珠海市公安局珠海市国家保密局珠海市密码管理局.doc

珠 海 市 公 安 局文件珠 海 市 国 家 保 密 局珠 海 市 密 码 管 理 局珠海市信息化工作领导小组办公室 珠公发〔2009〕92号 关于印发《珠海市深化信息安全等级保护工作方案》的通知全市各行业主管部门、重要信息系统运营使用单位：根据广东省公安厅、广东省国家保密局、广东省密码管理局、广东省信息化工作领导小组办公室《广东省深化信息安全等级保护工作方案》、《信息安全等级保护管理办法》（以下简称《管理办法》）、《广东省计算机信息系统安全保护条例》（以下简称《条例》）、《广东省电子政务信息安全管理暂行办法》和《广东省电子政务建设管理办法》精神，为深化我市信息安全等级保护工作，市公安局、市国家保密局、市密码管理局、市信息化工作领导小组办公室结合我市实际情况，研究制定了《珠海市深化信息安全等级保护工作方案》，现印发给你们，请认真贯彻执行全市各行业主管部门、重要信息系统运营使用单位要高度重视，5月底前要全面完成信息系统定级备案工作，7月底前将信息系统安全整改方案报信息安全等级保护协调小组办公室（联系人：杨桥勇，联系：8641381，邮箱：zhwj1dd@，群：28148346、17364560），12月底前基本完成安全整改工作，2010年6月底前对已整改完毕的信息系统进行测评。

珠海市公安局 珠海市国家保密局 珠海市密码管理局 珠海市信息化工作领导小组办公室 二○○九年五月十二日珠海市深化信息安全等级保护工作方案根据广东省公安厅、广东省国家保密局、广东省密码管理局、广东省信息化工作领导小组办公室《广东省深化信息安全等级保护工作方案》、《信息安全等级保护管理办法》（以下简称《管理办法》）、《广东省计算机信息系统安全保护条例》（以下简称《条例》）、《广东省电子政务信息安全管理暂行办法》和《广东省电子政务建设管理办法》精神，为深化信息安全等级保护工作，提高重要信息系统安全保护能力，制订本方案一、 指导思想通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设二、 工作目标通过深化信息系统安全等级保护工作，全面完成已运行信息系统的定级备案、整改、测评工作，组织新建信息系统落实信息安全等级保护要求，使重要信息系统的安全防护能力得到有效提升；健全安全专用产品、测评机构、安全专业技术人员技术支撑体系；建立健全信息安全等级保护职能部门、行业主管部门、信息系统运营使用单位渠道畅通、责任明确、运作协调、通力合作的信息系统安全等级保护工作机制。

三、 重点实施对象（一）基础信息网络、互联网接入服务单位、互联网数据中心、大型互联网信息服务单位重要信息系统二）银行、海关、税务、民航、电力、证券、保险、科技、发展改革、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、卫生、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统三）涉及国家秘密的信息系统（以下简称涉密信息系统）四）第二级以上的信息系统 四、组织领导市公安局、市国家保密局、市密码管理局、市信息化工作领导小组办公室和各行业主管部门联合成立了信息安全等级保护协调小组，负责信息安全等级保护工作的组织和部署由市公安局主管网络安全工作的领导任组长，市国家保密局、市密码管理局和市科技局（市信息化工作领导办公室）主管领导任副组长办公室设在市公安局网络警察支队（以下简称市办公室），由张国强支队长任办公室主任，负责信息安全等级保护工作的具体组织实施各行业主管部门成立行业信息安全等级保护工作小组，负责组织本系统和行业的信息安全等级保护工作重要信息系统运营单位成立信息安全等级保护工作组，负责组织本单位的信息系统安全等级保护工作五、 工作措施（一）全面完成定级备案。

安全保护等级定为第二级以上的信息系统运营使用单位或行业主管部门，应当在系统投入运行后（新建系统）或确定等级后（已运营的系统）30日到市公安局网警支队办理备案手续隶属中央或省的国有单位的信息系统由省公安厅受理备案上述单位在珠海市运行、维护的分支系统由其在珠海的分支机构报市公安局网警支队备案对拟定为第四级以上信息系统的，由运营使用单位或行业主管部门请国家信息安全等级保护专家评审委员会进行定级评审涉密信息系统的等级确定按照国家保密局的有关规定和标准执行各行业主管部门和信息系统运营使用单位对本行业和本单位信息系统进行彻底清理，梳理出未定级、未备案或者定级不当的信息系统，严格依照《管理办法》、《条例》和《信息系统安全等级保护定级指南》予以纠正，确保等级准确，备案全面二）完成安全建设整改各行业主管部门和信息系统运营使用单位应当在职能部门指导下，在安全服务机构、测评机构的支持下，对本行业和本单位信息系统进行评估，对照相关标准查找差距，针对存在的安全隐患以及未落实的安全措施制订安全整改方案，明确整改的目标，项目和进度安全整改方案应当报市公安局网警支队备案在此基础上，依法开展安全整改工作，配合符合《管理办法》要求的安全专用产品，落实安全技术措施，健全安全管理制度。

