1、 PAGE 6 PAGE 8 關(guān)于信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)目 錄 TOC o 1-3 h z u HYPERLINK l _Toc29326188 一、明確工作目標(biāo) PAGEREF _Toc29326188 h 3 HYPERLINK l _Toc29326189 二、細(xì)化工作內(nèi)容 PAGEREF _Toc29326189 h 3 HYPERLINK l _Toc29326190 （一）開(kāi)展信息安全等級(jí)保護(hù)安全管理制度建設(shè)，提高信息系統(tǒng)安全管理水平。 PAGEREF _Toc29326190 h 3 HYPERLINK l _Toc29326191 （二）開(kāi)展信息安全等級(jí)保護(hù)

2、安全技術(shù)措施建設(shè)，提高信息系統(tǒng)安全保護(hù)能力。 PAGEREF _Toc29326191 h 4 HYPERLINK l _Toc29326192 （三）開(kāi)展信息系統(tǒng)安全等級(jí)測(cè)評(píng)，使信息系統(tǒng)安全保護(hù)狀況逐步達(dá)到等級(jí)保護(hù)要求。 PAGEREF _Toc29326192 h 4 HYPERLINK l _Toc29326193 三、落實(shí)工作要求 PAGEREF _Toc29326193 h 5 HYPERLINK l _Toc29326194 （一）統(tǒng)一組織，加強(qiáng)領(lǐng)導(dǎo)。要按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)”的原則，切實(shí)加強(qiáng)對(duì)信息安全等級(jí)保護(hù)安全建設(shè)整改工作的組織領(lǐng)導(dǎo)，完善工作機(jī)制。 PAGEREF _Toc293

3、26194 h 5 HYPERLINK l _Toc29326195 （二）循序漸進(jìn)，分步實(shí)施。信息系統(tǒng)主管部門(mén)可以結(jié)合本行業(yè)、本部門(mén)信息系統(tǒng)數(shù)量、等級(jí)、規(guī)模等實(shí)際情況，按照自上而下或先重點(diǎn)后一般的順序開(kāi)展。 PAGEREF _Toc29326195 h 5 HYPERLINK l _Toc29326196 （三）結(jié)合實(shí)際，制定規(guī)范。 PAGEREF _Toc29326196 h 5 HYPERLINK l _Toc29326197 （四）認(rèn)真總結(jié)，按時(shí)報(bào)送。 PAGEREF _Toc29326197 h 6為進(jìn)一步貫徹落實(shí)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)和關(guān)于信息安全等級(jí)保護(hù)

4、工作的實(shí)施意見(jiàn)、信息安全等級(jí)保護(hù)管理辦法（以下簡(jiǎn)稱(chēng)管理辦法）精神， 指導(dǎo)各部門(mén)在信息安全等級(jí)保護(hù)定級(jí)工作基礎(chǔ)上，開(kāi)展已定級(jí)信息系統(tǒng)（不包括涉及國(guó)家秘密信息系統(tǒng)）安全建設(shè)整改工作，特提出如下意見(jiàn)：明確工作目標(biāo)依據(jù)信息安全等級(jí)保護(hù)有關(guān)政策和標(biāo)準(zhǔn)，通過(guò)組織開(kāi)展信息安全等級(jí)保護(hù)安全管理制度建設(shè)、技術(shù)措施建設(shè)和等級(jí)測(cè)評(píng)，落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求，使信息系統(tǒng)安全管理水平明顯提高，安全防范能力明顯增強(qiáng)，安全隱患和安全事故明顯減少，有效保障信息化健康發(fā)展，維護(hù)國(guó)家安全、社會(huì)秩序和公共利益， 力爭(zhēng)在2012年底前完成已定級(jí)信息系統(tǒng)安全建設(shè)整改工作。細(xì)化工作內(nèi)容（一）開(kāi)展信息安全等級(jí)保護(hù)安全管理制度建設(shè)，提高信

