關(guān)于進一步推進中央企業(yè)信息安全等級保護工作的通知
關(guān)于進一步推進中央企業(yè)信息安全等級保護工作的通知
公安部 國務(wù)院國有資產(chǎn)監(jiān)督管理委員會
關(guān)于進一步推進中央企業(yè)信息安全等級保護工作的通知
關(guān)于進一步推進中央企業(yè)信息安全等級保護工作的通知
各省、自治區(qū)、直轄市公安廳(局),新疆生產(chǎn)建設(shè)兵團公安局,中央企業(yè):
保護中央企業(yè)信息系統(tǒng)的安全穩(wěn)定運行對于促進企業(yè)健康發(fā)展,維護國家經(jīng)濟安全和社會穩(wěn)定具有重要意義。為全面落實國家信息安全等級保護制度,加強中央企業(yè)的信息安全工作,保障和促進中央企業(yè)的信息化發(fā)展,現(xiàn)就進一步推進中央企業(yè)信息安全等級保護工作的有關(guān)要求通知如下:
一、高度重視,切實將信息安全等級保護工作納入企業(yè)信息化工作同步推進
近年來,中央企業(yè)全面推進信息化建設(shè),企業(yè)信息系統(tǒng)數(shù)量大幅增加,系統(tǒng)復雜程度大幅提高,業(yè)務(wù)依賴程度大幅增強,特別是企業(yè)的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)已經(jīng)成為支撐企業(yè)業(yè)務(wù)發(fā)展,提高企業(yè)核心競爭力的重要載體和主要手段,已成為國家關(guān)鍵基礎(chǔ)設(shè)施。各級公安機關(guān)、國資監(jiān)管及有關(guān)行業(yè)主管(監(jiān)管)部門要高度重視中央企業(yè)的信息安全等級保護工作,特別是各企業(yè)要將這項工作擺在重要位置,認真貫徹落實國家信息安全等級保護制度,將信息安全等級保護工作納入企業(yè)信息化工作的整體布局中,將信息安全等級保護工作與信息化工作同步規(guī)劃、同步實施、同步考核。
二、明確職責,建立分工負責、協(xié)作配合的工作機制
國資委負責部署中央企業(yè)信息安全等級保護工作,其中電力、軍工、民航企業(yè)和電信運營商的信息安全等級保護工作由相關(guān)主管(監(jiān)管)部門組織部署和落實。國資委和有關(guān)行業(yè)主管(監(jiān)管)部門按照國家信息安全等級保護制度的總體要求和相關(guān)管理文件,組織中央企業(yè)開展信息安全等級保護各項工作,制定具體實施方案或細則,開展宣傳、培訓和先進經(jīng)驗推廣工作,加強對中央企業(yè)信息安全等級保護工作的檢查監(jiān)督、指導和考核。中央企業(yè)要按照國家信息安全等級保護制度要求和有關(guān)部門的工作部署,切實加強對信息安全等級保護工作的組織領(lǐng)導,建立健全工作機制,及時開展信息系統(tǒng)定級備案、安全建設(shè)整改、等級測評和自查等各項工作,并利用等級保護綜合管理系統(tǒng)使信息安全等級保護工作常態(tài)化。公安機關(guān)要加強對中央企業(yè)信息安全等級保護工作的監(jiān)督、檢查、指導,為中央企業(yè)開展信息安全等級保護工作提供服務(wù)和支持。
建立由公安部牽頭、國資委和有關(guān)行業(yè)主管(監(jiān)管)部門共同參加的中央企業(yè)信息安全等級保護工作協(xié)調(diào)配合機制,按照各自職責分工,加強協(xié)調(diào),密切配合,定期溝通和通報工作進展,及時交流備案數(shù)據(jù)、整改測評情況和檢查結(jié)果等,共同組織推動中央企業(yè)信息安全等級保護工作的順利開展。
三、全面梳理企業(yè)信息網(wǎng)絡(luò)和系統(tǒng),認真做好企業(yè)信息系統(tǒng)安全等級保護定級、備案工作
