1、XX市信息平安等级保护工作实施方案 XX省信息平安等级保护工作实施方案 为贯彻落实国家信息化领导小组关于加强信息平安保障工作的意见和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室关于信息平安等级保护工作的实施意见以及XX省信息平安等级保护管理方法,根据国家信息平安等级保护工作协调小组的部署,结合我省实际,制订本方案。 一、指导思想 以中央和省委、省政府有关加强信息平安保障工作的意见为指导,通过全面推行信息平安等级保护工作,提高我省信息平安的保障能力和防护水平,维护国家平安、社会稳定和公共利益,保障和促进信息化建设的健康开展。 二、工作目标 通过实行等级保护工作,使根底信息网络和重要
2、信息系统的核心要害部位得到有效保护,涉及国家平安、社会稳定和公共利益的根底信息网络和重要信息系统的保护状况有较大改善。 通过全面推行信息平安等级保护制度,逐步将信息平安等级保护制度落实到信息系统平安规划、建设、测评、运行维护和使用等各个环节,使我省信息平安保障状况得到根本改善。 通过加强和标准信息平安等级保护管理,不断提高我省信息平安保障能力,为维护信息网络的平安稳定,促进信息化开展效劳。 三、组织管理 为加强信息平安等级保护工作的领导,成立由省公安厅牵头,省保密局、省国家密码管理局和省信息办等有关部门参加的XX省信息平安等级保护工作协调小组,负责我省信息平安等级保护工作的组织协调,并下设办公
3、室在省公安厅。设区市的公安机关、保密部门、密码管理部门和信息化行政主管部门也要联合成立由公安机关牵头的信息平安等级保护工作协调小组,建立相应办事机构,负责本地信息平安等级保护工作。 信息系统的建设、运营、使用单位应成立由主管领导参加的信息平安等级保护工作领导小组,并确定职能部门负责本系统、本单位的信息平安等级保护工作。 省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组,并分别负责对涉及全省和全市的根底信息网络和重要信息系统的信息平安保护等级进行审定。 为保证信息平安等级测评工作正常、有效开展,成立由省公安厅牵头,省保密局、省国家密码管理局、省信息办和省国家平安厅等单位
4、有关专家参加的测评机构审查小组,对在我省根底信息网络和重要信息系统中开展测评工作的测评机构及其主要业务、技术人员的资质,以及平安保密测评资格进行专门审查,审查后公布推荐目录,供我省根底信息网络和重要信息系统使用单位选择使用。 四、工作内容 (一)系统定级 信息系统运营、使用单位应按照国家有关规定,确定信息系统的平安保护等级,有主管部门的,应当经主管部门审核批准。系统涉及国家秘密的局部,应当按照涉密信息系统分级保护管理方法(国保发202316号)和涉及国家秘密的信息系统分级保护技术要求(国家保密标准bmbl7-2023)确定信息系统的平安保护等级。跨市或者全省统一联网运行的信息系统可以由主管部门
5、统一确定平安保护等级。 (二)定级评审 属于根底信息网络和重要信息的系统运营、使用单位初步确定平安保护等级后,应聘请省或市信息系统保护等级专家评审组的专家进行评审。对拟确定为第四级、第五级信息系统的,运营、使用单位或主管部门应经省信息化行政主管部门初审后,请国家信息平安等级保护专家评审委员会评审。其它定级评审,依照XX省信息平安等级评审实施细那么执行。 (三)系统备案 平安保护等级为二级以上的信息系统,其运营、使用单位需在等级确定后的三十天内,向设区的市级以上公安机关备案。平安保护等级为五级的,由国家指定的专门部门进行备案。系统涉及国家秘密的,向设区的市级以上保密工作部门备案。系统中使用密码设
6、备的,密码设备要向设区的市级密码管理部门备案。 省公安厅负责平安保护等级确定为第二级以上的省级根底信息网络、省级重要领域信息系统、跨设区市联网运行的信息系统,及平安保护等级为四级的信息系统备案,其余需要备案的系统由其运营、使用单位到设区市公安机关备案。办理备案手续时,应提交信息系统平安等级保护备案表,平安保护等级为三级以上的应同时提供备案表所列的“系统拓扑结构及说明等备案材料,并可利用辅助备案工具软件生成备案电子数据一并向公安机关提交。信息系统平安等级保护备案表和辅助备案工具软件可在省公安厅门户网站下载。 信息系统备案后,公安机关应当对信息系统的备案情况进行审核,发现不符合国家有关规定、标准的
7、,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新确定。信息系统运营、使用单位重新确定信息系统平安等级后,应向公安机关重新备案。 (四)等级测评、整改 信息系统运营、使用单位在进行信息系统备案后,应中选择测评机构进行平安测评。测评机构依据信息系统平安等级保护测评要求等技术标准,对信息系统平安等级状况开展测评,给出相应的系统平安检测评估报告。经测评信息系统平安状况未到达平安保护等级要求的,运营、使用单位应当制定方案进行整改,以符合平安保护等级要求。对符合等级保护要求的,公安机关应当颁发信息系统平安等级保护备案证
8、明。平安保护等级为五级的信息系统,由国家指定的专门部门进行测评和整改。 (五)平安管理、建设 信息系统运营、使用单位应根据国家有关规定和技术标准,建立信息平安等级保护管理制度,落实平安保护责任。具体包括制定信息平安事件等级响应和处置制度;信息平安等级保护系统建设、运行维护制度;信息系统平安检测和风险评估制度;平安教育和培训制度等。根据检测评估报告中反映出的平安问题,要按照信息系统平安等级保护根本要求和风险评估有关标准,确定系统平安需求,制定系统总体平安策略和相关制度,细化符合平安等级保护要求的系统平安技术框架和平安管理框架方案,明确平安建设方案,并全面组织实施。 同时,根底信息网络和重要信息系
