第一篇：中國石化深入開展信息安全等級保護工作有效保障企業(yè)生產(chǎn)業(yè)務信息系統(tǒng)安全

中國石化深入開展信息安全等級保護工作有效保障企業(yè)生產(chǎn)業(yè)務信息系統(tǒng)安全

來源：admin發(fā)布日期：2012-03-1

2近年來，中國石化在集團公司黨組的領導下，緊緊圍繞公司戰(zhàn)略發(fā)展目標，大力推進信息化建設和應用，信息系統(tǒng)已經(jīng)成為公司生產(chǎn)運營和經(jīng)營管理的“中樞神經(jīng)系統(tǒng)”，保障信息系統(tǒng)的安全可靠運行直接關系到公司的健康發(fā)展。為此，中國石化始終堅持以信息安全等級保護工作為核心，把等級保護的相關政策和技術標準與企業(yè)自身的安全需求深度融合，采取一系列有效措施，使等級保護制度在全公司得到有效落實，有效保障了公司的生產(chǎn)業(yè)務信息系統(tǒng)安全。

一、領導高度重視，組織保障有力，宣傳培訓到位。公司領導高度重視信息化和信息安全工作，黨組成員、股份公司副總裁戴厚良在公司信息安全工作會議上強調，要高度重視信息系統(tǒng)安全，按照國家信息安全等級保護制度要求，加強安全體系建設，把握信息系統(tǒng)安全特點，從源頭抓起，重視信息化項目的安全設計。公司成立了專門的信息安全等級保護領導小組，由信息系統(tǒng)管理部具體負責等級保護相關工作，組建了等級保護制度編制隊伍、培訓隊伍、監(jiān)督檢查隊伍和整改建設隊伍，明確以等級保護工作為抓手，統(tǒng)籌全公司的信息安全工作。公司建立了高可靠的信息安全基礎設施，重點強化了第三級信息系統(tǒng)的合規(guī)建設，加強了信息系統(tǒng)的運維管理，對重要信息系統(tǒng)建立了災難備份及應急預案，有效提高了系統(tǒng)的安全防護水平。同時，公司充分利用網(wǎng)絡、企業(yè)電視臺、會議培訓等方式，組織專題研討、技術培訓和業(yè)務交流，提高企業(yè)各級領導、職工對等級保護工作的認識水平，并在遠程教育系統(tǒng)平臺上發(fā)布信息安全等級保護宣傳課件，面向企業(yè)的100余萬用戶提供培訓，確保了等級保護制度的有效落實。

二、堅持“三結合”、抓好“兩必須”、嚴控“兩環(huán)節(jié)”。中國石化將等級保護建設融入整個信息化建設過程中，要求信息系統(tǒng)與安全建設“同步設計、同步建設、同步運行”。一是堅持“三結合”，即國家政策與行業(yè)特色相結合、信息安全與生產(chǎn)安全密切相結合、信息安全等級保護工作與信息化工作相結合。中國石化根據(jù)國家等級保護政策和技術標準，結合企業(yè)特點，在不低于國家標準的基礎上，對信息系統(tǒng)安全保護等級細分為：Ⅰ級、ⅡA級、ⅡB級、ⅢA級、ⅢB級、Ⅳ級、Ⅴ級，編寫了《中國石化集團信息系統(tǒng)安全等級保護管理辦法》、《中國石化集團信息系統(tǒng)安全等級保護定級規(guī)范》、《中國石化集團信息系統(tǒng)安全等級保護基本規(guī)范》、《中國石化集團信息系統(tǒng)安全等級保護評估檢查細則》、《中國石化集團信息系統(tǒng)安全等級保護建設整改指南》等標準，形成了企業(yè)等級保護標準體系。同時將信息安全工作納入公司整體安全管理體系，將等級保護落實情況納入信息化考核評價指標體系中，通過崗位責任制聯(lián)合大檢查和信息化考核，有力推動了等級保護制度的貫徹落實。二是堅持“兩個必須”。即信息系統(tǒng)建設之初，必須先明確系統(tǒng)的信息安全等級保護級別；信息系統(tǒng)的規(guī)劃設計，必須有信息安全設計，重要信息系統(tǒng)特別是三級系統(tǒng)必須進行獨立的信息安全設計。三是嚴抓“兩個環(huán)節(jié)”。即抓好可研立項和項目驗收兩個關鍵環(huán)節(jié)，這兩個關鍵環(huán)節(jié)是信息系統(tǒng)項目建設的一頭一尾，切實抓好這兩個關鍵環(huán)節(jié)，才能保證信息系統(tǒng)安全設計與實施工作的落實。

