關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級保護(hù)工作的通知
發(fā)布時間:2012-10-29 18:26:46
各省、自治區(qū)、直轄市公安廳(局),新疆生產(chǎn)建設(shè)兵團(tuán)公安局,中央企業(yè):
保護(hù)中央企業(yè)信息系統(tǒng)的安全穩(wěn)定運(yùn)行對于促進(jìn)企業(yè)健康發(fā)展,維護(hù)國家經(jīng)濟(jì)安全和社會穩(wěn)定具有重要意義。為全面落實(shí)國家信息安全等級保護(hù)制度,加強(qiáng)中央企業(yè)的信息安全工作,保障和促進(jìn)中央企業(yè)的信息化發(fā)展,現(xiàn)就進(jìn)一步推進(jìn)中央企業(yè)信息安全等級保護(hù)工作的有關(guān)要求通知如下:
一、高度重視,切實(shí)將信息安全等級保護(hù)工作納入企業(yè)信息化工作同步推進(jìn)
近年來,中央企業(yè)全面推進(jìn)信息化建設(shè),企業(yè)信息系統(tǒng)數(shù)量大幅增加,系統(tǒng)復(fù)雜程度大幅提高,業(yè)務(wù)依賴程度大幅增強(qiáng),特別是企業(yè)的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)已經(jīng)成為支撐企業(yè)業(yè)務(wù)發(fā)展,提高企業(yè)核心競爭力的重要載體和主要手段,已成為國家關(guān)鍵基礎(chǔ)設(shè)施。各級公安機(jī)關(guān)、國資監(jiān)管及有關(guān)行業(yè)主管(監(jiān)管)部門要高度重視中央企業(yè)的信息安全等級保護(hù)工作,特別是各企業(yè)要將這項工作擺在重要位置,認(rèn)真貫徹落實(shí)國家信息安全等級保護(hù)制度,將信息安全等級保護(hù)工作納入企業(yè)信息化工作的整體布局中,將信息安全等級保護(hù)工作與信息化工作同步規(guī)劃、同步實(shí)施、同步考核。
二、明確職責(zé),建立分工負(fù)責(zé)、協(xié)作配合的工作機(jī)制
國資委負(fù)責(zé)部署中央企業(yè)信息安全等級保護(hù)工作,其中電力、軍工、民航企業(yè)和電信運(yùn)營商的信息安全等級保護(hù)工作由相關(guān)主管(監(jiān)管)部門組織部署和落實(shí)。國資委和有關(guān)行業(yè)主管(監(jiān)管)部門按照國家信息安全等級保護(hù)制度的總體要求和相關(guān)管理文件,組織中央企業(yè)開展信息安全等級保護(hù)各項工作,制定具體實(shí)施方案或細(xì)則,開展宣傳、培訓(xùn)和先進(jìn)經(jīng)驗推廣工作,加強(qiáng)對中央企業(yè)信息安全等級保護(hù)工作的檢查監(jiān)督、指導(dǎo)和考核。中央企業(yè)要按照國家信息安全等級保護(hù)制度要求和有關(guān)部門的工作部署,切實(shí)加強(qiáng)對信息安全等級保護(hù)工作的組織領(lǐng)導(dǎo),建立健全工作機(jī)制,及時開展信息系統(tǒng)定級備案、安全建設(shè)整改、等級測評和自查等各項工作,并利用等級保護(hù)綜合管理系統(tǒng)使信息安全等級保護(hù)工作常態(tài)化。公安機(jī)關(guān)要加強(qiáng)對中央企業(yè)信息安全等級保護(hù)工作的監(jiān)督、檢查、指導(dǎo),為中央企業(yè)開展信息安全等級保護(hù)工作提供服務(wù)和支持。
建立由公安部牽頭、國資委和有關(guān)行業(yè)主管(監(jiān)管)部門共同參加的中央企業(yè)信息安全等級保護(hù)工作協(xié)調(diào)配合機(jī)制,按照各自職責(zé)分工,加強(qiáng)協(xié)調(diào),密切配合,定期溝通和通報工作進(jìn)展,及時交流備案數(shù)據(jù)、整改測評情況和檢查結(jié)果等,共同組織推動中央企業(yè)信息安全等級保護(hù)工作的順利開展。
三、全面梳理企業(yè)信息網(wǎng)絡(luò)和系統(tǒng),認(rèn)真做好企業(yè)信息系統(tǒng)安全等級保護(hù)定級、備案工作