5、息系統(tǒng)安全管理水平。按照管理辦法、信息系統(tǒng)安全等級(jí)保護(hù)基本要求，參照信息系統(tǒng)安全管理要求、信息系統(tǒng)安全工程管理要求等標(biāo)準(zhǔn)規(guī)范要求，建立健全并落實(shí)符合相應(yīng)等級(jí)要求的安全管理制度：一是信息安全責(zé)任制，明確信息安全工作的主管領(lǐng)導(dǎo)、責(zé)任部門(mén)、人員及有關(guān)崗位的信息安全責(zé)任；二是人員安全管理制度，明確人員錄用、離崗、考核、教育培訓(xùn)等管理內(nèi)容；三是系統(tǒng)建設(shè)管理制度，明確系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購(gòu)使用、密碼使用、軟件開(kāi)發(fā)、工程實(shí)施、驗(yàn)收交付、等級(jí)測(cè)評(píng)、安全服務(wù)等管理內(nèi)容；四是系統(tǒng)運(yùn)維管理制度，明確機(jī)房環(huán)境安全、存儲(chǔ)介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、網(wǎng)絡(luò)安全、系統(tǒng)安全、惡意代碼防范、密碼保護(hù)、備份與恢復(fù)、

6、事件處置、應(yīng)急預(yù)案等管理內(nèi)容。建立并落實(shí)監(jiān)督檢查機(jī)制，定期對(duì)各項(xiàng)制度的落實(shí)情況進(jìn)行自查和監(jiān)督檢查。（二）開(kāi)展信息安全等級(jí)保護(hù)安全技術(shù)措施建設(shè)，提高信息系統(tǒng)安全保護(hù)能力。按照管理辦法、信息系統(tǒng)安全等級(jí)保護(hù)基本要求，參照信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南、信息系統(tǒng)通用安全技術(shù)要求、信息系統(tǒng)安全工程管理要求、信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求等標(biāo)準(zhǔn)規(guī)范要求，結(jié)合行業(yè)特點(diǎn)和安全需求，制定符合相應(yīng)等級(jí)要求的信息系統(tǒng)安全技術(shù)建設(shè)整改方案，開(kāi)展信息安全等級(jí)保護(hù)安全技術(shù)措施建設(shè)，落實(shí)相應(yīng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)措施，建立并完善信息系統(tǒng)綜合防護(hù)體系，提高信息系統(tǒng)的安全防護(hù)能力和水

7、平。（三）開(kāi)展信息系統(tǒng)安全等級(jí)測(cè)評(píng)，使信息系統(tǒng)安全保護(hù)狀況逐步達(dá)到等級(jí)保護(hù)要求。選擇由省級(jí)（含）以上信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室審核并備案的測(cè)評(píng)機(jī)構(gòu)，對(duì)第三級(jí)（含）以上信息系統(tǒng)開(kāi)展等級(jí)測(cè)評(píng)工作。等級(jí)測(cè)評(píng)機(jī)構(gòu)依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求等標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行測(cè)評(píng)，對(duì)照相應(yīng)等級(jí)安全保護(hù)要求進(jìn)行差距分析，排查系統(tǒng)安全漏洞和隱患并分析其風(fēng)險(xiǎn)，提出改進(jìn)建議，按照公安部制訂的信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告格式編制等級(jí)測(cè)評(píng)報(bào)告。經(jīng)測(cè)評(píng)未達(dá)到安全保護(hù)要求的，要根據(jù)測(cè)評(píng)報(bào)告中的改進(jìn)建議，制定整改方案并進(jìn)一步進(jìn)行整改。各部門(mén)要及時(shí)向受理備案的公安機(jī)關(guān)提交等級(jí)測(cè)評(píng)報(bào)告。對(duì)于重要部門(mén)的第二級(jí)信息系統(tǒng)，可以參照上述要