三、完善措施，保障經(jīng)費，確保等級保護各項工作順利開展。一是認真組織開展信息系統(tǒng)定級備案工作。中國石化制定了公司信息系統(tǒng)定級備案指導意見，指導公司總部和下屬企業(yè)完成了信息系統(tǒng)定級備案工作。并通過技術化手段，實時了解總部和下屬企業(yè)信息系統(tǒng)的變化情況，及時開展定級備案。二是組織開展信息系統(tǒng)等級測評和安全建設整改。目前，中國石化總部已落實經(jīng)費1500多萬元，用于開展等級保護標準制定、宣貫培訓、信息系統(tǒng)等級測評和安全建設整改。對面向社會公眾服務、涉及核心業(yè)務、覆蓋范圍廣的信息系統(tǒng)優(yōu)先進行了等級保護測評，通過分析信息系統(tǒng)和基礎設施面臨的風險，查找薄弱環(huán)節(jié)和安全隱患并進行整改，提升信息安全管理水平。對于新建系統(tǒng)參照等級保護有關要求進行建設；對于今年內未進行測評的三級信息系統(tǒng)，已經(jīng)安排經(jīng)費預算，預計于2012年上半年全部完成等級測評，以后每年納入常態(tài)工作。三是開展了信息安全檢查活動。對信息安全、等級保護落實情況進行了檢查，已對61家單位進行了現(xiàn)場檢查和110家單位的自查，通過檢查督促各下屬單位開展相關工作。四是建立信息安全通報機制?！吨袊畔踩\行簡報》已發(fā)布24期，內容以表彰先進企業(yè)工作經(jīng)驗、等級保護工作情況、通報信息安全事件、發(fā)布信息安全公告和宣貫信息安全基礎知識為主，建立了總部與企業(yè)信息安全工作的溝通平臺，有效推動了信息安全工作的開展。

四、建立完善各項安全保護技術措施和管理制度，有效保障重要信息系統(tǒng)安全。一是對網(wǎng)絡和系統(tǒng)進行安全區(qū)域劃分。按照《信息系統(tǒng)安全等級保護基本要求》，提出了“縱向分層、水平分區(qū)、區(qū)內細分”的網(wǎng)絡安全區(qū)域劃分原則，對網(wǎng)絡進行了認真梳理、合理規(guī)劃、有效調整，對重要區(qū)域部署了安全防護設備，針對具體應用系統(tǒng)部署了細粒度的安全防護策略，建立了必備的網(wǎng)絡安全防護技術手段。二是持續(xù)推進病毒治理和桌面安全管理。建立了以公司總部為核心，覆蓋全部企業(yè)的多級管理防病毒系統(tǒng)。建立了桌面安全管理系統(tǒng)，實現(xiàn)了資產(chǎn)管理、補丁管理、電源管理等功能。實施網(wǎng)絡準入控制，實現(xiàn)了網(wǎng)絡接入認證、合規(guī)檢查等。三是加強用戶身份認證強度。建成了數(shù)字證書管理（PKI/CA）系統(tǒng)，啟動了用戶身份管理、信息安全日志審計、文檔安全管理系統(tǒng)的建設工作，完成了100萬用戶基礎數(shù)據(jù)的導入工作，為遠程教育系統(tǒng)、經(jīng)營管理系統(tǒng)等多個應用系統(tǒng)提供了用戶身份數(shù)據(jù)。四是加強制度建設和信息安全管理。本著“預防為主，建章立制，加強管理，重在治本”的原則，堅持管理與技術并重，制訂和發(fā)布了《中國石化信息系統(tǒng)安全管理辦法》《中國石化信息基礎設施運行維護管理辦法》等31個制度規(guī)范，對信息安全工作的有效開展起到了很好的指導和規(guī)范作用。

第二篇：關于開展電力行業(yè)信息系統(tǒng)安全等級保護定級工作的通知

關于開展電力行業(yè)信息系統(tǒng)安全等級保護定級工作的通知

電監(jiān)信息〔2007〕34號

國家電網(wǎng)公司，南方電網(wǎng)公司，華能、大唐、華電、國電、中電投集團公司，各有關電力公司：

為貫徹落實公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室《關于印發(fā)<信息安全等級保護管理辦法>的通知》（公通字〔2007〕43號）和《關于開展全國重要信息系統(tǒng)安全

等級保護定級工作的通知》（公信安〔2007〕861號）要求，提高電力行業(yè)網(wǎng)絡和信息系統(tǒng)的信息安全保護能力和水平，定于2007年8月至10月在電力行業(yè)組織開展信息系統(tǒng)安全等級保護定級工作?，F(xiàn)就有關事項通知如下：

一、工作組織

電力行業(yè)網(wǎng)絡與信息安全領導小組：統(tǒng)一協(xié)調領導電力行業(yè)信息系統(tǒng)安全等級保護定級工作。

電力行業(yè)網(wǎng)絡與信息安全領導小組辦公室（以下簡稱領導小組辦公室）：具體負責組織開展電力行業(yè)信息系統(tǒng)安全等級保護定級工作，監(jiān)督指導信息系統(tǒng)運營使用單位的定級工作。

電力行業(yè)信息系統(tǒng)安全等級保護定級工作專家組（以下簡稱專家組）：對電力行業(yè)信息系統(tǒng)安全定級工作進行指導、咨詢，對定級結果進行評審。

