为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合印发的《信息安全等级保护管理办法》(公通字[2007]43号)和《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)文件精神,按照7月20日召开的“全国重要信息系统安全等级保护定级工作电视电话会议”要求,公安部于7月31日在北京举办了中央和国家机关重要信息系统安全等级保护定级工作培训班。在京的中央和国家机关各部委、国务院各直属机构、办事机构、事业单位(共93家单位)有关同志共计150余人参加了此次培训。
国家网络与信息安全信息通报中心赵林副主任代表公安部公共信息网络安全监察局对定级工作提出了明确要求,强调了开展定级工作的重要性和紧迫性,并对定级工作中的关键问题和重要环节进行了说明。公安部公共信息网络安全监察局信息安全等级保护工作指导处郭启全处长就开展信息安全等级保护工作的政策规范、方法、流程进行了深入、详尽的讲解。公安部信息安全等级保护评估中心同志对等级保护有关技术标准进行了详细介绍。此次培训的主要内容有以下几个方面:
一、强调了开展信息安全等级保护工作的意义
信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法,开展信息安全等级保护工作是促进信息化发展,维护国家信息安全的根本保障。信息安全等级保护是当今发达国家保护关键信息基础设施安全,从而保障信息安全的通行做法,也是我国多年来信息安全工作的经验总结。开展信息安全等级保护工作,就是要解决我国信息安全面临的威胁和存在的主要问题,实行国家对重要信息系统进行重点安全保障的重大措施,有效体现“适度安全、保护重点”的目的,将有限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,加强监督检查,有效提高我国信息和信息系统安全建设的整体水平。
建立信息安全等级保护制度,开展信息安全等级保护工作,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式,切实增强各地区、各行业、各部门落实国家信息安全等级保护制度的责任感、使命感、紧迫感,明确责任分工,密切配合,把信息安全保障工作抓紧、抓实、抓好。
二、明确了重要信息系统安全等级保护定级工作的要求
各单位、各部门按照《关于开展全国重要信息系统安全等级保护定级工作的通知》的要求,重要信息系统安全等级保护定级工作可以一次全面部署,分阶段实施,也可以分阶段部署,分阶段实施。电信、广电、铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、国防、劳动和社会保障、财政、审计、商务、商务、国土资源、能源、交通、建设、文化、卫生、教育、统计、工商行政管理、质检、食品药品监督、安全监管、环保、新闻出版、邮政等行业、部门以及国有骨干企业的基础信息网络和生产、调度、管理等重要信息系统的定级、备案工作须在2007年9月底前完成。上述行业、部门的办公用重要信息系统,其他单位、部门的重要信息系统,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统,市(地)级以上党政机关的重要网站和办公信息系统的定级备案工作可以放在第二阶段开展,2007年10月底前完成。各地区、各部门要结合本地区、本行业开展定级工作的实际,认真总结经验和不足,提出改进和完善定级方法的意见和建议,及时总结定级工作经验,形成定级工作总结报告,并于10月中旬报送公安部。涉密信息系统定级工作总结报告向国家保密局报送。
三、阐述了开展定级工作的主要环节
第一,摸底调查,掌握信息系统底数。各单位、各部门可以组织开展对所属信息系统(包括信息网络)进行摸底调查,摸清信息系统底数;掌握信息系统的业务类型、应用或服务范围、系统结构等基本情况,为下一步明确要求、落实责任奠定基础。
第二,合理确定定级对象。科学、合理地确定定级对象是定级工作的关键。起传输作用的基础网络要作为单独的定级对象。应用系统应按照业务类别不同单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。
第三,确定信息系统安全保护等级。定级是信息安全等级保护工作的首要环节,是开展信息系统安全建设、等级测评、监督检查等工作的重要基础。信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取的安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会秩序和公共利益、人民群众合法权益的危害程度为依据,确定信息系统的安全保护等级,既要防止个别单位片面追求绝对安全而定级过高,也要防止为了逃避监管定级偏低。信息网络的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级,不以在其上运行的信息系统的最高等级或最低等级为标准。
跨省或者全国统一联网运行的信息系统,可以由主管部门统一确定安全保护等级。由各行业统一规划、统一建设、统一安全保护策略的信息系统,应由各部委统一确定一个级别;由各部委统一规划、分级建设、运行的信息系统,应由部、省、地市分别确定系统等级,但各行业应对该类系统提出定级意见,避免出现同类系统定级出现较大偏差问题。
第四,专家评审和主管部门审批。运营使用单位或主管部门在确定系统安全保护等级后,可以聘请专家进行评审。除四级以上由国家信息安全保护等级专家评审委评审外,其余请各地自行组织成立专家组进行评审。当专家意见与运营使用单位意见不一致时,以运营使用单位和主管部门意见为主。主管部门对其主管的运营使用单位定级进行审核把关。主管部门一般是指行业的上级主管部门、监管部门或其派出机构。如果是跨地域联网运营使用的信息系统,则必须由其上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。
第五,备案。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。隶属于中央的不在京的单位,按照备案要求由定级单位向当地省级公安机关(或省级公安机关指定的单位)备案。备案单位到公安部网站(www.mps.gov.cn)下载备案工具,填写备案表,生成备案电子数据,到公安机关办理备案手续。其中,第二级信息系统的备案单位只需填写备案表中的表一、表二和表三。
第六,备案审核。受理备案的公安机关要及时公布备案受理地点、备案联系方式等,对备案材料进行完整性审核和定级准确性审核。对符合等级保护要求的,颁发信息系统安全等级保护备案证明。
报:国家信息安全等级保护工作协调小组组长。
送:外交部、国家发展和改革委员会、教育部、科学技术部、国防科学技术工业委员会、国家
安全部、财政部、人事部、劳动和社会保障部、国土资源部、建设部、铁道部、交通部、信息产业部、商务部、中国人民银行、审计署、国务院国有资产监督委员会、海关总署、国家税务总局、国家工商行政管理总局、国家质量监督检验检疫总局、国家环境保护总局、中国民用航空总局、国家广播电影电视总局、国家新闻出版总署、国家统计局、中国科学院、中国银行业监督管理委员会、中国证券监督管理委员会、中国保险监督管理委员会、国家电力监管委员会、国家邮政总局办公厅,国务院新闻办公室、中央610办公室秘书局,国家保密局、国家密码管理局、国务院信息化工作办公室,北京奥组委技术部。
发:各省、自治区、直辖市公安厅(局)公共信息网络安全监察总队(处)、信息化领导小组办公室,新疆生产建设兵团公安局公共信息网络安全监察处、信息化领导小组办公室。
(共印930份,存档5份)
审批:赵 林 核稿:郭启全 编校:范春玲