各省�、自治區(qū)、直轄市�、新疆生產(chǎn)建設(shè)兵團交通運輸廳(局、委)�,天津市市政公路管理局,天津市�、上海市交通運輸和港口管理局,部屬各單位�,部內(nèi)各單位:
貫徹落實《中華人民共和國計算機信息系統(tǒng)安全保護條例》和《信息安全等級保護管理辦法》等法規(guī)要求,做好交通運輸行業(yè)信息安全等級保護�,對于提升行業(yè)信息安全防護能力和水平,維護公共利益�、社會秩序和國家安全具有重要作用。為進一步加強交通運輸行業(yè)信息安全等級保護工作�,按照公安部《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》(公信安〔2007〕861號)和《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見》(公信安〔2009〕1429號)等文件要求�,結(jié)合交通運輸行業(yè)實際�,現(xiàn)就開展信息安全等級保護有關(guān)事宜通知如下:
一、指導(dǎo)思想
深入貫徹落實科學(xué)發(fā)展觀�,遵照國家有關(guān)信息安全等級保護政策規(guī)定和技術(shù)標(biāo)準(zhǔn)規(guī)范,緊密結(jié)合交通運輸行業(yè)信息化發(fā)展實際�,按照準(zhǔn)確定級、科學(xué)評估�、統(tǒng)籌考慮、突出重點�、注重實效、完善機制的原則�,推進交通運輸行業(yè)信息系統(tǒng)等級保護體系建設(shè),完善信息安全管理制度�,建立健全信息安全防控技術(shù)措施和手段,切實提高信息系統(tǒng)安全保護能力�,保障和促進交通運輸行業(yè)信息化科學(xué)健康有序發(fā)展。
二�、總體目標(biāo)
到2015年底前,基本建立交通運輸行業(yè)信息安全等級保護常態(tài)化運行和監(jiān)督檢查機制�,完善管理制度和技防手段,切實提高交通運輸行業(yè)信息安全防護能力�、隱患發(fā)現(xiàn)能力、應(yīng)急處置能力�,為交通運輸行業(yè)信息化健康發(fā)展提供可靠保障。主要是:完成安全保護等級為第二級以上(含第二級)的已運營(運行)信息系統(tǒng)的定級備案�、安全建設(shè)整改和測評�;新建�、擴建、升級改造的信息系統(tǒng)在規(guī)劃建設(shè)階段同步開展信息系統(tǒng)定級�、備案、安全建設(shè)及測評�;完善行業(yè)信息安全等級保護政策標(biāo)準(zhǔn)體系,建立行業(yè)信息安全等級保護工作情況動態(tài)報送和監(jiān)督檢查機制�。
三、主要依據(jù)
?。ㄒ唬吨腥A人民共和國計算機信息系統(tǒng)安全保護條例》(國務(wù)院147號令);
?。ǘ蛾P(guān)于信息安全等級保護工作的實施意見》(公通字〔2004〕66號);
?。ㄈ缎畔踩燃壉Wo管理辦法》(公通字〔2007〕43號)�;
(四)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》(公通字〔2007〕861號)�;
(五)《信息安全等級保護備案實施細(xì)則》(公信安〔2007〕1360號)�;
(六)《關(guān)于開展信息系統(tǒng)等級保護安全建設(shè)整改工作的指導(dǎo)意見》(公信安〔2009〕1429號)�;
(七)《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》(發(fā)改高技〔2008〕2071號)�;
(八)《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》(GB17859)�;
?。ň牛缎畔踩夹g(shù)信息系統(tǒng)安全等級保護定級指南》(GB/T22240-2008)�;
(十)《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》(GB/T25058-2010)�;
(十一)《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》(GB/T22239-2008)�。
以上政策文件和標(biāo)準(zhǔn)規(guī)范均可從中國信息安全等級保護網(wǎng)(https://www.djbh.net)查詢下載。
四�、主要任務(wù)及工作安排
(一)信息系統(tǒng)摸底調(diào)查�。
組織開展對本單位信息系統(tǒng)的摸底調(diào)查,全面掌握信息系統(tǒng)的數(shù)量�、分布、業(yè)務(wù)類型�、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況�,確定定級對象。
2012年7月底前�,各單位應(yīng)完成信息系統(tǒng)情況摸底調(diào)查,并填寫《信息系統(tǒng)信息安全等級保護情況統(tǒng)計表》(見附件)�,蓋章后報部科技司。已經(jīng)完成定級備案手續(xù)的系統(tǒng)�,應(yīng)將該系統(tǒng)《信息系統(tǒng)安全等級保護備案表》和公安機關(guān)出具的《信息系統(tǒng)安全等級保護備案證明》報部科技司。
?。ǘ┬畔⑾到y(tǒng)定級備案。
按照《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》�,認(rèn)真分析信息系統(tǒng)業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全�,科學(xué)準(zhǔn)確開展系統(tǒng)的定級�。已運營(運行)、但尚未定級的重要信息系統(tǒng)要進行補充定級�,新建、擴建和升級改造信息系統(tǒng)在規(guī)劃設(shè)計階段要同步完成系統(tǒng)定級工作�。