各有關電力公司（名單附后）等級保護責任部門（以下簡稱公司責任部門）：負責組織開展本單位（系統(tǒng)）信息系統(tǒng)安全等級保護定級工作。

信息系統(tǒng)運營使用單位（以下簡稱運營使用單位）：具體負責所運營、使用的信息系統(tǒng)的安全定級工作。

技術支持單位：中國電力科學研究院信息安全研究所等單位為本次信息系統(tǒng)安全定級工作的技術支持單位，負責提供技術支持。

二、主要工作內容

1、摸底調查

各公司責任部門要組織本系統(tǒng)的信息系統(tǒng)運營使用單位，開展對所屬網(wǎng)絡和信息系統(tǒng)的摸底調查工作，全面掌握信息網(wǎng)絡和信息系統(tǒng)的數(shù)量、分布、業(yè)務類型、系統(tǒng)結構、應用或服務范圍等基本情況。

2、初步定級

各單位在摸底調查的基礎上，要按照《信息安全等級保護管理辦法》（以下簡稱《管理辦法》，附件1）和《信息系統(tǒng)安全等級保護定級指南》（附件2）的要求，確定各定級對象。并初步確定定級對象的安全保護等級，起草定級報告（報告模板見附件3）。各公司責任部門將本單位（系統(tǒng)）運營使用單位的定級報告匯總后統(tǒng)一報送領導小組辦公室。

涉密信息系統(tǒng)的等級確定按照國家保密局的有關規(guī)定和標準執(zhí)行。

3、評審

領導小組辦公室組織專家對上報的定級報告進行分類評審。評審后領導小組辦公室印發(fā)《電力行業(yè)信息系統(tǒng)安全等級保護定級實施指南》，指導各電力公司和信息系統(tǒng)運營使用單位的定級工作。

對于跨電力公司聯(lián)網(wǎng)運行的信息系統(tǒng)，由領導小組辦公室統(tǒng)一確定安全保護等級。

對于屬同一電力公司，但跨省聯(lián)網(wǎng)運行的信息系統(tǒng)，由公司責任部門統(tǒng)一確定安全保護等級。對于通用信息系統(tǒng)，由領導小組辦公室提出安全保護等級建議，運營使用單位自主確定安全保護等級。

對于運營使用單位所特有的信息系統(tǒng)，各運營使用單位自行確定安全保護等級。

對擬確定為第四級以上信息系統(tǒng)的，由領導小組辦公室邀請國家信息安全保護等級專家評審委員會評審。

4、審批與備案

根據(jù)《管理辦法》，信息系統(tǒng)安全等級確定為二級以上的信息系統(tǒng)運營使用單位到公安部網(wǎng)站下載《信息系統(tǒng)安全等級保護備案表》（見附件4）和輔助備案工具，持填寫的備案表和利用輔助備案工具生成的備案電子數(shù)據(jù)，到公安機關辦理備案手續(xù)，提交有關備案材料及電子數(shù)據(jù)文件。其中，第二級信息系統(tǒng)的備案單位只需填寫備案表中的表

一、表二和表三，第三級以上信息系統(tǒng)的備案單位還應當同時提交備案表表四所列各項內容的書面材料。

各運營使用單位要參照《電力行業(yè)信息系統(tǒng)安全等級保護定級實施指南》，結合本單位實際，填寫備案表，由公司責任部門審定后，統(tǒng)一匯總報送領導小組辦公室審批。

備案表經(jīng)領導小組辦公室審查批準后，各有關單位應根據(jù)下列要求到公安機關辦理備案手續(xù)。

（1）跨電力公司聯(lián)網(wǎng)運行，且由領導小組辦公室統(tǒng)一確定安全等級的信息系統(tǒng)，領導小組辦公室負責統(tǒng)一向公安部辦理備案手續(xù)。

（2）電力公司內部跨省聯(lián)網(wǎng)運行，且由公司責任部門統(tǒng)一確定安全等級的信息系統(tǒng)，由公司責任部門負責統(tǒng)一向公安部辦理備案手續(xù)。

（3）其它信息系統(tǒng)的由運營使用單位直接向當?shù)卦O區(qū)的市級以上公安機關備案。

（4）跨省聯(lián)網(wǎng)運行的信息系統(tǒng)，在各地運行、應用的分支系統(tǒng)，向當?shù)卦O區(qū)的市級以上公安機關備案。

涉密信息系統(tǒng)建設使用單位依據(jù)《管理辦法》和國家保密局的有關規(guī)定，填寫《涉及國家秘密的信息系統(tǒng)分級 保護備案表》（見附件5），按照屬地化管理原則，中央和國家機關單位的涉密信息系統(tǒng)向國家保密局備案；地方單位的涉密信息系統(tǒng)向所在地的市（地）級以上保密工作部門備案；中央和國家機關地方所屬單位的涉密信息系統(tǒng)，向所在地的省級保密工作部門備案。

5、備案管理

公安機關和國家保密工作部門負責受理電力行業(yè)信息系統(tǒng)等級保護定級備案，并進行備案管理。信息系統(tǒng)備案后，公安機關對信息系統(tǒng)的備案情況進行審核，對符合等級保護要求的，頒發(fā)信息系統(tǒng)安全保護等級備案證明。發(fā)現(xiàn)不符合《管理辦法》及有關標準的，將通知備案單位予以糾正。發(fā)現(xiàn)定級不準的，通知運營使用單位或者領導小組辦公室重新審核確定。各級保密工作部門加強對涉密信息系統(tǒng)定級工作的指導、監(jiān)督和檢查。

