關于進一步推進中央企業信息安全等級保護工作的通知
關于進一步推進中央企業信息安全等級保護工作的通知
公安部 國務院國有資產監督管理委員會
關于進一步推進中央企業信息安全等級保護工作的通知
關于進一步推進中央企業信息安全等級保護工作的通知
各省、自治區、直轄市公安廳(局),新疆生產建設兵團公安局,中央企業:
保護中央企業信息系統的安全穩定運行對于促進企業健康發展,維護國家經濟安全和社會穩定具有重要意義。為全面落實國家信息安全等級保護制度,加強中央企業的信息安全工作,保障和促進中央企業的信息化發展,現就進一步推進中央企業信息安全等級保護工作的有關要求通知如下:
一、高度重視,切實將信息安全等級保護工作納入企業信息化工作同步推進
近年來,中央企業全面推進信息化建設,企業信息系統數量大幅增加,系統復雜程度大幅提高,業務依賴程度大幅增強,特別是企業的基礎信息網絡和重要信息系統已經成為支撐企業業務發展,提高企業核心競爭力的重要載體和主要手段,已成為國家關鍵基礎設施。各級公安機關、國資監管及有關行業主管(監管)部門要高度重視中央企業的信息安全等級保護工作,特別是各企業要將這項工作擺在重要位置,認真貫徹落實國家信息安全等級保護制度,將信息安全等級保護工作納入企業信息化工作的整體布局中,將信息安全等級保護工作與信息化工作同步規劃、同步實施、同步考核。
二、明確職責,建立分工負責、協作配合的工作機制
國資委負責部署中央企業信息安全等級保護工作,其中電力、軍工、民航企業和電信運營商的信息安全等級保護工作由相關主管(監管)部門組織部署和落實。國資委和有關行業主管(監管)部門按照國家信息安全等級保護制度的總體要求和相關管理文件,組織中央企業開展信息安全等級保護各項工作,制定具體實施方案或細則,開展宣傳、培訓和先進經驗推廣工作,加強對中央企業信息安全等級保護工作的檢查監督、指導和考核。中央企業要按照國家信息安全等級保護制度要求和有關部門的工作部署,切實加強對信息安全等級保護工作的組織領導,建立健全工作機制,及時開展信息系統定級備案、安全建設整改、等級測評和自查等各項工作,并利用等級保護綜合管理系統使信息安全等級保護工作常態化。公安機關要加強對中央企業信息安全等級保護工作的監督、檢查、指導,為中央企業開展信息安全等級保護工作提供服務和支持。
建立由公安部牽頭、國資委和有關行業主管(監管)部門共同參加的中央企業信息安全等級保護工作協調配合機制,按照各自職責分工,加強協調,密切配合,定期溝通和通報工作進展,及時交流備案數據、整改測評情況和檢查結果等,共同組織推動中央企業信息安全等級保護工作的順利開展。
三、全面梳理企業信息網絡和系統,認真做好企業信息系統安全等級保護定級、備案工作
中央企業要全面梳理本企業信息系統和信息網絡,摸清底數,根據《信息安全等級保護管理辦法》等有關規定和《信息系統安全等級保護定級指南》等技術標準,準確確定信息系統安全保護等級。對尚未開展信息系統定級的企業,應按照“企業自主定級、聘請專家評審、主管部門審批、公安機關監督”的原則,開展信息系統定級備案工作,國資委或行業主管(監管)部門要對所負責的中央企業信息系統安全保護等級進行審批。各企業在系統定級之后要及時向公安機關備案,中央企業跨省或者全國統一聯網運行的第二級(含)以上信息系統,向公安部網絡安全保衛局備案,其他信息系統向當地公安廳(局)網安部門備案。對于已定級的信息系統由于定級不準、需求變更或撤銷的,應重新開展定級備案。新建系統要在規劃設計階段確定系統安全保護等級,并在等級確定后30日內到公安機關備案。公安機關要及時受理備案,對符合要求的頒發備案證明。
四、開展信息安全等級保護安全建設整改和等級測評工作,完善重要信息系統安全防護體系
中央企業要在信息系統定級備案工作基礎上,按照開展信息安全等級保護安全建設整改工作的有關要求,組織開展等級保護安全建設整改工作。對照《信息系統安全等級保護基本要求》等有關標準,通過開展等級測評、風險評估等方式,確定信息系統安全建設整改需求,對信息系統進行加固改造和完善,落實安全保護技術措施和安全管理制度,建立信息系統綜合防護體系,提高網絡和信息系統的整體保護能力。各企業要根據企業特點,從《全國信息安全等級保護測評機構推薦目錄》中擇優選擇測評機構,對本企業第三級(含)以上信息系統定期開展等級測評,查找發現信息系統的安全問題、漏洞和安全隱患并及時整改。信息系統測評后,各企業要及時將等級測評報告向公安機關備案。
五、加強檢查和考核,確保信息系統安全保護能力達到等級保護要求
各企業應當定期對信息系統安全保護狀況、安全保護制度及技術措施的落實情況進行自查,及時發現系統中存在的安全問題并整改;國資委或行業主管(監管)部門要定期督導、檢查企業信息安全等級保護制度落實情況,指導企業開展信息安全等級保護各項工作;公安機關要會同國資委、行業主管(監管)部門定期對中央企業開展信息安全等級保護工作情況進行監督檢查,推動中央企業重要信息系統安全保護能力逐步達到信息安全等級保護要求。國資委將把中央企業開展信息安全等級保護工作情況納入信息化水平評價考核體系,制定等級保護工作具體評價指標并進行量化考核。各中央企業要按照有關要求,向國資委報送開展信息安全等級保護工作的有關情況和數據。各企業要認真總結開展信息安全等級保護工作的經驗,進一步加強和改進等級保護工作,每年應對等級保護工作情況進行總結,填寫《中央企業信息安全等級保護工作情況統計表》(見附件)報國資委或相關行業主管(監管)部門和受理備案的公安機關。國資委和行業主管(監管)部門應每年對所屬中央企業開展信息安全等級保護工作情況進行總結并報公安部。
行業主管(監管)部門對所屬行業中央企業等級保護工作已做過部署的,所屬中央企業按照原計劃和要求執行,其他企業按照本通知要求執行。
附件:《中央企業信息安全等級保護工作情況統計表》
(公安部 國資委印)
二〇一〇年十二月二十六日
附件:關于進一步推進中央企業信息安全等級保護工作的通知
http://www.djbh.net/webdev/file/webFiles/File/20110222/2011222113039.pdf
