公安部发布信息安全等级保护整改工作的指导意见

为进一步贯彻落实《国 家信息化领导小组关于 加强信息安全保障工作 的意见》和《关于信息 安全等级保护工作的实 施意见》、《信息安全 等级保护管理办法》（ 以下简称《管理办法》 ）精神，指导各部门在 信息安全等级保护定级 工作基础上，开展已定 级信息系统（不包括涉 及国家秘密信息系统） 安全建设整改工作，特 提出如下意见：

　　一、明确工作目标

　　依据信息安全等级 保护有关政策和标准， 通过组织开展信息安全 等级保护安全管理制度 建设、技术措施建设和 等级测评，落实等级保 护制度的各项要求，使 信息系统安全管理水平 明显提高，安全防范能 力明显增强，安全隐患 和安全事故明显减少， 有效保障信息化健康发 展，维护国家安全、社 会秩序和公共利益，力 争在2012年底前完 成已定级信息系统安全 建设整改工作。

　　二、细化工作内容

　　（一）开展信息安 全等级保护安全管理制 度建设，提高信息系统 安全管理水平。按照《 管理办法》、《信息系 统安全等级保护基本要 求》，参照《信息系统 安全管理要求》、《信 息系统安全工程管理要 求》等标准规范要求， 建立健全并落实符合相 应等级要求的安全管理 制度：一是信息安全责 任制，明确信息安全工 作的主管领导、责任部 门、人员及有关岗位的 信息安全责任；二是人 员安全管理制度，明确 人员录用、离岗、考核 、教育培训等管理内容 ；三是系统建设管理制 度，明确系统定级备案 、方案设计、产品采购 使用、密码使用、软件 开发、工程实施、验收 交付、等级测评、安全 服务等管理内容；四是 系统运维管理制度，明 确机房环境安全、存储 介质安全、设备设施安 全、安全监控、网络安 全、系统安全、恶意代 码防范、密码保护、备 份与恢复、事件处置、 应急预案等管理内容。 建立并落实监督检查机 制，定期对各项制度的 落实情况进行自查和监 督检查。

　　（二）开展信息安 全等级保护安全技术措 施建设，提高信息系统 安全保护能力。按照《 管理办法》、《信息系 统安全等级保护基本要 求》，参照《信息系统 安全等级保护实施指南 》、《信息系统通用安 全技术要求》、《信息 系统安全工程管理要求 》、《信息系统等级保 护安全设计技术要求》 等标准规范要求，结合 行业特点和安全需求， 制定符合相应等级要求 的信息系统安全技术建 设整改方案，开展信息 安全等级保护安全技术 措施建设，落实相应的 物理安全、网络安全、 主机安全、应用安全和 数据安全等安全保护技 术措施，建立并完善信 息系统综合防护体系， 提高信息系统的安全防 护能力和水平。

　　（三）开展信息系 统安全等级测评，使信 息系统安全保护状况逐 步达到等级保护要求。 选择由省级（含）以上 信息安全等级保护工作 协调小组办公室审核并 备案的测评机构，对第 三级（含）以上信息系 统开展等级测评工作。 等级测评机构依据《信 息系统安全等级保护测 评要求》等标准对信息 系统进行测评，对照相 应等级安全保护要求进 行差距分析，排查系统 安全漏洞和隐患并分析 其风险，提出改进建议 ，按照公安部制订的信 息系统安全等级测评报 告格式编制等级测评报 告。经测评未达到安全 保护要求的，要根据测 评报告中的改进建议， 制定整改方案并进一步 进行整改。各部门要及 时向受理备案的公安机 关提交等级测评报告。 对于重要部门的第二级 信息系统，可以参照上 述要求开展等级测评工 作。

　　三、落实工作要求

　　（一）统一组织， 加强领导。要按照“谁 主管、谁负责”的原则 ，切实加强对信息安全 等级保护安全建设整改 工作的组织领导，完善 工作机制。要结合各自 实际，统一规划和部署 安全建设整改工作，制 定安全建设整改工作实 施方案。要落实责任部 门、责任人员和安全建 设整改经费。要利用多 种形式，组织开展宣传 、培训工作。

　　（二）循序渐进， 分步实施。信息系统主 管部门可以结合本行业 、本部门信息系统数量 、等级、规模等实际情 况，按照自上而下或先 重点后一般的顺序开展 。重点行业、部门可以 根据需要和实际情况， 选择有代表性的第二、 三、四级信息系统先进 行安全建设整改和等级 测评工作试点、示范， 在总结经验的基础上全 面推开。

　　（三）结合实际， 制定规范。重点行业信 息系统主管部门可以按 照《信息系统安全等级 保护基本要求》等国家 标准，结合行业特点， 确定《信息系统安全等 级保护基本要求》的具 体指标；在不低于等级 保护基本要求的情况下 ，结合系统安全保护的 特殊需求，在有关部门 指导下制定行业标准规 范或细则，指导本行业 信息系统安全建设整改 工作。

　　（四）认真总结， 按时报送。自2009 年起，要对定级备案、 等级测评、安全建设整 改和自查等工作开展情 况进行年度总结，于每 年年底前报同级公安机 关网安部门，各省（自 治区、直辖市）公安机 关网安部门报公安部网 络安全保卫局。信息系 统备案单位每半年要填 写《信息安全等级保护 安全建设整改工作情况 统计表》并报受理备案 的公安机关。