三、進度安排

動員部署階段，8月15日前印發(fā)通知，對定級工作進行動員部署。

摸底調查及初步定級階段，8月31日前完成。開展信息系統(tǒng)基本摸底調查，初步確定定級對象的安全保護等級，起草定級報告。

評審階段，9月24日前完成。領導小組辦公室對上報的初步定級報告進行分類評審，并編制印發(fā)《電力行業(yè)信息系統(tǒng)安全等級保護定級實施指南》。

審批與備案階段，10月15日前完成。各運營使用單位按照《電力行業(yè)信息系統(tǒng)安全等級保護定級實施指南》，填寫備案表并上報領導小組辦公室審核，審核批準后按要求向公安機關備案。

總結階段，10月20日前完成。各公司責任部門對本單位（系統(tǒng)）信息系統(tǒng)安全定級工作進行總結，并向領導小組辦公室報送總結報告。領導小組辦公室對行業(yè)信息系統(tǒng)安全定級工作進行總結，并報送公安部。

四、工作要求

1、加強領導，落實保障

各電力公司要按照領導小組辦公室的統(tǒng)一部署，明確等級保護責任部門，加強組織領導，及時掌握工作進展情況。信息系統(tǒng)運營使用單位要落實責任部門、責任人員和經(jīng)費，保障定級工作順利進行。

2、明確責任，密切配合

信息系統(tǒng)的運營使用單位是安全等級保護工作的責任主體，要切實落實運營使用單位的責任。電力公司對所屬單位信息系統(tǒng)的安全等級保護工作負總責，各單位要承擔起本單位（本系統(tǒng)）信息系統(tǒng)安全等級保護工作的組織管理職責。

各電力公司、各運營使用單位要按照領導小組辦公室的部署，積極協(xié)調做好本系統(tǒng)、本單位信息系統(tǒng)的安全等級保護工作。

3、動員部署，開展培訓

各單位要按照統(tǒng)一部署，廣泛進行宣傳動員，舉辦形式多樣的培訓班、研討班等，層層培訓。領導小組辦公室將根據(jù)電力行業(yè)特點，按照國家要求，會同有關專業(yè)培訓單位，組織開展電力行業(yè)等級保護培訓工作。

4、及時總結，提出建議

各電力公司、運營使用單位要結合本單位、本系統(tǒng)開展定級工作的實際，認真總結經(jīng)驗和不足，提出改進和完善定級方法的意見和建議。各公司責任部門要及時總結定級工作經(jīng)驗，形成定級工作總結報告，及時報送領導小組辦公室。

此次定級工作完成后，領導小組辦公室將按照《管理辦法》和有關技術標準，繼續(xù)組織開展信息系統(tǒng)安全等級保護的系統(tǒng)建設或整改、等級測評、自查自糾等后續(xù)工作。

聯(lián)系方式：

電力行業(yè)網(wǎng)絡與信息安全領導小組辦公室

聯(lián)系人：胡紅升 010-58681816 溫紅子 010-58681815 電子郵件：xxtb@serc.gov.cn 傳真：010-58681835 技術支持電話：010-82812516 附件：1.《信息安全等級保護管理辦法》 2.《信息安全等級保護定級指南》

3.《信息系統(tǒng)安全等級保護定級報告》模版 4.《信息安全等級保護備案表》

5.《涉及國家秘密的信息系統(tǒng)分級保護備案表》

二○○七年八月十三日

【來源】電監(jiān)會辦公廳 【日期】2007-08-20

【字體： 大 中 小】 【打印】 【關閉】

Copyright ?1998-2007 All Rights Reserved 國家電力監(jiān)管委員會 版權所有

第三篇：醫(yī)院信息系統(tǒng)安全等級保護工作實施方案

關于做好信息安全等級保護工作的通知 各科室：

醫(yī)院信息系統(tǒng)是醫(yī)療服務的重要支撐體系。為貫徹落實國家信息安全等級保護制度，確保我院信息系統(tǒng)安全可靠運行，根據(jù)《湖北省衛(wèi)生廳湖北省公安廳關于開展全省衛(wèi)生行業(yè)信息安全等級保護工作通知》（鄂衛(wèi)發(fā)〔2012〕14號）精神，并結合我院信息系統(tǒng)應用的特點，就相關事項通知如下。

一、組織領導 組長： 副組長： 組員：

領導小組辦公室設在XX科，由XX同志兼任主任，ＸＸＸ等同志負責具體工作。

二、工作任務

1、做好系統(tǒng)定級工作。定級系統(tǒng)包括基礎支撐系統(tǒng)，面向患者服務信息系統(tǒng)，內部行政管理信息系統(tǒng)、網(wǎng)絡直報系統(tǒng)及門戶網(wǎng)站，定級方法由市衛(wèi)生局統(tǒng)一與市公安局等信息安全相關部門協(xié)商。

