2014浙江省信息安全等级保护工作实施方案.docVIP

浙江省信息安全等级保护工作实施方案 为贯彻落实国家信息化领导小组《关于加强信息安全保障工作的意见》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》以及《浙江省信息安全等级保护管理办法》，根据国家信息安全等级保护工作协调小组的部署，结合我省实际，制订本方案。 一、指导思想 以中央和省委、省政府有关加强信息安全保障工作的意见为指导，通过全面推行信息安全等级保护工作，提高我省信息安全的保障能力和防护水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设的健康发展。 二、工作目标 通过实行等级保护工作，使基础信息网络和重要信息系统的核心要害部位得到有效保护，涉及国家安全、社会稳定和公共利益的基础信息网络和重要信息系统的保护状况有较大改善。 通过全面推行信息安全等级保护制度，逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节，使我省信息安全保障状况得到基本改善。 通过加强和规范信息安全等级保护管理，不断提高我省信息安全保障能力，为维护信息网络的安全稳定，促进信息化发展服务。 三、组织管理 为加强信息安全等级保护工作的领导，成立由省公安厅牵头，省保密局、省国家密码管理局和省信息办等有关部门参加的浙江省信息安全等级保护工作协调小组，负责我省信息安全等级保护工作的组织协调，并下设办公室在省公安厅。设区市的公安机关、保密部门、密码管理部门和信息化行政主管部门也要联合成立由公安机关牵头的信息安全等级保护工作协调小组，建立相应办事机构，负责本地信息安全等级保护工作。 信息系统的建设、运营、使用单位应成立由主管领导参加的信息安全等级保护工作领导小组，并确定职能部门负责本系统、本单位的信息安全等级保护工作。 省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组，并分别负责对涉及全省和全市的基础信息网络和重要信息系统的信息安全保护等级进行审定。 为保证信息安全等级测评工作正常、有效开展，成立由省公安厅牵头，省保密局、省国家密码管理局、省信息办和省国家安全厅等单位有关专家参加的测评机构审查小组，对在我省基础信息网络和重要信息系统中开展测评工作的测评机构及其主要业务、技术人员的资质，以及安全保密测评资格进行专门审查，审查后公布推荐目录，供我省基础信息网络和重要信息系统使用单位选择使用。 四、工作内容 （一）系统定级 信息系统运营、使用单位应按照国家有关规定，确定信息系统的安全保护等级，有主管部门的，应当经主管部门审核批准。系统涉及国家秘密的部分，应当按照《涉密信息系统分级保护管理办法》(国保发[2005]16号)和《涉及国家秘密的信息系统分级保护技术要求》（国家保密标准BMBl7-2006）确定信息系统的安全保护等级。跨市或者全省统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 （二）定级评审 属于基础信息网络和重要信息的系统运营、使用单位初步确定安全保护等级后，应聘请省或市信息系统保护等级专家评审组的专家进行评审。对拟确定为第四级、第五级信息系统的，运营、使用单位或主管部门应经省信息化行政主管部门初审后，请国家信息安全等级保护专家评审委员会评审。其它定级评审，依照《浙江省信息安全等级评审实施细则》执行。 （三）系统备案 安全保护等级为二级以上的信息系统，其运营、使用单位需在等级确定后的三十天内，向设区的市级以上公安机关备案。安全保护等级为五级的，由国家指定的专门部门进行备案。系统涉及国家秘密的，向设区的市级以上保密工作部门备案。系统中使用密码设备的，密码设备要向设区的市级密码管理部门备案。 省公安厅负责安全保护等级确定为第二级以上的省级基础信息网络、省级重要领域信息系统、跨设区市联网运行的信息系统，及安全保护等级为四级的信息系统备案，其余需要备案的系统由其运营、使用单位到设区市公安机关备案。办理备案手续时，应提交《信息系统安全等级保护备案表》，安全保护等级为三级以上的应同时提供备案表所列的“系统拓扑结构及说明”等备案材料，并可利用辅助备案工具软件生成备案电子数据一并向公安机关提交。《信息系统安全等级保护备案表》和辅助备案工具软件可在省公安厅门户网站下载。 信息系统备案后，公安机关应当对信息系统的备案情况进行审核，发现不符合国家有关规定、标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新确定。信息系统运营、使用单位重新确定信息系统安全等级后，应向公安机关重新备案。 （四）等级测评、整改 信息系统运营、使用单位在进行信息系统备案后