关于2012年推动信息安全等级保护有关问题的通知

 

粤等保办 [2012]8号

 

 

省直和中央驻粤有关单位 ,各地级以上市信息安全等级保护协调小组：

 

根据全国统一部署，我省各级有关部门大力推动信息安全等级保护定级、备案和测评、整改工作，努力提升信息安全保护水平，取得了较好成效。其中，广东电网基本完成定级、备案、测评和整改，并建立了常态化的信息安全工作机制。还创新思路，组织研发电力生产业务系统升级、扩容、事故分析仿真系统以及等级保护综合管理平台，为工业控制系统的信息安全等级保护提供了借鉴。我省信息安全等级保护虽然取得一定成效，但也存在一些问题。部分单位重应用、轻管理，对等级保护工作的重视性认识不够，投入不足。各行业和各地市由于信息化程度、经济发展水平、思想认识不一，推动信息安全等级保护的情况不均衡。不少单位仍然未将信息安全等级保护纳入信息化流程，信息化与信息安全等级保护“两张皮”的情况仍然存在。为进一步推动我省信息安全等级保护工作，提升信息安全防护水平，为党的十八大营造安全和谐的网络环境，现就有关问题通知如下：

一、进一步增强对信息安全等级保护的认识。去年以来，国内连续发生大型网站数据泄露等安全事件。今年，随着党的十八大的临近，信息安全形势越来越严峻。各级有关部门要充分认识信息安全等级保护对保障国家关键基础设施正常运行，提升人民群众用网安全感，促进信息化深入发展的重要意义。近年，国资委、教育、广电、卫生、证券等主管部门先后发文专门部署，为信息安全等级保护推进提供了有力的指导。各行业主管部门和各单位要落实信息安全等级保护牵头部门，加强对本行业和本单位信息系统等级保护工作的统筹协调和组织领导。公安、保密、密码管理、信息化等部门要加强本辖区内信息安全等级保护工作的监督和指导，健全各项工作机制，大力推动信息安全等级保护工作深入开展。

二、进一步推动信息安全等级保护各项工作。要针对信息安全等级保护工作中存在的工作进度慢、措施不落实、保障不到位等问题，采取有效措施，大力推动定级、备案、测评、整改等工作。 一是查漏补缺，全面完成定级备案。各单位要组织对本单位的信息系统定级备案情况进行全面清查，解决未定级、漏定级、定级不准、未备案的问题。公安机关要加强对定级工作的指导，对符合要求的要及时发放备案证书，不得拖延或附加审核条件。党政机关和涉密单位要依照分级保护要求，对在用、在建的信息系统进行一次定性定位检查，准确界定信息系统的定密定级。保密行政管理部门应监督指导涉密信息系统定级工作。 二是落实保障，全面开展测评整改。按照三级信息系统每年需开展一次测评，四级信息系统每半年一次的要求，选择省等保办推荐的 6家等级测评机构以三级、四级信息系统为重点开展系统测评工作，编制测评报告并报公安机关备案。针对测评中发现的安全问题，在7月底前落实整改措施，完善安全制度和安全技术措施。按照国家的统一部署，年内完成省直在用涉密信息系统的测评审批。涉密信息系统建设使用单位要积极配合做好相关工作。 三是强化检查，推动等级保护工作。公安、保密、密码管理、信息化等主管部门要会同行业主管部门按照三级信息系统需每年至少检查一次，四级信息系统每半年一次的要求，以三级以上信息系统为重点，加强监督检查，推动测评整改工作。广州、深圳公安局要发挥公共信息网络安全监测预警系统作用，加强对辖区内重要信息系统的监测，发现安全漏洞及时通报有关单位落实整改措施。

三、进一步健全信息安全等级保护长效体系。通过强化技术和机制支撑，实现项目流程管理、动态监测分析、指标考核评估、日常检查指导的规范化、常态化、智能化。

（一）健全信息安全项目管理流程。各市和各单位要抓好 2011年 6月8日省公安厅、国家保密局、经济和信息化委员会、财政厅、国有资产监督管理委员会联合发出《关于继续深化我省信息安全等级保护工作的通知》（粤公通字 [2011]124号）的落实，实现等级保护流程与信息化流程有机衔接，解决信息安全与信息化项目“两张皮”的问题，在应用系统立项、设计、建设、验收过程同步落实信息安全措施。

（二）健全信息安全监测分析体系。各单位要加强对安全事件、安全漏洞的监测，提升对网络攻击、木马感染、安全隐患的防范预警能力。要加强对特种木马监测和检查，防范网络窃密事件发生。各级有关单位要加强本辖区、本行业、本单位重要信息系统安全保护状况、安全事件和问题的汇总和综合分析，为各级领导开展信息安全决策提供支持。

（三）健全信息安全等级保护考评。近年来，深圳市将信息安全工作纳入政府绩效考核指标，对提升辖区信息安全保护水平起到了积极的推动作用。省有关部门也正在制定有关指标考核标准。各市和各单位要积极借鉴深圳市经验，健全考核机制，采取自评、专家评、主管部门评相结合的方法，加强对信息安全等级保护的组织部署、工作保障、项目管理、安全保护状况的评估。

（四）健全信息安全监管支撑平台。我办组织社会力量研发成功网络安全监管平台，为有关部门与重要信息系统运营使用单位、安全服务机构开展多方沟通交流、检查指导、数据传输、考核评估提供了直接通道，有助于实现信息安全等级保护、测评机构、安全服务机构管理的一体化、程序化、规范化。该平台计划于今年为公安、保密、密码管理、信息化等主管部门以及行业主管部门、信息系统运营使用单位开通，请各单位加强培训，积极应用。

四、进一步加强信息安全支撑力量管理扶持。信息系统安全等级保护是一项社会系统工程，需要等保测评、安全服务、人员培训等方面的支持。要加强行业监管，杜绝不正当竞争，营造公正竞争、诚信服务的环境。信息化、科技、发改、财政、金融、公安等部门要加大政策、资金、项目扶持力度，走出一条以信息安全产业推动信息化健康发展的道路。

工作中有何问题请及时上报上级有关部门。

 

广东省信息安全等级保护协调小组办公室

                二�一二年四月一日    

来源：广东网警网