2、做好系統(tǒng)備案工作。按照市衛(wèi)生系統(tǒng)信息安全等級保護劃分定級要求，對信息系統(tǒng)進行定級后，將本單位《信息系統(tǒng)安全等級保護備案表》《信息系統(tǒng)定級報告》和備案電子數(shù)據(jù)報衛(wèi)生局，由衛(wèi)生局報屬地公安機關辦理備案手續(xù)。

3、做好系統(tǒng)等級測評工作。完成定級備案后，選擇市衛(wèi)生局推薦的等級測評機構，對已確定安全保護等級信息系統(tǒng)，按照國家信息安全等級保護工作規(guī)范和《信息安全技術信息系統(tǒng)安全等級保護基本要求》等國家標準開展等級測評，信息系統(tǒng)測評后，及時將測評機構出具的《信息系統(tǒng)等級測評報告》向屬地公安機關報備。

4、完善等級保護體系建設做好整改工作。按照測評報告評測結果，對照《信息系統(tǒng)安全等級保護基本要求》等有關標準，組織開展等級保護安全建設整改工作，具體要求如下： 安全類別

控制項

主要安全措施

二級保護措施

三級保護措施

物理安全

物理訪問控制

機房安排專人負責，來訪人員須審批和陪同

√

√

重要區(qū)域配置門禁系統(tǒng)

√

防盜竊和防破壞

暴露在公共場所的網(wǎng)絡設備須具備安全保護措施

√

√

主機房安裝監(jiān)控報警系統(tǒng)

√

防雷擊

機房計算機系統(tǒng)接地符合GB 50057－1994《建筑物防雷設計規(guī)范》中的計算機機房防雷要求

√

√

機房電源、網(wǎng)絡信號線、重要設備安裝有資質的防雷裝置

√

防火

機房設置滅火設備和火災自動報警系統(tǒng)

√

√

機房配置自動滅火裝置

√

電力供應

機房及關鍵設備應配置UPS備用電力供應

√

√

醫(yī)院重要科室應采用雙回路電源供電

√

√

環(huán)境監(jiān)控

機房設置溫、濕度自動調節(jié)設施

√

√

機房設置防水檢測和報警設施

√

對機房關鍵設備和磁介質實施電磁屏蔽

√

網(wǎng)絡安全

結構安全

網(wǎng)絡應按職能和重要程度不同劃分網(wǎng)段

√

√

重要網(wǎng)段之間應采用防火墻進行隔離

√

訪問控制

網(wǎng)絡邊界部署防火墻或網(wǎng)閘

√

√

安全審計

網(wǎng)絡日志審計、網(wǎng)絡運維管理安全審計

√

√

邊界完整性檢查

采用準入控制系統(tǒng)，實現(xiàn)準入控制、非法外聯(lián)檢查

√

√

采用準入控制系統(tǒng)，實現(xiàn)準入控制及非法外聯(lián)可阻斷

√

入侵防范

入侵檢測系統(tǒng)/入侵防御系統(tǒng)

√

√

惡意代碼防范

防病毒網(wǎng)關

√

主機安全

入侵防范

采用服務器安全加固

√

√

安全審計

采用終端管理系統(tǒng)實現(xiàn)安全審計

√

√

惡意代碼防范

防病毒軟件

√

√

應用安全

身份鑒別

采用電子認證措施

√

√

安全審計

數(shù)據(jù)庫安全審計系統(tǒng)

√

√

數(shù)據(jù)安全與備份恢復

備份和恢復

本地數(shù)據(jù)備份與恢復

√

√

硬件冗余

關鍵網(wǎng)絡設備、線路和服務器硬件冗余 √

√

異地備份

異地數(shù)據(jù)備份

√

三、工作要求

1、切實加強組織領導。擬定實施醫(yī)院信息系統(tǒng)安全等級保護的具體方案，并制定相應的崗位責任制，召開專題會議，確保信息安全等級保護工作順利實施。

2、建立健全信息系統(tǒng)安全管理制度。根據(jù)信息安全等級保護的要求，制定各項信息系統(tǒng)安全管理制度，對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程和執(zhí)行記錄文檔。

3、制定保障醫(yī)療活動不中斷的應急預案。按可能出現(xiàn)問題的不同情形制定相應的應急措施，在系統(tǒng)出現(xiàn)故障和意外且無法短時間恢復的情況下能確保醫(yī)療活動持續(xù)進行。

第四篇：信息安全等級保護工作實施方案

白魯?shù)A九年制學校

信息安全等級保護工作實施方案

為加強信息安全等級保護，規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進我校信息化建設。根據(jù)商教發(fā)【2011】321號文件精神，結合我校實際，制訂本實施方案。

一、指導思想

以科學發(fā)展觀為指導，以黨的十七大、十七屆五中全會精神為指針，深入貫徹執(zhí)行《信息安全等級保護管理辦法》等文件精神，全面推進信息安全等級保護工作，維護我?；A信息網(wǎng)絡和重要信息系統(tǒng)安全穩(wěn)定運行。