对于新建、改建、扩建的信息系统，要按照《条例》规定，在规划、设计、建设等环节同步落实安全等级保护要求涉密信息系统的建设整改，要按照《涉及国家秘密的信息系统分级保护管理办法》和《条例》中涉密系统集成资质、方案设计与论证、工程实施的有关要求进行三）组织系统安全测评在安全整改完成后，信息系统运营、使用单位须委托符合规定的测评机构测评确认信息系统的安全保护状况已经符合相关标准要求对于新建、改建、扩建的第二级以上信息系统，应当依照《条例》规定，经测评机构测评合格后方可投入使用；电子政务信息系统均应测评合格和风险评估后方可投入使用安全测评和风险评估要形成相关文档，作为项目验收的重要内容经测评，信息系统安全状况未达到安全保护等级要求的，运营使用单位应当制定方案进行整改安全测评的机构应当依照《广东省公安厅关于计算机信息系统安全保护的实施办法》向公安机关备案并由公安机关予以公布涉密信息系统的测评和风险评估由国家保密局授权的测评机构承担涉密信息系统在投入使用前，应按照国家和省的规定要求，报地级以上市人民政府保密部门审批通过后方可投入使用四）加强安全监督检查市公安局应当会同有关部门加强对信息系统的监督检查，对未依法履行定级、备案手续的单位，督促其限期改正。

发现定级不准的，应当通知运营使用单位或其主管部门重新审核确定对安全措施不符合要求的，要指导其落实整改措施市国家保密局加强对涉密信息系统安全等级保护工作的指导、监督和检查市密码管理局加强对信息安全等级保护的密码管理五）完善电子政务项目建设安全管理机制按照《广东省电子政务信息安全管理暂行办法》和《广东省电子政务建设管理办法》要求，建立健全电子政务项目建设、验收、运维等环节相应的信息安全建设管理机制信息系统安全等级保护定为一级的信息系统，也必须建立与实际应用相适应的信息安全保护措施信息化主管部门会同有关部门加强电子政务项目的建设管理信息安全达不到标准要求的信息系统，不予验收六）健全技术支撑体系省公安厅根据《管理办法》、《条例》、《广东省公安厅关于计算机信息系统安全保护的实施办法》，对符合要求的安全专业产品、安全测评机构进行备案并向社会公布，为信息安全等级保护工作的推进提供技术支持深化继续教育工作，加强施教机构管理，建立安全专业技术人员分级管理体系，提高信息系统运营使用单位和行业主管部门以及安全专用产品研发机构、安全服务机构、测评机构安全专业技术人员的技术和法律知识水平七）健全长效工作机制在信息安全等级保护职能部门、行业主管部门、信息系统运营使用单位间建立畅通的联络机制。

落实行业主管部门对运营使用单位的监督指导责任，建立职能部门、行业主管部门对信息系统的定期监督检查机制进一步健全专家组，为推动信息安全等级保护工作提供支持六、时间安排（一）深化部署阶段2009年4月至5月)1．健全信息安全等级保护组织领导体系，增加行业主管部门为成员．并报上级信息安全等级保护协调小组办公室备案2．信息安全等级保护协调小组办公室要向各行业主管部门和信息系统运营使用单位下达《珠海市信息安全等级保护工作任务书》（附件1）3．各行业主管部门和信息系统运营使用单位根据本方案完善本行业和本部门的信息安全等级保护实施方案，并于5月底报市信息安全等级保护协调小组办公室备案4．各行业主管部门和信息系统运营使用单位5月底前要全面完成信息系统定级备案工作二）深化实施阶段 (2009年6月至12月)1．各行业主管部门和信息系统运营使用单位对本行业和本单位信息系统进行评估，制订安全整改方案，并着手实施安全整改和测评工作安全整改方案应当于2009年7月底前报市公安局网警支队备查安全整改工作应当于12月底前基本完成2．依托先进的信息技术手段，健全职能部门、行业主管部门和信息安全运营使用单位间的联络机制。

三）评估发展阶段2010年至2011年) 1．2010年6月底前，行业主管部门和信息系统运营使用单位在测评机构指导下，对已整改完毕的信息系统进行测评 2．实现监督、检查、指导的信息化，强化职能部门、主管部门和信息系统运营使用单位的沟通协作，健全信息系统监督检查工作机制七、工作要求（一）高度重视，加强组织领导信息安全等级保护工作是中央部署加强重要信息系统安全保护，确保我国信息网络关键基础设施运行安全，防范网络风险的一项重要举措有关部门和信息系统运营使用单位要予以高度重视，加强协调，明确责任，密切合作，切实落实各项工作要求二）多措并举，加强宣传教育信息安全等级保护相关规定和标准专业性强、内容繁多，有关部门、信息系统运营使用单位要组织管理人员、专业技术人员认真学习，明确工作职责，熟悉掌握相关工作要求．要积极发动新闻媒体，重要网站开展信息安全等级保护知识的宣传，增强社会各界的信息安全保护意识三）落实保障，确保措施落实有关部门和信息系统运营使用单位要将安全费用纳入信息化建设项目经费和年度预算，落实安全设计、建设、测评监督检查、培训等各项经费保障，为开展信息安全等级工作提供有力的支持附件：《珠海市信息安全等级保护工作任务书》附件：珠海市信息安全等级保护工作任务书编号：R ：根据《信息安全等级保护管理办法》、《广东省计算机信息系统安全保护条例》精神和《广东省深化信息安全等级保护工作方案》要求，请你单位于2009年7月底前将信息系统安全整改方案报我办，12月底前基本完成安全整改工作，2010年6月底前对已整改完毕的信息系统进行测评。

联系人：杨桥勇 联系：8641381 珠海市信息安全等级保护协调小组办公室 二〇〇九年 月 日受任务单位联系人：联系：（此联存根）珠海市信息安全等级保护工作任务书编号：R 。