关于进一步推进中央企业信息安全等级保护工作的通知

发布日期:2012-06-08

发布时间:2011-05-06   作者:佚名

各省、自治区、直辖市公安厅(局),新疆生产建设兵团公安局,中央企业:

 

保护中央企业信息系统的安全稳定运行对于促进企业健康发展,维护国家经济安全和社会稳定具有重要意义。为全面落实国家信息安全等级保护制度,加强中央企业的信息安全工作,保障和促进中央企业的信息化发展,现就进一步推进中央企业信息安全等级保护工作的有关要求通知如下:

 

一、高度重视,切实将信息安全等级保护工作纳入企业信息化工作同步推进

 

近年来,中央企业全面推进信息化建设,企业信息系统数量大幅增加,系统复杂程度大幅提高,业务依赖程度大幅增强,特别是企业的基础信息网络和重要信息系统已经成为支撑企业业务发展,提高企业核心竞争力的重要载体和主要手段,已成为国家关键基础设施。各级公安机关、国资监管及有关行业主管(监管)部门要高度重视中央企业的信息安全等级保护工作,特别是各企业要将这项工作摆在重要位置,认真贯彻落实国家信息安全等级保护制度,将信息安全等级保护工作纳入企业信息化工作的整体布局中,将信息安全等级保护工作与信息化工作同步规划、同步实施、同步考核。

 

二、明确职责,建立分工负责、协作配合的工作机制

 

国资委负责部署中央企业信息安全等级保护工作,其中电力、军工、民航企业和电信运营商的信息安全等级保护工作由相关主管(监管)部门组织部署和落实。国资委和有关行业主管(监管)部门按照国家信息安全等级保护制度的总体要求和相关管理文件,组织中央企业开展信息安全等级保护各项工作,制定具体实施方案或细则,开展宣传、培训和先进经验推广工作,加强对中央企业信息安全等级保护工作的检查监督、指导和考核。中央企业要按照国家信息安全等级保护制度要求和有关部门的工作部署,切实加强对信息安全等级保护工作的组织领导,建立健全工作机制,及时开展信息系统定级备案、安全建设整改、等级测评和自查等各项工作,并利用等级保护综合管理系统使信息安全等级保护工作常态化。公安机关要加强对中央企业信息安全等级保护工作的监督、检查、指导,为中央企业开展信息安全等级保护工作提供服务和支持。

 

建立由公安部牵头、国资委和有关行业主管(监管)部门共同参加的中央企业信息安全等级保护工作协调配合机制,按照各自职责分工,加强协调,密切配合,定期沟通和通报工作进展,及时交流备案数据、整改测评情况和检查结果等,共同组织推动中央企业信息安全等级保护工作的顺利开展。

 

三、全面梳理企业信息网络和系统,认真做好企业信息系统安全等级保护定级、备案工作

 

中央企业要全面梳理本企业信息系统和信息网络,摸清底数,根据《信息安全等级保护管理办法》等有关规定和《信息系统安全等级保护定级指南》等技术标准,准确确定信息系统安全保护等级。对尚未开展信息系统定级的企业,应按照“企业自主定级、聘请专家评审、主管部门审批、公安机关监督”的原则,开展信息系统定级备案工作,国资委或行业主管(监管)部门要对所负责的中央企业信息系统安全保护等级进行审批。各企业在系统定级之后要及时向公安机关备案,中央企业跨省或者全国统一联网运行的第二级(含)以上信息系统,向公安部网络安全保卫局备案,其他信息系统向当地公安厅(局)网安部门备案。对于已定级的信息系统由于定级不准、需求变更或撤销的,应重新开展定级备案。新建系统要在规划设计阶段确定系统安全保护等级,并在等级确定后30日内到公安机关备案。公安机关要及时受理备案,对符合要求的颁发备案证明。

 

四、开展信息安全等级保护安全建设整改和等级测评工作,完善重要信息系统安全防护体系

 

中央企业要在信息系统定级备案工作基础上,按照开展信息安全等级保护安全建设整改工作的有关要求,组织开展等级保护安全建设整改工作。对照《信息系统安全等级保护基本要求》等有关标准,通过开展等级测评、风险评估等方式,确定信息系统安全建设整改需求,对信息系统进行加固改造和完善,落实安全保护技术措施和安全管理制度,建立信息系统综合防护体系,提高网络和信息系统的整体保护能力。各企业要根据企业特点,从《全国信息安全等级保护测评机构推荐目录》中择优选择测评机构,对本企业第三级(含)以上信息系统定期开展等级测评,查找发现信息系统的安全问题、漏洞和安全隐患并及时整改。信息系统测评后,各企业要及时将等级测评报告向公安机关备案。

 

五、加强检查和考核,确保信息系统安全保护能力达到等级保护要求

 

各企业应当定期对信息系统安全保护状况、安全保护制度及技术措施的落实情况进行自查,及时发现系统中存在的安全问题并整改;国资委或行业主管(监管)部门要定期督导、检查企业信息安全等级保护制度落实情况,指导企业开展信息安全等级保护各项工作;公安机关要会同国资委、行业主管(监管)部门定期对中央企业开展信息安全等级保护工作情况进行监督检查,推动中央企业重要信息系统安全保护能力逐步达到信息安全等级保护要求。国资委将把中央企业开展信息安全等级保护工作情况纳入信息化水平评价考核体系,制定等级保护工作具体评价指标并进行量化考核。各中央企业要按照有关要求,向国资委报送开展信息安全等级保护工作的有关情况和数据。各企业要认真总结开展信息安全等级保护工作的经验,进一步加强和改进等级保护工作,每年应对等级保护工作情况进行总结,填写《中央企业信息安全等级保护工作情况统计表》(见附件)报国资委或相关行业主管(监管)部门和受理备案的公安机关。国资委和行业主管(监管)部门应每年对所属中央企业开展信息安全等级保护工作情况进行总结并报公安部。

 

行业主管(监管)部门对所属行业中央企业等级保护工作已做过部署的,所属中央企业按照原计划和要求执行,其他企业按照本通知要求执行。

文章来源:中国信息安全等级保护网