8、求開(kāi)展等級(jí)測(cè)評(píng)工作。落實(shí)工作要求（一）統(tǒng)一組織，加強(qiáng)領(lǐng)導(dǎo)。要按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)”的原則，切實(shí)加強(qiáng)對(duì)信息安全等級(jí)保護(hù)安全建設(shè)整改工作的組織領(lǐng)導(dǎo)，完善工作機(jī)制。要結(jié)合各自實(shí)際，統(tǒng)一規(guī)劃和部署安全建設(shè)整改工作，制定安全建設(shè)整改工作實(shí)施方案。要落實(shí)責(zé)任部門(mén)、責(zé)任人員和安全建設(shè)整改經(jīng)費(fèi)。要利用多種形式，組織開(kāi)展宣傳、培訓(xùn)工作。（二）循序漸進(jìn)，分步實(shí)施。信息系統(tǒng)主管部門(mén)可以結(jié)合本行業(yè)、本部門(mén)信息系統(tǒng)數(shù)量、等級(jí)、規(guī)模等實(shí)際情況，按照自上而下或先重點(diǎn)后一般的順序開(kāi)展。重點(diǎn)行業(yè)、部門(mén)可以根據(jù)需要和實(shí)際情況，選擇有代表性的第二、三、四級(jí)信息系統(tǒng)先進(jìn)行安全建設(shè)整改和等級(jí)測(cè)評(píng)工作試點(diǎn)、示范，在總結(jié)經(jīng)驗(yàn)的基礎(chǔ)上全面推

9、開(kāi)。（三）結(jié)合實(shí)際，制定規(guī)范。重點(diǎn)行業(yè)信息系統(tǒng)主管部門(mén)可以按照信息系統(tǒng)安全等級(jí)保護(hù)基本要求等國(guó)家標(biāo)準(zhǔn)，結(jié)合行業(yè)特點(diǎn)，確定信息系統(tǒng)安全等級(jí)保護(hù)基本要求的具體指標(biāo)； 在不低于等級(jí)保護(hù)基本要求的情況下，結(jié)合系統(tǒng)安全保護(hù)的特殊需求，在有關(guān)部門(mén)指導(dǎo)下制定行業(yè)標(biāo)準(zhǔn)規(guī)范或細(xì)則，指導(dǎo)本行業(yè)信息系統(tǒng)安全建設(shè)整改工作。（四）認(rèn)真總結(jié)，按時(shí)報(bào)送。自2009年起，要對(duì)定級(jí)備案、等級(jí)測(cè)評(píng)、安全建設(shè)整改和自查等工作開(kāi)展情況進(jìn)行年度總結(jié)， 于每年年底前報(bào)同級(jí)公安機(jī)關(guān)網(wǎng)安部門(mén)，各?。ㄗ灾螀^(qū)、直轄市） 公安機(jī)關(guān)網(wǎng)安部門(mén)報(bào)公安部網(wǎng)絡(luò)安全保衛(wèi)局。信息系統(tǒng)備案單位每半年要填寫(xiě)信息安全等級(jí)保護(hù)安全建設(shè)整改工作情況統(tǒng)計(jì)表并報(bào)受理備案的公

10、安機(jī)關(guān)。附件 1：信息安全等級(jí)保護(hù)安全建設(shè)整改工作情況統(tǒng)計(jì)表01 單位名稱(chēng)02 單位地址03 單位負(fù)責(zé)人姓名職務(wù)/職稱(chēng)辦公電話(huà)04 單位聯(lián)系人姓名職務(wù)/職稱(chēng)辦公電話(huà)移動(dòng)電話(huà)05 信息系統(tǒng)總數(shù)06 未定級(jí)備案信息系統(tǒng)數(shù)量07 已定級(jí)備案信息系統(tǒng)數(shù)量第二級(jí)系統(tǒng)第三級(jí)系統(tǒng)第四級(jí)系統(tǒng)合計(jì)08 信息系統(tǒng)安全建設(shè)整改工作情況（1）是否明確主管領(lǐng)導(dǎo)、責(zé)任部門(mén)和具體負(fù)責(zé)人員是 否（2）是否對(duì)信息系統(tǒng)安全建設(shè)整改工作進(jìn)行總體部署是 否（3）是否對(duì)信息系統(tǒng)進(jìn)行安全保護(hù)現(xiàn)狀分析是 否（4）是否制定信息系統(tǒng)安全建設(shè)整改方案是 否（5）是否組織開(kāi)展信息系統(tǒng)安全建設(shè)整改工作是 否（6）是否組織開(kāi)展信息系統(tǒng)安全自查工作是 否