中央企業(yè)要全面梳理本企業(yè)信息系統(tǒng)和信息網(wǎng)絡(luò),摸清底數(shù),根據(jù)《信息安全等級保護(hù)管理辦法》等有關(guān)規(guī)定和《信息系統(tǒng)安全等級保護(hù)定級指南》等技術(shù)標(biāo)準(zhǔn),準(zhǔn)確確定信息系統(tǒng)安全保護(hù)等級。對尚未開展信息系統(tǒng)定級的企業(yè),應(yīng)按照“企業(yè)自主定級、聘請專家評審、主管部門審批、公安機(jī)關(guān)監(jiān)督”的原則,開展信息系統(tǒng)定級備案工作,國資委或行業(yè)主管(監(jiān)管)部門要對所負(fù)責(zé)的中央企業(yè)信息系統(tǒng)安全保護(hù)等級進(jìn)行審批。各企業(yè)在系統(tǒng)定級之后要及時向公安機(jī)關(guān)備案,中央企業(yè)跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的第二級(含)以上信息系統(tǒng),向公安部網(wǎng)絡(luò)安全保衛(wèi)局備案,其他信息系統(tǒng)向當(dāng)?shù)毓矎d(局)網(wǎng)安部門備案。對于已定級的信息系統(tǒng)由于定級不準(zhǔn)、需求變更或撤銷的,應(yīng)重新開展定級備案。新建系統(tǒng)要在規(guī)劃設(shè)計階段確定系統(tǒng)安全保護(hù)等級,并在等級確定后30日內(nèi)到公安機(jī)關(guān)備案。公安機(jī)關(guān)要及時受理備案,對符合要求的頒發(fā)備案證明。
四、開展信息安全等級保護(hù)安全建設(shè)整改和等級測評工作,完善重要信息系統(tǒng)安全防護(hù)體系
中央企業(yè)要在信息系統(tǒng)定級備案工作基礎(chǔ)上,按照開展信息安全等級保護(hù)安全建設(shè)整改工作的有關(guān)要求,組織開展等級保護(hù)安全建設(shè)整改工作。對照《信息系統(tǒng)安全等級保護(hù)基本要求》等有關(guān)標(biāo)準(zhǔn),通過開展等級測評、風(fēng)險評估等方式,確定信息系統(tǒng)安全建設(shè)整改需求,對信息系統(tǒng)進(jìn)行加固改造和完善,落實(shí)安全保護(hù)技術(shù)措施和安全管理制度,建立信息系統(tǒng)綜合防護(hù)體系,提高網(wǎng)絡(luò)和信息系統(tǒng)的整體保護(hù)能力。各企業(yè)要根據(jù)企業(yè)特點(diǎn),從《全國信息安全等級保護(hù)測評機(jī)構(gòu)推薦目錄》中擇優(yōu)選擇測評機(jī)構(gòu),對本企業(yè)第三級(含)以上信息系統(tǒng)定期開展等級測評,查找發(fā)現(xiàn)信息系統(tǒng)的安全問題、漏洞和安全隱患并及時整改。信息系統(tǒng)測評后,各企業(yè)要及時將等級測評報告向公安機(jī)關(guān)備案。
五、加強(qiáng)檢查和考核,確保信息系統(tǒng)安全保護(hù)能力達(dá)到等級保護(hù)要求
各企業(yè)應(yīng)當(dāng)定期對信息系統(tǒng)安全保護(hù)狀況、安全保護(hù)制度及技術(shù)措施的落實(shí)情況進(jìn)行自查,及時發(fā)現(xiàn)系統(tǒng)中存在的安全問題并整改;國資委或行業(yè)主管(監(jiān)管)部門要定期督導(dǎo)、檢查企業(yè)信息安全等級保護(hù)制度落實(shí)情況,指導(dǎo)企業(yè)開展信息安全等級保護(hù)各項工作;公安機(jī)關(guān)要會同國資委、行業(yè)主管(監(jiān)管)部門定期對中央企業(yè)開展信息安全等級保護(hù)工作情況進(jìn)行監(jiān)督檢查,推動中央企業(yè)重要信息系統(tǒng)安全保護(hù)能力逐步達(dá)到信息安全等級保護(hù)要求。國資委將把中央企業(yè)開展信息安全等級保護(hù)工作情況納入信息化水平評價考核體系,制定等級保護(hù)工作具體評價指標(biāo)并進(jìn)行量化考核。各中央企業(yè)要按照有關(guān)要求,向國資委報送開展信息安全等級保護(hù)工作的有關(guān)情況和數(shù)據(jù)。各企業(yè)要認(rèn)真總結(jié)開展信息安全等級保護(hù)工作的經(jīng)驗,進(jìn)一步加強(qiáng)和改進(jìn)等級保護(hù)工作,每年應(yīng)對等級保護(hù)工作情況進(jìn)行總結(jié),填寫《中央企業(yè)信息安全等級保護(hù)工作情況統(tǒng)計表》(見附件)報國資委或相關(guān)行業(yè)主管(監(jiān)管)部門和受理備案的公安機(jī)關(guān)。國資委和行業(yè)主管(監(jiān)管)部門應(yīng)每年對所屬中央企業(yè)開展信息安全等級保護(hù)工作情況進(jìn)行總結(jié)并報公安部。
行業(yè)主管(監(jiān)管)部門對所屬行業(yè)中央企業(yè)等級保護(hù)工作已做過部署的,所屬中央企業(yè)按照原計劃和要求執(zhí)行,其他企業(yè)按照本通知要求執(zhí)行。
