
舟山市信息安全等级保护工作实施方案
为进一步提高我市信息安全的保障能力和防护水平,确保国家基础信息网络和重要信息系统的安全运行,维护国家安全和社会稳定,保障公共利益,促进信息化建设,根据《浙江省信息安全等级保护管理办法》(省政府令第223号)的要求,结合我市实际,制定如下实施方案:
一、指导思想
以“三个代表”重要思想和党的十六大、十六届五中、六中全会精神为指导,深入贯彻执行国家信息化领导小组《关于加强信息安全保障工作的意见》、《浙江省信息安全等级保护管理办法》,全面推进信息安全等级保护工作,维护全市信息网络安全。
二、工作目标
经过两年努力,信息安全规划、建设、评估、运行、维护等各个环节的等级保护制度得到全面落实,逐步建立起信息安全风险评估、信息安全产品认证、信息安全应急协调机制等制度,进一步提高我市信息安全的保障能力和防护水平,切实保护我市基础信息网络和重要信息系统的安全。
三、职责分工
市信息化工作领导小组办公室(以下简称“市信息办”)负责指导、协调全市信息安全等级保护工作,组织制定信息安全等级保护工作规范,组织专家审定信息系统的保护等级,为相关单位提供信息安全等级保护的有关咨询。公安部门依法对运营、使用信息系统的单位的信息安全等级保护工作实施监督管理,督促、指导信息安全等级保护工作,监督、检查信息系统运营、使用单位的安全保护管理制度和技术措施的落实情况,受理信息系统保护等级的备案,依法查处信息系统运营、使用单位和个人的违法行为;根据《舟山市突发公共事件应急预案》规定,组织落实信息安全突发公共事件的应急处置工作。保密部门按照国家有关规定和技术标准,对涉及国家秘密的信息系统的设计实施、审批备案、运行维护和日常保密管理等工作进行监督、检查、指导;督促、指导涉及国家秘密的信息安全等级保护工作,受理涉及国家秘密的信息系统保护等级的备案,依法查处信息泄密、失密事件。密码管理部门加强对涉及密码管理的信息安全等级保护工作的监督、检查和指导,查处信息安全等级保护工作中违反密码管理的行为和事件。财政部门负责信息安全等级保护工作所需的经费保障,并列入年度财政预算。县(区)人民政府按照属地管理的原则,组织开展本地信息安全等级保护工作。各信息系统主管部门按照《浙江省信息安全等级保护管理办法》的要求,加强对本系统、本单位、本行业安全等级保护工作的领导,配合主管部门落实好安全等级保护工作。市信息化工作领导小组其他成员单位和政府相关部门按照国家和《浙江省信息安全等级保护管理办法》的规定,履行监督管理职责,落实信息安全等级保护管理的责任,配合做好相关工作。
四、方法步骤
(一) 准备实施阶段(2007年6月底前)。一是做好宣传动员工作。《浙江省信息安全等级保护管理办法》已于今年1月1日起实施,各地各部门要积极协同新闻媒体,集中力量、集中时间,充分运用专题、专栏、评论等形式,利用广播、电视、报纸、网络等媒体,多角度、全方位地开展国家信息安全等级保护制度的宣传,积极组织市政府门户网站和各子网站,建立和完善信息安全等级保护制度的宣传网页、专栏。组织开展对各部门、各单位的信息系统主管领导和安全员的信息安全等级保护专业培训,进一步提高对信息安全等级保护工作重要性和紧迫性的认识,掌握等级保护的基本业务知识,积极推动各有关单位做好信息安全等级保护工作的前期准备。二是做好基础调查工作。根据公安部、国务院信息化工作办公室《关于开展信息系统安全等级保护基础调查工作的通知》要求,由市公安机关负责指导全市各重要信息系统运营、使用单位开展基础数据调查工作,市信息办做好基础调查的协调工作。各级公安机关要落实专人负责,制订工作方案,明确调查对象,按规定做好调查和上报工作,确保调查工作取得实效。
(二)安全等级保护试点阶段(2007年11月底前)。根据行业、领域的不同,确定市电信、市建行、市财政三家单位为全市信息安全等级保护试点单位。试点单位要根据《信息系统安全等级保护定级指南》对本单位信息系统进行定级,在保护等级申报、审定和备案的具体细则出台的基础上,由市信息办组织专家审定信息系统的保护等级,定级在三、四级信息系统的运营、使用单位要到公安机关进行备案登记。公安机关要督促定级在三、四级信息系统的运营单位委托信息安全等级保护评测机构对技术状况、管理现状、综合分析进行安全评估,并取得评测报告。在测评基础上,三家试点单位根据安全评估报告,制定安全保护整改措施并抓好落实,直至信息系统安全状况达到标准。通过试点工作,总结摸索出一套由组织建设、制度建设、评估、检测、备案、整改等环节组成的完整的流程和模式,为下步工作打下基础。