對于安全保護等級為二級(含第二級)的系統(tǒng),各單位應(yīng)按照《信息安全等級保護備案實施細(xì)則》要求�,到相應(yīng)公安機關(guān)備案。
2012年9月底前�,各單位要開展已運營(運行)和新建、擴建�、升級改造的信息系統(tǒng)的定級,并履行備案手續(xù)�,定級備案結(jié)果同時報部科技司。
?。ㄈ┑燃壉Wo安全建設(shè)整改。
各單位應(yīng)對照《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》等標(biāo)準(zhǔn)規(guī)范�,開展已建信息系統(tǒng)安全保護現(xiàn)狀評估�,分析查找存在的安全隱患和差距,制定信息系統(tǒng)安全等級保護建設(shè)整改方案并組織實施�。
新建、擴建和升級改造信息系統(tǒng)要在項目立項及規(guī)劃設(shè)計階段�,同步規(guī)劃等級保護總體設(shè)計方案,并在項目建設(shè)過程中同步完成信息安全等級保護建設(shè)工作�。信息系統(tǒng)正式運行后�,要繼續(xù)做好安全運行維護管理�,在制度、人員�、資金等方面給予保障,形成常態(tài)化的信息安全保障機制�。
2012年12月底前,完成第三級以上(含第三級)已定級信息系統(tǒng)的安全建設(shè)和整改工作�。2013年12月底,完成第二級以上(含第二級)已定級信息系統(tǒng)的安全建設(shè)和整改工作�。
(四)等級保護測評�。
系統(tǒng)建設(shè)整改工作完成后,應(yīng)當(dāng)按照《信息安全等級保護管理辦法》要求�,從全國信息安全等級保護測評機構(gòu)推薦目錄(見www.djbh.net)中選擇取得《信息安全等級保護測評機構(gòu)推薦證書》的測評機構(gòu),開展等級測評�。第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次等級測評;第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次等級測評�;第二級信息系統(tǒng)可參照第三級信息系統(tǒng)的要求進行等級測評。
?。ㄎ澹┑燃壉Wo工作監(jiān)督檢查。
各單位應(yīng)定期開展等級保護自查�,重點檢查信息安全責(zé)任落實情況、安全管理制度的落實情況�、重要信息系統(tǒng)的安全防護狀況、建設(shè)整改情況、信息安全等級測評情況�、檢查中發(fā)現(xiàn)問題整改情況,并編寫年度信息安全等級保護工作報告,于每年11月底前報部科技司�。
部信息化主管部門將組織建立信息安全等級保護聯(lián)絡(luò)員隊伍,定期組織開展信息安全等級保護工作督導(dǎo)檢查�。
五、職責(zé)分工
按照“誰主管�、誰負(fù)責(zé)”、“誰運維�、誰負(fù)責(zé)”的原則,信息系統(tǒng)的主管部門及運營�、使用單位按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行信息安全建設(shè)和管理。
部科技司負(fù)責(zé)交通運輸行業(yè)信息安全等級保護工作的指導(dǎo)�、監(jiān)督和檢查,組織研究制訂有關(guān)政策文件和標(biāo)準(zhǔn)規(guī)范�。
各地方交通運輸主管部門負(fù)責(zé)本地區(qū)交通運輸行業(yè)系統(tǒng)信息安全等級保護工作的組織實施和監(jiān)督檢查。
六�、工作要求
(一)加強領(lǐng)導(dǎo)�,明確責(zé)任。各單位要進一步提高對信息安全等級保護工作重要性和緊迫性的認(rèn)識�,切實加強對等級保護工作的組織領(lǐng)導(dǎo),確立安全管理機構(gòu)及其職責(zé)�,落實信息安全等級保護管理崗位和人員�,明確相關(guān)部門的安全責(zé)任,確保各項要求落實到位�。
?。ǘ┍U辖?jīng)費�,加強監(jiān)管。各單位要建立穩(wěn)定的信息安全等級保護經(jīng)費投入機制�,將信息安全等級保護建設(shè)整改、等級測評�、信息安全服務(wù)、技術(shù)培訓(xùn)等費用納入信息化建設(shè)經(jīng)費預(yù)算�,保障等級保護工作的有效開展,并加強對資金使用的監(jiān)管�。
(三)突出重點�,同步建設(shè)。各單位要根據(jù)自身實際情況�,對等級保護體系建設(shè)進行統(tǒng)籌規(guī)劃,找準(zhǔn)存在的薄弱環(huán)節(jié)和突出問題�,優(yōu)先抓好重要信息系統(tǒng)的測評整改建設(shè)。對新建�、擴建、升級改造的信息系統(tǒng)要確保等級保護措施的同步規(guī)劃�、同步設(shè)計和同步實施。
?。ㄋ模┘訌娕嘤?xùn),建設(shè)隊伍�。各單位要加強安全建設(shè)管理、安全運維和應(yīng)急保障隊伍建設(shè),積極組織開展相關(guān)人員進行安全管理政策制度和技術(shù)技能培訓(xùn)�,為信息安全等級保護工作開展提供有效的人員隊伍保障。
?。ㄎ澹﹨f(xié)調(diào)推進,強化監(jiān)督�。要注重等級保護工作的統(tǒng)籌協(xié)調(diào)推進,建立健全等級保護工作情況報送匯總�、督促檢查、工作交流機制�,組建行業(yè)信息安全聯(lián)絡(luò)員隊伍。部根據(jù)情況定期組織開展信息安全等級保護工作監(jiān)督檢查�。
附件:
信息系統(tǒng)信息安全等級保護情況統(tǒng)計表
中華人民共和國交通運輸部辦公廳(章)
二〇一二年五月二十一日
