关于开展全国重要信息系统安全等级保护定级工作的通知

公信安[2007]861号

各省、自治区、直辖市公安厅(局) 、保密局、国家密码管理局 (国家密码管理委员会办公室) 、信息化领导小组办公室,新疆 生产建设兵团公安局、保密局、国家密码管理局、信息化领导小 组办公室,中央和国家机关各部委保密委员会办公室、密码工作 领导小组办公室、信息化领导小组办公室,各人民团体保密委员 会办公室:

为进一步贯彻落实 《国家信息化领导小组关于加强信息安全 保障工作的意见》和公安部、国家保密局、国家密码管理局、国 务院信息化工作办公室《关于信息安全等级保护工作的实施意 见》 《信息安全等级保护管理办法》 (以下简称《管理办法》)精神, 提高我国基础信息网络和重要信息系统的信息安全保护能力 和水平, 根据国家网络与信息安全协调小组 2007 年的工作部署, 公安部、国家保密局、国家密码管理局、国务院信息化工作办公 室定于 2007 年 7 月至 10 月在全国范围内组织开展重要信息系 统安全等级保护定级工作(以下简称“定级工作”) 。现就有关事项 通知如下:

一、定级范围 (一)电信、广电行业的公用通信网、广播电视传输网等基 础信息网络,经营性公众互联网信息服务单位、互联网接入服务 单位、数据中心等单位的重要信息系统。 (二)铁路、银行、海关、税务、民航、电力、证券、保险、 外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、 财政、审计、商务、水利、国土资源、能源、交通、文化、教育、 统计、工商行政管理、邮政等行业、部门的生产、调度、管理、 办公等重要信息系统。 (三) 市 (地) 级以上党政机关的重要网站和办公信息系统。 (四)涉及国家秘密的信息系统(以下简称涉密信息系统)

二、定级工作的主要内容 (一) 开展信息系统基本情况的摸底调查。 各行业主管部门、 运营使用单位要组织开展对所属信息系统的摸底调查, 全面掌握 信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《管理办法》和《信息系统安全等级保护定级 指南》的要求,确定定级对象。各行业主管部门要根据行业特点 提出指导本地区、本行业定级工作的具体意见。 (二)初步确定安全保护等级。各信息系统主管部门和运营 使用单位要按照《管理办法》和《信息系统安全等级保护定级指 南》 ,初步确定定级对象的安全保护等级,起草定级报告(报告 模版见附件 1) 。跨省或者全国统一联网运行的信息系统可以由 主管部门统一确定安全保护等级。 涉密信息系统的等级确定按照 国家保密局的有关规定和标准执行。 (三)评审与审批。初步确定信息系统安全保护等级后,可 以聘请专家进行评审。对拟确定为第四级以上信息系统的,由运 营使用单位或主管部门请国家信息安全保护等级专家评审委员 会评审。 运营使用单位或主管部门参照评审意见最后确定信息系 统安全保护等级,形成定级报告。当专家评审意见与信息系统运 营使用单位或其主管部门意见不一致时, 由运营使用单位或主管 部门自主决定信息系统安全保护等级。 信息系统运营使用单位有 上级行业主管部门的, 所确定的信息系统安全保护等级应当报经 上级行业主管部门审批同意。 (四)备案。根据《管理办法》 ,信息系统安全保护等级为 第二级以上的信息系统运营使用单位或主管部门到公安部网站 下载《信息系统安全等级保护备案表》 (见附件 2)和辅助备案 工具,持填写的备案表和利用辅助备案工具生成的备案电子数据,到公安机关办理备案手续,提交有关备案材料及电子数据文 件。其中,第二级信息系统的备案单位只需填写备案表中的表一 和表二, 第三级以上信息系统的备案单位还应当提交备案表附件 所列各项内容的书面材料。隶属于中央的在京单位,其跨省或者 全国统一联网运行并由主管部门统一定级的信息系统, 由主管部 门向公安部办理备案手续。 跨省或者全国统一联网运行的信息系 统在各地运行、应用的分支系统,向当地设区的市级以上公安机 关备案。 涉密信息系统建设使用单位依据《管理办法》和国家保密局 的有关规定,填写《涉及国家秘密的信息系统分级保护备案表》 (见附件 3) ,按照属地化管理原则,中央和国家机关单位的涉 密信息系统向国家保密局备案; 地方单位的涉密信息系统向所在 地的市(地)级以上保密工作部门备案;中央和国家机关地方所 属单位的涉密信息系统,向所在地的省级保密工作部门备案。 (五)备案管理。公安机关和国家保密工作部门负责受理备 案并进行备案管理。信息系统备案后,公安机关应当对信息系统 的备案情况进行审核,对符合等级保护要求的,颁发信息系统安 全保护等级备案证明。发现不符合《管理办法》及有关标准的, 应当通知备案单位予以纠正。发现定级不准的,应当通知运营使 用单位或其主管部门重新审核确定。 各级保密工作部门加强对涉 密信息系统定级工作的指导、监督和检查。