(三)重点实行阶段(2008年6月底前)。在试点的基础上,在全市重要信息系统单位推行安全等级保护制度。一是建立等级保护组织保障体系。为了保障信息安全等级保护工作的顺利开展,各基础信息网络和重要信息系统所属单位要分别建立等级保护领导小组,确定专门人员,按照国家有关标准和《浙江省信息安全等级保护管理办法》的有关要求,在市信息安全等级保护领导小组办公室的指导下,扎实抓好本单位的信息安全等级保护工作。二是建立等级保护工作规范。各信息系统运营及使用单位、信息安全等级保护测试评估机构要按照国家和省级信息安全等级保护办法的要求,在基础调查、等级评定、备案归档、安全评测、安全建设等方面建立工作规范,特别是信息办、公安机关、保密部门、密码管理部门都要建立工作档案,规范工作制度。各信息系统安全主管单位要充分履行管理职能,建立健全机房管理、人员管理、密码管理、数据备份管理、定期检测等信息安全等级保护规章制度,制定信息安全等级保护管理目标考核责任制。通过各方的共同努力,使我市信息安全等级保护工作纳入法制化、规范化管理轨道。三是在全市重要信息系统中实行等级保护制度。根据《浙江省信息安全等级保护管理办法》的要求,对涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统全面实行等级保护制度,并按行业划分建立行业信息系统等级保护的实施方案,使基础信息网络和重要信息系统的核心要害部位得到有效保护,安全状况得到较大改善。四是建立等级保护工作长效机制。各信息安全监管部门和信息系统运行单位要建立定期检查、会商、检测等长效机制,共同应对和解决信息安全等级保护工作中出现的新情况、新问题,最大限度地控制和化解信息安全风险。
(四)全面实行阶段(2008年底前)。在重点信息系统单位推行安全等级保护工作的基础上,在全市范围内全面推行信息安全等级保护制度。由行业主管单位负责对本行业内的信息系统进行全面归类分析,将信息安全等级保护纳入日常工作制度。对已经实施等级保护制度的信息和信息系统的运营、使用单位及其主管部门,要进一步完善信息安全保护措施。对尚未实施等级保护制度的单位,市信息安全等级保护工作领导小组办公室要督促其按照等级保护的管理规范和技术标准抓紧组织落实。2008年底由市信息安全等级保护工作领导小组对信息安全等级保护制度实施情况进行检查验收。
五、工作要求
(一)统一思想,提高认识。各地各部门要清醒地看到,我市的信息安全保障工作尚处于起步阶段,信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。为此,各地各部门要把思想统一到维护国家安全和社会稳定上来,进一步提高对信息安全等级保护工作重要性和紧迫性的认识。
(二)加强领导,落实职责。为了加强对安全等级保护工作的领导,市政府成立由分管副市长为组长、其它相关职能部门负责人为成员的信息安全等级保护工作领导小组,领导小组下设办公室(办公室设在市公安局)。各县(区)也要成立相应的领导小组,负责对本地信息系统安全等级保护工作的组织领导。各信息系统运营、使用单位主要负责人是信息安全等级保护工作第一责任人,负责对此项工作的组织协调,并指定专门部门或专门人员从事信息安全等级保护工作。公安机关要充实信息安全等级保护专门工作机构人员,保密部门、密码管理部门、信息办要指定专人负责这项工作,各单位要根据各自职责制订工作方案。
(三)强化措施,确保实效。为切实贯彻落实信息安全等级保护制度,各地各信息安全等级保护主管部门要采取各种形式和渠道,加强与信息系统运营部门沟通、协调,积极争取社会各界的支持。要严格按照预定工作方案定人员、定岗位、定职责,做到措施到位、行动到位,提高信息安全保障能力与水平。各信息系统运营、使用单位的主管部门要给予足够的人力、资金支持,切实把信息系统安全等级保护工作落到实处。
(四)加强协调,提高效率。各信息安全等级保护工作领导小组成员单位要根据《浙江省信息安全等级保护管理办法》规定的职责分工,整合力量,密切配合,互通信息,加强监管,建立健全信息安全等级保护工作的协作机制,在政策宣传、基础调查、等级评测、定级建设、验收备案等方面充分发挥组织、指导、监管作用,进一步提高工作效率和水平,确保等级保护工作顺利、有效实施。各级主管部门要从维护国家安全和社会稳定的战略高度,强力推进信息系统等级保护工作,为促进我市信息化发展提供坚实保障。
发布文号: 舟政办发[2007]80号
各县(区)人民政府,市政府直属各单位:
《舟山市信息安全等级保护工作实施方案》已经市政府同意,现印发给你们,请认真贯彻执行。
二○○七年六月十八日
舟山市信息安全等级保护工作实施方案
为进一步提高我市信息安全的保障能力和防护水平,确保国家基础信息网络和重要信息系统的安全运行,维护国家安全和社会稳定,保障公共利益,促进信息化建设,根据《浙江省信息安全等级保护管理办法》(省政府令第223号)的要求,结合我市实际,制定如下实施方案:
一、指导思想
以“三个代表”重要思想和党的十六大、十六届五中、六中全会精神为指导,深入贯彻执行国家信息化领导小组《关于加强信息安全保障工作的意见》、《浙江省信息安全等级保护管理办法》,全面推进信息安全等级保护工作,维护全市信息网络安全。
二、工作目标
经过两年努力,信息安全规划、建设、评估、运行、维护等各个环节的等级保护制度得到全面落实,逐步建立起信息安全风险评估、信息安全产品认证、信息安全应急协调机制等制度,进一步提高我市信息安全的保障能力和防护水平,切实保护我市基础信息网络和重要信息系统的安全。
三、职责分工
市信息化工作领导小组办公室(以下简称“市信息办”)负责指导、协调全市信息安全等级保护工作,组织制定信息安全等级保护工作规范,组织专家审定信息系统的保护等级,为相关单位提供信息安全等级保护的有关咨询。公安部门依法对运营、使用信息系统的单位的信息安全等级保护工作实施监督管理,督促、指导信息安全等级保护工作,监督、检查信息系统运营、使用单位的安全保护管理制度和技术措施的落实情况,受理信息系统保护等级的备案,依法查处信息系统运营、使用单位和个人的违法行为;根据《舟山市突发公共事件应急预案》规定,组织落实信息安全突发公共事件的应急处置工作。保密部门按照国家有关规定和技术标准,对涉及国家秘密的信息系统的设计实施、审批备案、运行维护和日常保密管理等工作进行监督、检查、指导;督促、指导涉及国家秘密的信息安全等级保护工作,受理涉及国家秘密的信息系统保护等级的备案,依法查处信息泄密、失密事件。密码管理部门加强对涉及密码管理的信息安全等级保护工作的监督、检查和指导,查处信息安全等级保护工作中违反密码管理的行为和事件。财政部门负责信息安全等级保护工作所需的经费保障,并列入年度财政预算。县(区)人民政府按照属地管理的原则,组织开展本地信息安全等级保护工作。各信息系统主管部门按照《浙江省信息安全等级保护管理办法》的要求,加强对本系统、本单位、本行业安全等级保护工作的领导,配合主管部门落实好安全等级保护工作。市信息化工作领导小组其他成员单位和政府相关部门按照国家和《浙江省信息安全等级保护管理办法》的规定,履行监督管理职责,落实信息安全等级保护管理的责任,配合做好相关工作。
四、方法步骤
(一) 准备实施阶段(2007年6月底前)。一是做好宣传动员工作。《浙江省信息安全等级保护管理办法》已于今年1月1日起实施,各地各部门要积极协同新闻媒体,集中力量、集中时间,充分运用专题、专栏、评论等形式,利用广播、电视、报纸、网络等媒体,多角度、全方位地开展国家信息安全等级保护制度的宣传,积极组织市政府门户网站和各子网站,建立和完善信息安全等级保护制度的宣传网页、专栏。组织开展对各部门、各单位的信息系统主管领导和安全员的信息安全等级保护专业培训,进一步提高对信息安全等级保护工作重要性和紧迫性的认识,掌握等级保护的基本业务知识,积极推动各有关单位做好信息安全等级保护工作的前期准备。二是做好基础调查工作。根据公安部、国务院信息化工作办公室《关于开展信息系统安全等级保护基础调查工作的通知》要求,由市公安机关负责指导全市各重要信息系统运营、使用单位开展基础数据调查工作,市信息办做好基础调查的协调工作。各级公安机关要落实专人负责,制订工作方案,明确调查对象,按规定做好调查和上报工作,确保调查工作取得实效。
(二)安全等级保护试点阶段(2007年11月底前)。根据行业、领域的不同,确定市电信、市建行、市财政三家单位为全市信息安全等级保护试点单位。试点单位要根据《信息系统安全等级保护定级指南》对本单位信息系统进行定级,在保护等级申报、审定和备案的具体细则出台的基础上,由市信息办组织专家审定信息系统的保护等级,定级在三、四级信息系统的运营、使用单位要到公安机关进行备案登记。公安机关要督促定级在三、四级信息系统的运营单位委托信息安全等级保护评测机构对技术状况、管理现状、综合分析进行安全评估,并取得评测报告。在测评基础上,三家试点单位根据安全评估报告,制定安全保护整改措施并抓好落实,直至信息系统安全状况达到标准。通过试点工作,总结摸索出一套由组织建设、制度建设、评估、检测、备案、整改等环节组成的完整的流程和模式,为下步工作打下基础。
