浙江省信息安全等级保护工作实施方案

省信息安全等级保护工作实施方案

为贯彻落实国家信息化领导小组《关于加强信息安全保障工作的意见》和公安部、国家局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》以及《省信息安全等级保护管理办法》，根据国家信息安全等级保护工作协调小组的部署，结合我省实际，制订本方案。

一、指导思想

以中央和省委、省政府有关加强信息安全保障工作的意见为指导，通过全面推行信息安全等级保护工作，提高我省信息安全的保障能力和防护水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设的健康发展。

二、工作目标

通过实行等级保护工作，使基础信息网络和重要信息系统的核心要害部位得到有效保护，涉及国家安全、社会稳定和公共利益的基础信息网络和重要信息系统的保护状况有较大改善。

通过全面推行信息安全等级保护制度，逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节，使我省信息安全保障状况得到基本改善。

通过加强和规信息安全等级保护管理，不断提高我省信息安全保障能力，为维护信息网络的安全稳定，促进信息化发展服务。

三、组织管理

为加强信息安全等级保护工作的领导，成立由省公安厅牵头，省局、省国家密码管理局和省信息办等有关部门参加的省信息安全等级保护工作协调小组，负责我省信息安全等级保护工作的组织协调，并下设办公室在省公安厅。设区市的公安机关、部门、密码管理部门和信息化行政主管部门也要联合成立由公安机关牵头的信息安全等级保护工作协调小组，建立相应办事机构，负责本地信息安全等级保护工作。

信息系统的建设、运营、使用单位应成立由主管领导参加的信息安全等级保护工作领导小组，并确定职能部门负责本系统、本单位的信息安全等级保护工作。

省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组，并分别负责对涉及全省和全市的基础信息网络和重要信息系统的信息安全保护等级进行审定。

为保证信息安全等级测评工作正常、有效开展，成立由省公安厅牵头，省局、省国家密码管理局、省信息办和省国家安全厅等单位有关专家参加的测评机构审查小组，对在我省基础信息网络和重要信息系统中开展测评工作的测评机构及其主要业务、技术人员的资质，以及安全测评资格进行专门审查，审查后公布推荐目录，供我省基础信息网络和重要信息系统使用单位选择使用。

四、工作容

（一）系统定级

信息系统运营、使用单位应按照国家有关规定，确定信

息系统的安全保护等级，有主管部门的，应当经主管部门审核批准。系统涉及国家秘密的部分，应当按照《涉密信息系统分级保护管理办法》(国保发[2005]16号)和《涉及国家秘密的信息系统分级保护技术要求》（国家标准BMBl7-2006）确定信息系统的安全保护等级。跨市或者全省统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

（二）定级评审

属于基础信息网络和重要信息的系统运营、使用单位初步确定安全保护等级后，应聘请省或市信息系统保护等级专家评审组的专家进行评审。对拟确定为第四级、第五级信息系统的，运营、使用单位或主管部门应经省信息化行政主管部门初审后，请国家信息安全等级保护专家评审委员会评审。其它定级评审，依照《省信息安全等级评审实施细则》执行。

（三）系统备案

安全保护等级为二级以上的信息系统，其运营、使用单位需在等级确定后的三十天，向设区的市级以上公安机关备案。安全保护等级为五级的，由国家指定的专门部门进行备案。系统涉及国家秘密的，向设区的市级以上工作部门备案。系统中使用密码设备的，密码设备要向设区的市级密码管理部门备案。

省公安厅负责安全保护等级确定为第二级以上的省级基础信息网络、省级重要领域信息系统、跨设区市联网运行的信息系统，及安全保护等级为四级的信息系统备案，其余需要备案的系统由其运营、使用单位到设区市公安机关备

案。办理备案手续时，应提交《信息系统安全等级保护备案表》，安全保护等级为三级以上的应同时提供备案表所列的“系统拓扑结构及说明”等备案材料，并可利用辅助备案工具软件生成备案电子数据一并向公安机关提交。《信息系统安全等级保护备案表》和辅助备案工具软件可在省公安厅门户下载。

信息系统备案后，公安机关应当对信息系统的备案情况进行审核，发现不符合国家有关规定、标准的，应当在收到备案材料之日起的10个工作日通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日通知备案单位重新确定。信息系统运营、使用单位重新确定信息系统安全等级后，应向公安机关重新备案。

（四）等级测评、整改

信息系统运营、使用单位在进行信息系统备案后，应当选择测评机构进行安全测评。测评机构依据《信息系统安全等级保护测评要求》等技术标准，对信息系统安全等级状况开展测评，给出相应的系统安全检测评估报告。经测评信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改，以符合安全保护等级要求。对符合等级保护要求的，公安机关应当颁发信息系统安全等级保护备案证明。安全保护等级为五级的信息系统，由国家指定的专门部门进行测评和整改。

（五）安全管理、建设

信息系统运营、使用单位应根据国家有关规定和技术标准，建立信息安全等级保护管理制度，落实安全保护责任。

具体包括制定信息安全事件等级响应和处置制度；信息安全等级保护系统建设、运行维护制度；信息系统安全检测和风险评估制度；安全教育和培训制度等。根据检测评估报告中反映出的安全问题，要按照《信息系统安全等级保护基本要求》和风险评估有关标准，确定系统安全需求，制定系统总体安全策略和相关制度，细化符合安全等级保护要求的系统安全技术框架和安全管理框架方案，明确安全建设计划，并全面组织实施。

同时，基础信息网络和重要信息系统的运营、使用单位，应当按照国家有关技术规和标准，每年对系统的信息安全状况进行一次全面的测评或者自查。第四级信息系统应当每半年至少进行一次测评或者自查，第五级信息系统应当依据特殊安全需求进行测评或者自查。经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位要进行整改，直至达到安全保护等级要求。

五、监督管理

根据信息安全等级保护工作的职责分工，公安机关负责信息安全等级保护工作的总体监督、检查、指导。工作部门负责信息安全等级保护工作中有关工作的监督、检查、指导。密码管理部门负责信息安全等级保护工作中有关密码工作的监督、检查、指导。信息化行政主管部门负责信息安全等级保护工作的部门间协调。

公安机关要对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一