三、定级工作的要求(一)加强领导,落实保障。各地区、各部门要加强对本地 区、本行业信息安全等级保护工作的组织领导,及时掌握工作进 展情况,并可组织成立专家组,明确技术支持力量。信息系统运 营使用单位要成立等级保护工作组,落实责任部门、责任人员和 经费,保障定级工作顺利进行。 (二) 明确责任, 密切配合。 定级工作由各级公安机关牵头, 会同国家保密工作部门、 国家密码管理部门和信息化领导小组办 事机构共同组织实施。公安机关负责定级工作的监督、检查、指 导;国家保密工作部门负责涉密系统定级工作的监督、检查、指 导;国家密码管理部门负责定级工作中有关密码工作的监督、检 查、 指导; 信息化领导小组办事机构负责定级工作的部门间协调。 各信息系统主管部门组织本行业、 本部门信息系统运营使用单位 开展定级工作,督促其落实定级工作各项任务。各信息系统运营 使用单位依据《管理办法》和本通知要求,具体实施定级工作。 (三)动员部署,开展培训。各地区、各部门要按照统一部 署广泛进行宣传动员,举办形式多样的培训班、研讨班等,层层 培训。公安部会同国家保密局、国家密码管理局、国务院信息化 工作办公室对国家有关部委、各省级公安、保密、密码和信息化 领导小组办事机构就《管理办法》和《信息系统安全等级保护定 级指南》等内容进行培训。信息系统主管部门对所管辖的信息系 统运营使用单位进行培训。各地参照上述培训模式开展培训工作。(四)及时总结, 提出建议。各地区、各部门要结合本地区、 本行业开展定级工作的实际,认真总结经验和不足,提出改进和 完善定级方法的意见和建议。各地区、各部门负责等级保护的领 导机构要及时总结定级工作经验,形成定级工作总结报告,并及 时报送公安部。涉密系统定级工作总结报告向国家保密局报送。 此次定级工作完成后, 请各主管部门、 运营使用单位按照 《管 理办法》和有关技术标准,继续开展信息系统安全等级保护的系 统建设或整改、等级测评、自查自纠等后续工作,各级公安、保 密、密码部门要开展等级保护工作的监督、检查和指导。 执行中有何问题,请及时报告。

公安部联系人郭启全,联系电话:010-66261745

国家保密局联系人魏力,联系电话:010-83086085

国家密码管理局联系人王家玮,联系电话:010-83084734

国务院信息办联系人李强,联系电话:010-83083664

公安部网址:www.mps.gov.cn(互联网); ftp://10.1.185.68(公安网)

技术咨询电话:010—88530013、88530015。

 

附件:

1、 《信息系统安全等级保护定级报告》模版

2、 《信息系统安全等级保护备案表》

3、 《涉及国家秘密的信息系统分级保护备案表》

 

公安部 国家密码管理局 国家保密局 国务院信息化工作办公室 (印)

二〇〇七年七月十六日

抄送: 中央办公厅、国务院办公厅。 中央和国家机关各部委,国务院各直属机构、办事机构、事业单位,国务院部委 管理的各国家局。 国家保密局、国家密码管理局、国务院信息化工作办公室有关部门。 公安部党委,部属有关局级单位。