(三)重点实行阶段(2008年6月底前)。在试点的基础上,在全市重要信息系统单位推行安全等级保护制度。一是建立等级保护组织保障体系。为了保障信息安全等级保护工作的顺利开展,各基础信息网络和重要信息系统所属单位要分别建立等级保护领导小组,确定专门人员,按照国家有关标准和《浙江省信息安全等级保护管理办法》的有关要求,在市信息安全等级保护领导小组办公室的指导下,扎实抓好本单位的信息安全等级保护工作。二是建立等级保护工作规范。各信息系统运营及使用单位、信息安全等级保护测试评估机构要按照国家和省级信息安全等级保护办法的要求,在基础调查、等级评定、备案归档、安全评测、安全建设等方面建立工作规范,特别是信息办、公安机关、保密部门、密码管理部门都要建立工作档案,规范工作制度。各信息系统安全主管单位要充分履行管理职能,建立健全机房管理、人员管理、密码管理、数据备份管理、定期检测等信息安全等级保护规章制度,制定信息安全等级保护管理目标考核责任制。通过各方的共同努力,使我市信息安全等级保护工作纳入法制化、规范化管理轨道。三是在全市重要信息系统中实行等级保护制度。根据《浙江省信息安全等级保护管理办法》的要求,对涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统全面实行等级保护制度,并按行业划分建立行业信息系统等级保护的实施方案,使基础信息网络和重要信息系统的核心要害部位得到有效保护,安全状况得到较大改善。四是建立等级保护工作长效机制。各信息安全监管部门和信息系统运行单位要建立定期检查、会商、检测等长效机制,共同应对和解决信息安全等级保护工作中出现的新情况、新问题,最大限度地控制和化解信息安全风险。
(四)全面实行阶段(2008年底前)。在重点信息系统单位推行安全等级保护工作的基础上,在全市范围内全面推行信息安全等级保护制度。由行业主管单位负责对本行业内的信息系统进行全面归类分析,将信息安全等级保护纳入日常工作制度。对已经实施等级保护制度的信息和信息系统的运营、使用单位及其主管部门,要进一步完善信息安全保护措施。对尚未实施等级保护制度的单位,市信息安全等级保护工作领导小组办公室要督促其按照等级保护的管理规范和技术标准抓紧组织落实。2008年底由市信息安全等级保护工作领导小组对信息安全等级保护制度实施情况进行检查验收。
五、工作要求
(一)统一思想,提高认识。各地各部门要清醒地看到,我市的信息安全保障工作尚处于起步阶段,信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。为此,各地各部门要把思想统一到维护国家安全和社会稳定上来,进一步提高对信息安全等级保护工作重要性和紧迫性的认识。
(二)加强领导,落实职责。为了加强对安全等级保护工作的领导,市政府成立由分管副市长为组长、其它相关职能部门负责人为成员的信息安全等级保护工作领导小组,领导小组下设办公室(办公室设在市公安局)。各县(区)也要成立相应的领导小组,负责对本地信息系统安全等级保护工作的组织领导。各信息系统运营、使用单位主要负责人是信息安全等级保护工作第一责任人,负责对此项工作的组织协调,并指定专门部门或专门人员从事信息安全等级保护工作。公安机关要充实信息安全等级保护专门工作机构人员,保密部门、密码管理部门、信息办要指定专人负责这项工作,各单位要根据各自职责制订工作方案。
(三)强化措施,确保实效。为切实贯彻落实信息安全等级保护制度,各地各信息安全等级保护主管部门要采取各种形式和渠道,加强与信息系统运营部门沟通、协调,积极争取社会各界的支持。要严格按照预定工作方案定人员、定岗位、定职责,做到措施到位、行动到位,提高信息安全保障能力与水平。各信息系统运营、使用单位的主管部门要给予足够的人力、资金支持,切实把信息系统安全等级保护工作落到实处。
(四)加强协调,提高效率。各信息安全等级保护工作领导小组成员单位要根据《浙江省信息安全等级保护管理办法》规定的职责分工,整合力量,密切配合,互通信息,加强监管,建立健全信息安全等级保护工作的协作机制,在政策宣传、基础调查、等级评测、定级建设、验收备案等方面充分发挥组织、指导、监管作用,进一步提高工作效率和水平,确保等级保护工作顺利、有效实施。各级主管部门要从维护国家安全和社会稳定的战略高度,强力推进信息系统等级保护工作,为促进我市信息化发展提供坚实保障。