二、定級范圍

學校管理、辦公系統(tǒng)、教育教學系統(tǒng)、財務管理等重要信息系統(tǒng)以及其他重要信息系統(tǒng)。

三、組織領導

（一）工作分工。定級工作由電教組牽頭，會同學校辦公室、安全保衛(wèi)處等共同組織實施。

學校辦公室負責定級工作的部門間協(xié)調。

安全保衛(wèi)處負責定級工作的監(jiān)督。

電教組負責定級工作的檢查、指導、評審。

各部門依據(jù)《信息安全等級保護管理辦法》和本方案要求，開展信息系統(tǒng)自評工作。

（二）協(xié)調領導機制。

1、成立領導小組，校長任組長，副校長任副組長、各部門負責人為成員，負責我校信息安全等級保護工作的領導、協(xié)調工作。督促各部門按照總體方案落實工作任務和責任，對等級保護工作整體推進情況進行檢查監(jiān)督，指導安全保密方案制定。

2、成立由電教組牽頭的工作機構，主要職責：在領導小組的領導下，切實抓好我校定級保護工作的日常工作。做好組織各信息系統(tǒng)運營使用部門參加信息系統(tǒng)安全等級保護定級相關會議；組織開展政策和技術培訓，掌握定級工作規(guī)范和技術要求，為定級工作打好基礎；全面掌握學校各部門定級保護工作的進展情況和存在的問題，對存在的問題及時協(xié)調解決，形成定級工作總結并按時上報領導小組。

3、成立由赴省參加過計算機培訓的教師組成的評審組，主要負責：一是為我校信息與網(wǎng)絡安全提供技術支持與服務咨詢；二是參與信息安全等級保護定級評審工作；三是參與重要信息與網(wǎng)絡安全突發(fā)公共事件的分析研判和為領導決策提供依據(jù)。

四、主要內容、工作步驟

（一）開展信息系統(tǒng)基本情況的摸底調查。各部門要組織開展對所屬信息系統(tǒng)的摸底調查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務類型、應用或服務范圍、系統(tǒng)結構等基本情況，按照《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》的要求，確定定級對象。

（二）初步確定安全保護等級。各使用部門要按照《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》，初步確定定級對象的安全保護等級，起草定級報告。涉密信息系統(tǒng)的等級確定按照國家保密局的有關規(guī)定和標準執(zhí)行。

（三）評審。初步確定信息系統(tǒng)安全保護等級后，上報學校信息系統(tǒng)安全等級保護評審組進行評審。

（四）備案。根據(jù)《信息安全等級保護管理辦法》，信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)統(tǒng)一由電教組負責備案工作。

五、定級工作要求

（一）加強領導，落實保障。各部門要落實責任，并于12月15日前將《信息系統(tǒng)安全等級保護備案表》、《信息系統(tǒng)安全等級保護定級報告》上報九年制學校。

（二）加強培訓，嚴格定級。為切實落實評審工作，保證定級準確，備案及時，全面提高我?；A信息網(wǎng)絡和重要信息系統(tǒng)的信息安全保護能力和水平，保證定級工作順利進行，各部門要認真學習《信息安全等級保護管理辦法》、《文保處教育系統(tǒng)單位信息分級培訓材料》、《信息系統(tǒng)安全保護等級定級指南（國標）》、《信息系統(tǒng)安全等級保護基本要求（報批）》、《信息系統(tǒng)安全等級保護實施指南（報批）》等材料。

（三）積極配合、認真整改。各部門要認真按照評級要求，組織開展等級保護工作，切實做好重要信息系統(tǒng)的安全等級保護。

（四）自查自糾、完善制度。此次定級工作完成后，請各部門按照《信息安全等級保護管理辦法》和有關技術標準，依據(jù)系統(tǒng)所定保護等級的要求，定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查，并不斷完善安全管理制度，今后，若信息系統(tǒng)備案資料發(fā)生變化，應及時進行變更備案

第五篇：關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知

附件二：

中華人民共和國公安部 國

家

保

密

局

國家密碼管理局 國務院信息化工作辦公室

關于開展全國重要信息系統(tǒng)安全等級保護

定級工作的通知

公信安[2007]861號

各省、自治區(qū)、直轄市公安廳（局）、保密局、國家密碼管理局（國家密碼管理委員會辦公室）、信息化領導小組辦公室，新疆生產(chǎn)建設兵團公安局、保密局、國家密碼管理局、信息化領導小組辦公室，中央和國家機關各部委保密委員會辦公室、密碼工作領導小組辦公室、信息化領導小組辦公室，各人民團體保密委員會辦公室：

為進一步貫徹落實《國家信息化領導小組關于加強信息安全保障工作的意見》和公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室《關于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》（以下簡稱《管理辦法》）精神，提高我國基礎信息網(wǎng)絡和重要信息系統(tǒng)的信息安全保護能力和水平，根據(jù)國家網(wǎng)絡與信息安全協(xié)調小組2007年的工作部署，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室定于2007年7月至10月在全國范圍內組織開展重要信息系統(tǒng)安全等級保護定級工作（以下簡稱“定級工作”）?，F(xiàn)就有關事項通知如下：

一、定級范圍

（一）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎信息網(wǎng)絡，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務單位、互聯(lián)網(wǎng)接入服務單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。

