關(guān)于印送《關(guān)于開展信息安全等級保護
安全建設(shè)整改工作的指導(dǎo)意見》的函

公信安[2009]1429號

中央和國家機關(guān)各部委，國務(wù)院各直屬機構(gòu)、辦事機構(gòu)、事業(yè)單位：

    為進一步貫徹落實國家信息安全等級保護制度，指導(dǎo)各地區(qū)、各部門在信息安全等級保護定級工作基礎(chǔ)上，深入開展信息安全等級保護安全建設(shè)整改工作，我部制定了《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見》?，F(xiàn)印送給你們，請在實際工作中參照。

    二〇〇九年十月二十七日

關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見

    為進一步貫徹落實《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》和《關(guān)于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》（以下簡稱《管理辦法》）精神，指導(dǎo)各部門在信息安全等級保護定級工作基礎(chǔ)上，開展已定級信息系統(tǒng)（不包括涉及國家秘密信息系統(tǒng)）安全建設(shè)整改工作，特提出如下意見：

    一、明確工作目標(biāo)

    依據(jù)信息安全等級保護有關(guān)政策和標(biāo)準(zhǔn)，通過組織開展信息安全等級保護安全管理制度建設(shè)、技術(shù)措施建設(shè)和等級測評，落實等級保護制度的各項要求，使信息系統(tǒng)安全管理水平明顯提高，安全防范能力明顯增強，安全隱患和安全事故明顯減少，有效保障信息化健康發(fā)展，維護國家安全、社會秩序和公共利益，力爭在2012年底前完成已定級信息系統(tǒng)安全建設(shè)整改工作。

    二、細化工作內(nèi)容

    （一）開展信息安全等級保護安全管理制度建設(shè)，提高信息系統(tǒng)安全管理水平。按照《管理辦法》、《信息系統(tǒng)安全等級保護基本要求》，參照《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)安全工程管理要求》等標(biāo)準(zhǔn)規(guī)范要求，建立健全并落實符合相應(yīng)等級要求的安全管理制度：一是信息安全責(zé)任制，明確信息安全工作的主管領(lǐng)導(dǎo)、責(zé)任部門、人員及有關(guān)崗位的信息安全責(zé)任；二是人員安全管理制度，明確人員錄用、離崗、考核、教育培訓(xùn)等管理內(nèi)容；三是系統(tǒng)建設(shè)管理制度，明確系統(tǒng)定級備案、方案設(shè)計、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務(wù)等管理內(nèi)容；四是系統(tǒng)運維管理制度，明確機房環(huán)境安全、存儲介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、網(wǎng)絡(luò)安全、系統(tǒng)安全、惡意代碼防范、密碼保護、備份與恢復(fù)、事件處置、應(yīng)急預(yù)案等管理內(nèi)容。建立并落實監(jiān)督檢查機制，定期對各項制度的落實情況進行自查和監(jiān)督檢查。

    （二）開展信息安全等級保護安全技術(shù)措施建設(shè)，提高信息系統(tǒng)安全保護能力。按照《管理辦法》、《信息系統(tǒng)安全等級保護基本要求》，參照《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)通用安全技術(shù)要求》、《信息系統(tǒng)安全工程管理要求》、《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》等標(biāo)準(zhǔn)規(guī)范要求，結(jié)合行業(yè)特點和安全需求，制定符合相應(yīng)等級要求的信息系統(tǒng)安全技術(shù)建設(shè)整改方案，開展信息安全等級保護安全技術(shù)措施建設(shè)，落實相應(yīng)的物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護技術(shù)措施，建立并完善信息系統(tǒng)綜合防護體系，提高信息系統(tǒng)的安全防護能力和水平。

    （三）開展信息系統(tǒng)安全等級測評，使信息系統(tǒng)安全保護狀況逐步達到等級保護要求。選擇由省級（含）以上信息安全等級保護工作協(xié)調(diào)小組辦公室審核并備案的測評機構(gòu)，對第三級（含）以上信息系統(tǒng)開展等級測評工作。等級測評機構(gòu)依據(jù)《信息系統(tǒng)安全等級保護測評要求》等標(biāo)準(zhǔn)對信息系統(tǒng)進行測評，對照相應(yīng)等級安全保護要求進行差距分析，排查系統(tǒng)安全漏洞和隱患并分析其風(fēng)險，提出改進建議，按照公安部制訂的信息系統(tǒng)安全等級測評報告格式編制等級測評報告。經(jīng)測評未達到安全保護要求的，要根據(jù)測評報告中的改進建議，制定整改方案并進一步進行整改。各部門要及時向受理備案的公安機關(guān)提交等級測評報告。對于重要部門的第二級信息系統(tǒng)，可以參照上述要求開展等級測評工作。

    三、落實工作要求

    （一）統(tǒng)一組織，加強領(lǐng)導(dǎo)。要按照“誰主管、誰負責(zé)”的原則，切實加強對信息安全等級保護安全建設(shè)整改工作的組織領(lǐng)導(dǎo)，完善工作機制。要結(jié)合各自實際，統(tǒng)一規(guī)劃和部署安全建設(shè)整改工作，制定安全建設(shè)整改工作實施方案。要落實責(zé)任部門、責(zé)任人員和安全建設(shè)整改經(jīng)費。要利用多種形式，組織開展宣傳、培訓(xùn)工作。

    （二）循序漸進，分步實施。信息系統(tǒng)主管部門可以結(jié)合本行業(yè)、本部門信息系統(tǒng)數(shù)量、等級、規(guī)模等實際情況，按照自上而下或先重點后一般的順序開展。重點行業(yè)、部門可以根據(jù)需要和實際情況，選擇有代表性的第二、三、四級信息系統(tǒng)先進行安全建設(shè)整改和等級測評工作試點、示范，在總結(jié)經(jīng)驗的基礎(chǔ)上全面推開。

    （三）結(jié)合實際，制定規(guī)范。重點行業(yè)信息系統(tǒng)主管部門可以按照《信息系統(tǒng)安全等級保護基本要求》等國家標(biāo)準(zhǔn)，結(jié)合行業(yè)特點，確定《信息系統(tǒng)安全等級保護基本要求》的具體指標(biāo)；在不低于等級保護基本要求的情況下，結(jié)合系統(tǒng)安全保護的特殊需求，在有關(guān)部門指導(dǎo)下制定行業(yè)標(biāo)準(zhǔn)規(guī)范或細則，指導(dǎo)本行業(yè)信息系統(tǒng)安全建設(shè)整改工作。

    （四）認真總結(jié)，按時報送。自2009年起，要對定級備案、等級測評、安全建設(shè)整改和自查等工作開展情況進行年度總結(jié)，于每年年底前報同級公安機關(guān)網(wǎng)安部門，各?。ㄗ灾螀^(qū)、直轄市）公安機關(guān)網(wǎng)安部門報公安部網(wǎng)絡(luò)安全保衛(wèi)局。信息系統(tǒng)備案單位每半年要填寫《信息安全等級保護安全建設(shè)整改工作情況統(tǒng)計表》并報受理備案的公安機關(guān)。

    附件：1、《信息安全等級保護安全建設(shè)整改工作情況統(tǒng)計表》

    2、《信息安全等級保護安全建設(shè)整改工作指南》