9、统的运营、使用单位,应当按照国家有关技术标准和标准,每年对系统的信息平安状况进行一次全面的测评或者自查。第四级信息系统应当每半年至少进行一次测评或者自查,第五级信息系统应当依据特殊平安需求进行测评或者自查。经测评或者自查,信息系统平安状况未到达平安保护等级要求的,运营、使用单位要进行整改,直至到达平安保护等级要求。 五、监督管理 根据信息平安等级保护工作的职责分工,公安机关负责信息平安等级保护工作的总体监督、检查、指导。保密工作部门负责信息平安等级保护工作中有关保密工作的监督、检查、指导。密码管理部门负责信息平安等级保护工作中有关密码工作的监督、检查、指导。信息化行政主管部门负责信息平安等级保
10、护工作的部门间协调。 公安机关要对第三级、第四级信息系统的运营、使用单位的信息平安等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨市或全省统一联网运行的信息系统检查,要会同其主管部门进行。 保密工作部门要加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评。 密码管理部门要定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况,每两年至少进行一次检查和测评。 六、工作安排
11、按照突出重点、统筹规划,重点保障根底信息网络和重要信息系统平安的总体要求和原那么,我省信息平安等级保护工作将分批、分阶段进行。202223年8月至10月集中开展根底信息网络和重要信息系统的定级工作。 我省重要信息系统包括: 1.党政事务处理信息系统和重要网站; 2.金融、财税、海关业务信息系统; 3.铁路、机场、交通(港口)等业务信息系统; 4.医疗、社(医)保、供水、电力、燃气等业务信息系统; 5.涉及国家秘密的信息系统; 6.国家和省规定的其他重要信息系统。 根底信息网络主要包括公用通信网、播送电视传输网等。 其它已运营、使用信息系统和新建信息系统按照相关规定开展等级保护工作。 (一)准备
12、阶段.设区的市公安机关、保密工作部门、密码管理部门和信息化行政主管部门联合成立公安机关牵头的信息平安等级保护工作协调小组,建立相应办事机构,积极做好信息平安等级保护工作的宣传、培训和组织工作,全面推进本地信息平安等级保护工作。 设区的市信息化行政主管部门成立市信息系统平安等级保护专家评审组,积极做好信息平安等级保护工作的咨询和定级评审工作。 各行业主管部门,信息系统运营、使用单位成立信息平安等级保护工作领导小组,对所属信息系统进行摸底调查,全面掌握信息系统的业务类型、应用或效劳范围、系统结构等根本情况,确定定级对象,并提出开展本行业、本单位等级保护工作的具体意见。 (二)组织实施阶段.1.定级
13、备案工作。根底信息网络和重要信息系统在202223年10月20日前完成定级、评审和初备案工作。其余信息系统在2023年6月30日前完成。 2.等级测评工作。根底信息网络和重要信息系统在2023年7月31日前完成等级测评工作。其余信息系统在2023年12月31日前完成。 3.整改建设工作。根底信息网络和重要信息系统在2023年6月30日前完成整改建设工作。其余信息系统在2023年10月31日前完成整改建设工作。 (三)稳固完善阶段 信息系统整改建设工作完成后,应当建立完善信息系统平安状况日常检测工作制度,加强对信息系统的日常维护和平安管理,及时消除平安隐患,确保信息的平安和系统的正常运行。 七、
14、工作要求 (一)提高认识,加强领导。信息平安等级保护制度是国家在国民经济和社会信息化的开展过程中,提高信息平安保障能力和水平,维护国家平安、社会稳定和公共利益,保障和促进信息化建设健康开展的一项根本制度。为此,各级公安机关、保密工作部门、密码管理部门和信息化行政主管部门,以及重要信息系统运营、使用单位和主管部门,要充分认识开展信息平安等级保护工作的重要性、必要性,切实增强政治责任感和工作紧迫感,全面贯彻落实中央、国务院和省委、省政府的要求和部署,切实做好信息平安等级保护工作。 (二)明确责任,密切配合。信息平安等级保护工作由各级公安机关牵头,会同保密工作部门、密码管理部门和信息化行政主管部门共
15、同组织实施。四部门要在明确责任的根底上,加强协调配合,共同组织信息系统主管部门和运营、使用单位开展信息平安等级保护工作。各信息系统主管部门组织本行业、本部门信息系统运营、使用单位开展信息平安等级保护工作,催促其落实信息平安等级保护工作的各项任务。 (三)发动部署,开展培训。各地区、各部门要按照统一部署,广泛进行宣传发动,加强培训,指导本地区、本行业信息系统运营、使用单位按照信息平安等级保护工作的总体要求,分阶段、分步骤完成各项任务。省公安厅将会同省保密局、省国家密码管理局、省信息办对省有关单位、行业以及各市公安机关、保密工作部门、国家密码管理工作部门和信息化行政主管部门就信息平安等级保护工作标准、标准等内容进行培训。信息系统主管部门对所管辖的信息系统运营、使用单位进行培训。各市参照上述培训模式开展培训工作。 (四)及时总结,形成标准。在等级保护工作中,各地、各部门要认真总结工作经验和存在的问题,探索我省在信息平安等级保护工作中有关监督管理、平安评测、平安建设等的方面具体内容、工作流程和程序,建立完善工作标准,为