（二）鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調度、管理、辦公等重要信息系統(tǒng)。

（三）市（地）級以上黨政機關的重要網(wǎng)站和辦公信息系統(tǒng)。

（四）涉及國家秘密的信息系統(tǒng)（以下簡稱“涉密信息系統(tǒng)”）。

二、定級工作的主要內容

（一）開展信息系統(tǒng)基本情況的摸底調查。各行業(yè)主管部門、運營使用單位要組織開展對所屬信息系統(tǒng)的摸底調查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務類型、應用或服務范圍、系統(tǒng)結構等基本情況，按照《管理辦法》和《信息系統(tǒng)安全等級保護定級指南》的要求，確定定級對象。各行業(yè)主管部門要根據(jù)行業(yè)特點提出指導本地區(qū)、本行業(yè)定級工作的具體意見。

（二）初步確定安全保護等級。各信息系統(tǒng)主管部門和運營使用單位要按照《管理辦法》和《信息系統(tǒng)安全等級保護定級指南》，初步確定定級對象的安全保護等級，起草定級報告（報告模版見附件1）?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。涉密信息系統(tǒng)的等級確定按照國家保密局的有關規(guī)定和標準執(zhí)行。

（三）評審與審批。初步確定信息系統(tǒng)安全保護等級后，可以聘請專家進行評審。對擬確定為第四級以上信息系統(tǒng)的，由運營使用單位或主管部門請國家信息安全保護等級專家評審委員會評審。運營使用單位或主管部門參照評審意見最后確定信息系統(tǒng)安全保護等級，形成定級報告。當專家評審意見與信息系統(tǒng)運營使用單位或其主管部門意見不一致時，由運營使用單位或主管部門自主決定信息系統(tǒng)安全保護等級。信息系統(tǒng)運營使用單位有上級行業(yè)主管部門的，所確定的信息系統(tǒng)安全保護等級應當報經(jīng)上級行業(yè)主管部門審批同意。

（四）備案。根據(jù)《管理辦法》，信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)運營使用單位或主管部門到公安部網(wǎng)站下載《信息系統(tǒng)安全等級保護備案表》（見附件2）和輔助備案工具，持填寫的備案表和利用輔助備案工具生成的備案電子數(shù)據(jù)，到公安機關辦理備案手續(xù)，提交有關備案材料及電子數(shù)據(jù)文件。其中，第二級信息系統(tǒng)的備案單位只需填寫備案表中的表

一、表二和表三，第三級以上信息系統(tǒng)的備案單位還應當同時提交備案表表四所列各項內容的書面材料。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng)，向當?shù)卦O區(qū)的市級以上公安機關備案。

涉密信息系統(tǒng)建設使用單位依據(jù)《管理辦法》和國家保密局的有關規(guī)定，填寫《涉及國家秘密的信息系統(tǒng)分級保護備案表》（見附件3），按照屬地化管理原則，中央和國家機關單位的涉密信息系統(tǒng)向國家保密局備案；地方單位的涉密信息系統(tǒng)向所在地的市（地）級以上保密工作部門備案；中央和國家機關地方所屬單位的涉密信息系統(tǒng)，向所在地的省級保密工作部門備案。

（五）備案管理。公安機關和國家保密工作部門負責受理備案并進行備案管理。信息系統(tǒng)備案后，公安機關應當對信息系統(tǒng)的備案情況進行審核，對符合等級保護要求的，頒發(fā)信息系統(tǒng)安全保護等級備案證明。發(fā)現(xiàn)不符合《管理辦法》及有關標準的，應當通知備案單位予以糾正。發(fā)現(xiàn)定級不準的，應當通知運營使用單位或其主管部門重新審核確定。各級保密工作部門加強對涉密信息系統(tǒng)定級工作的指導、監(jiān)督和檢查。

三、定級工作的要求

（一）加強領導，落實保障。各地區(qū)、各部門要加強對本地區(qū)、本行業(yè)信息安全等級保護工作的組織領導，及時掌握工作進展情況，并可組織成立專家組，明確技術支持力量。信息系統(tǒng)運營使用單位要成立等級保護工作組，落實責任部門、責任人員和經(jīng)費，保障定級工作順利進行。

（二）明確責任，密切配合。定級工作由各級公安機關牽頭，會同國家保密工作部門、國家密碼管理部門和信息化領導小組辦事機構共同組織實施。公安機關負責定級工作的監(jiān)督、檢查、指導；國家保密工作部門負責涉密系統(tǒng)定級工作的監(jiān)督、檢查、指導；國家密碼管理部門負責定級工作中有關密碼工作的監(jiān)督、檢查、指導；信息化領導小組辦事機構負責定級工作的部門間協(xié)調。各信息系統(tǒng)主管部門組織本行業(yè)、本部門信息系統(tǒng)運營使用單位開展定級工作，督促其落實定級工作各項任務。各信息系統(tǒng)運營使用單位依據(jù)《管理辦法》和本通知要求，具體實施定級工作。