中央企業(yè)要全面梳理本企業(yè)信息系統(tǒng)和信息網(wǎng)絡(luò),摸清底數(shù),根據(jù)《信息安全等級保護管理辦法》等有關(guān)規(guī)定和《信息系統(tǒng)安全等級保護定級指南》等技術(shù)標準,準確確定信息系統(tǒng)安全保護等級。對尚未開展信息系統(tǒng)定級的企業(yè),應按照“企業(yè)自主定級、聘請專家評審、主管部門審批、公安機關(guān)監(jiān)督”的原則,開展信息系統(tǒng)定級備案工作,國資委或行業(yè)主管(監(jiān)管)部門要對所負責的中央企業(yè)信息系統(tǒng)安全保護等級進行審批。各企業(yè)在系統(tǒng)定級之后要及時向公安機關(guān)備案,中央企業(yè)跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的第二級(含)以上信息系統(tǒng),向公安部網(wǎng)絡(luò)安全保衛(wèi)局備案,其他信息系統(tǒng)向當?shù)毓矎d(局)網(wǎng)安部門備案。對于已定級的信息系統(tǒng)由于定級不準、需求變更或撤銷的,應重新開展定級備案。新建系統(tǒng)要在規(guī)劃設(shè)計階段確定系統(tǒng)安全保護等級,并在等級確定后30日內(nèi)到公安機關(guān)備案。公安機關(guān)要及時受理備案,對符合要求的頒發(fā)備案證明。
四、開展信息安全等級保護安全建設(shè)整改和等級測評工作,完善重要信息系統(tǒng)安全防護體系
中央企業(yè)要在信息系統(tǒng)定級備案工作基礎(chǔ)上,按照開展信息安全等級保護安全建設(shè)整改工作的有關(guān)要求,組織開展等級保護安全建設(shè)整改工作。對照《信息系統(tǒng)安全等級保護基本要求》等有關(guān)標準,通過開展等級測評、風險評估等方式,確定信息系統(tǒng)安全建設(shè)整改需求,對信息系統(tǒng)進行加固改造和完善,落實安全保護技術(shù)措施和安全管理制度,建立信息系統(tǒng)綜合防護體系,提高網(wǎng)絡(luò)和信息系統(tǒng)的整體保護能力。各企業(yè)要根據(jù)企業(yè)特點,從《全國信息安全等級保護測評機構(gòu)推薦目錄》中擇優(yōu)選擇測評機構(gòu),對本企業(yè)第三級(含)以上信息系統(tǒng)定期開展等級測評,查找發(fā)現(xiàn)信息系統(tǒng)的安全問題、漏洞和安全隱患并及時整改。信息系統(tǒng)測評后,各企業(yè)要及時將等級測評報告向公安機關(guān)備案。
五、加強檢查和考核,確保信息系統(tǒng)安全保護能力達到等級保護要求
各企業(yè)應當定期對信息系統(tǒng)安全保護狀況、安全保護制度及技術(shù)措施的落實情況進行自查,及時發(fā)現(xiàn)系統(tǒng)中存在的安全問題并整改;國資委或行業(yè)主管(監(jiān)管)部門要定期督導、檢查企業(yè)信息安全等級保護制度落實情況,指導企業(yè)開展信息安全等級保護各項工作;公安機關(guān)要會同國資委、行業(yè)主管(監(jiān)管)部門定期對中央企業(yè)開展信息安全等級保護工作情況進行監(jiān)督檢查,推動中央企業(yè)重要信息系統(tǒng)安全保護能力逐步達到信息安全等級保護要求。國資委將把中央企業(yè)開展信息安全等級保護工作情況納入信息化水平評價考核體系,制定等級保護工作具體評價指標并進行量化考核。各中央企業(yè)要按照有關(guān)要求,向國資委報送開展信息安全等級保護工作的有關(guān)情況和數(shù)據(jù)。各企業(yè)要認真總結(jié)開展信息安全等級保護工作的經(jīng)驗,進一步加強和改進等級保護工作,每年應對等級保護工作情況進行總結(jié),填寫《中央企業(yè)信息安全等級保護工作情況統(tǒng)計表》(見附件)報國資委或相關(guān)行業(yè)主管(監(jiān)管)部門和受理備案的公安機關(guān)。國資委和行業(yè)主管(監(jiān)管)部門應每年對所屬中央企業(yè)開展信息安全等級保護工作情況進行總結(jié)并報公安部。
行業(yè)主管(監(jiān)管)部門對所屬行業(yè)中央企業(yè)等級保護工作已做過部署的,所屬中央企業(yè)按照原計劃和要求執(zhí)行,其他企業(yè)按照本通知要求執(zhí)行。
附件:《中央企業(yè)信息安全等級保護工作情況統(tǒng)計表》
(公安部 國資委印)
二〇一〇年十二月二十六日
附件:關(guān)于進一步推進中央企業(yè)信息安全等級保護工作的通知
http://www.djbh.net/webdev/file/webFiles/File/20110222/2011222113039.pdf