（三）動員部署，開展培訓。各地區(qū)、各部門要按照統(tǒng)一部署廣泛進行宣傳動員，舉辦形式多樣的培訓班、研討班等，層層培訓。公安部會同國家保密局、國家密碼管理局、國務院信息化工作辦公室對國家有關部委、各省級公安、保密、密碼和信息化領導小組辦事機構就《管理辦法》和《信息系統(tǒng)安全等級保護定級指南》等內容進行培訓。信息系統(tǒng)主管部門對所管轄的信息系統(tǒng)運營使用單位進行培訓。各地參照上述培訓模式開展培訓工作。

（四）及時總結，提出建議。各地區(qū)、各部門要結合本地區(qū)、本行業(yè)開展定級工作的實際，認真總結經(jīng)驗和不足，提出改進和完善定級方法的意見和建議。各地區(qū)、各部門負責等級保護的領導機構要及時總結定級工作經(jīng)驗，形成定級工作總結報告，并及時報送公安部。涉密信息系統(tǒng)定級工作總結報告向國家保密局報送。

此次定級工作完成后，請各主管部門、運營使用單位按照《管理辦法》和有關技術標準，繼續(xù)開展信息系統(tǒng)安全等級保護的系統(tǒng)建設或整改、等級測評、自查自糾等后續(xù)工作，各級公安、保密、密碼管理部門要開展等級保護工作的監(jiān)督、檢查和指導。

執(zhí)行中有何問題，請及時報告。

公安部聯(lián)系人郭啟全，聯(lián)系電話：010-66261745 國家保密局聯(lián)系人魏力，聯(lián)系電話：010-83086085 國家密碼管理局聯(lián)系人王家瑋，聯(lián)系電話：010-83084734 國務院信息辦聯(lián)系人李強，聯(lián)系電話：010-83083664 公安部網(wǎng)址：004km.cn(互聯(lián)網(wǎng))；

ftp://10.1.185.68（公安網(wǎng)）。技術咨詢電話：010—88530013、88530015。

附件：

1、《信息系統(tǒng)安全等級保護定級報告》模版

2、《信息系統(tǒng)安全等級保護備案表》

3、《涉及國家秘密的信息系統(tǒng)分級保護備案表》

公 安 部

國家保密局

國家密碼管理局

國務院信息化工作辦公室

二〇〇七年七月十六日

附件一：《信息系統(tǒng)安全等級保護定級報告》模版

《信息系統(tǒng)安全等級保護定級報告》

一、XXX信息系統(tǒng)描述

簡述確定該系統(tǒng)為定級對象的理由。從三方面進行說明：一是描述承擔信息系統(tǒng)安全責任的相關單位或部門，說明本單位或部門對信息系統(tǒng)具有信息安全保護責任，該信息系統(tǒng)為本單位或部門的定級對象；二是該定級對象是否具有信息系統(tǒng)的基本要素，描述基本要素、系統(tǒng)網(wǎng)絡結構、系統(tǒng)邊界和邊界設備；三是該定級對象是否承載著單一或相對獨立的業(yè)務，業(yè)務情況描述。

二、XXX信息系統(tǒng)安全保護等級確定（定級方法參見國家標準《信息系統(tǒng)安全等級保護定級指南》）

（一）業(yè)務信息安全保護等級的確定

1、業(yè)務信息描述

描述信息系統(tǒng)處理的主要業(yè)務信息等。

2、業(yè)務信息受到破壞時所侵害客體的確定

說明信息受到破壞時侵害的客體是什么，即對三個客體（國家安全；社會秩序和公眾利益；公民、法人和其他組織的合法權益）中的哪些客體造成侵害。

3、信息受到破壞后對侵害客體的侵害程度的確定 說明信息受到破壞后，會對侵害客體造成什么程度的侵害，即說明是一般損害、嚴重損害還是特別嚴重損害。

4、業(yè)務信息安全等級的確定

依據(jù)信息受到破壞時所侵害的客體以及侵害程度，確定業(yè)務信息安全等級。

（二）系統(tǒng)服務安全保護等級的確定

1、系統(tǒng)服務描述

描述信息系統(tǒng)的服務范圍、服務對象等。

2、系統(tǒng)服務受到破壞時所侵害客體的確定

說明系統(tǒng)服務受到破壞時侵害的客體是什么，即對三個客體（國家安全；社會秩序和公眾利益；公民、法人和其他組織的合法權益）中的哪些客體造成侵害。

3、系統(tǒng)服務受到破壞后對侵害客體的侵害程度的確定 說明系統(tǒng)服務受到破壞后，會對侵害客體造成什么程度的侵害，即說明是一般損害、嚴重損害還是特別嚴重損害。

4、系統(tǒng)服務安全等級的確定

依據(jù)系統(tǒng)服務受到破壞時所侵害的客體以及侵害程度確定系統(tǒng)服務安全等級。

（三）安全保護等級的確定 信息系統(tǒng)的安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全等級較高者決定，最終確定XXX系統(tǒng)安全保護等級為第幾級。

信息系統(tǒng)名稱 XXX信息系統(tǒng) 安全保護等級

X

業(yè)務信息安全等級

X

系統(tǒng)服務安全等級

X