《《浙江省信息安全等级保护工作实施方案》的通知(浙等保[]3号)..doc》由会员分享,可在线阅读,更多相关《《浙江省信息安全等级保护工作实施方案》的通知(浙等保[]3号)..doc(35页珍藏版)》请在三一办公上搜索。
1、浙等保20073号关于印发浙江省信息安全等级保护工作实施方案的通知各市公安局、保密局、机要局、信息化领导小组办公室,省级各有关单位:现将省公安厅、省保密局、省国家密码管理局、省信息化领导小组办公室联合制定的浙江省信息安全等级保护工作实施方案印发你们,请认真贯彻执行。实行信息安全等级保护制度,是提高信息安全保障能力和防护水平,保障和促进信息化建设健康发展,维护国家安全、社会稳定和公共利益的迫切需要。各级各部门必须进一步增强安全意识,在政府的领导下,依据国家的标准、要求和浙江省信息安全等级保护工作实施方案,认真组织实施。工作中遇到问题,请及时与我们联系。省公安厅联系人蔡林、张亮,联系电话:8728
2、6362、87286360;省保密局联系人* * ,联系电话: ;省国家密码管理局联系人* * ,联系电话: ;省信息化领导小组办公室联系人* * ,联系电话: ;浙江省信息安全等级保护工作协调小组办公室(印)二七年八月一日浙江省信息安全等级保护工作实施方案 为贯彻落实国家信息化领导小组关于加强信息安全保障工作的意见和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室关于信息安全等级保护工作的实施意见以及浙江省信息安全等级保护管理办法,根据国家信息安全等级保护工作协调小组的部署,结合我省实际,制订本方案。 一、指导思想以中央和省委、省政府有关加强信息安全保障工作的意见为指导,通过全面推
3、行信息安全等级保护工作,提高我省信息安全的保障能力和防护水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设的健康发展。 二、工作目标通过在基础信息网络和重要信息系统中实行等级保护工作,使基础信息网络和重要信息系统的核心要害部位得到有效保护,涉及国家安全、社会稳定和公共利益的基础信息网络和重要信息系统的保护状况有较大改善。通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,使我省信息安全保障状况得到基本改善。通过加强和规范信息安全等级保护管理,不断提高我省信息安全保障能力,为维护信息网络的安全稳定,促进信息化发展服务
4、。 三、组织管理为加强信息安全等级保护工作的领导,成立由省公安厅牵头,省保密局、省国家密码管理局和省信息办等有关部门参加的浙江省信息安全等级保护工作协调小组,负责我省信息安全等级保护工作的组织协调,并下设办公室在省公安厅。设区市的公安机关、保密部门、密码管理部门和信息化行政主管部门也要联合成立由公安机关牵头的信息安全等级保护工作协调小组,建立相应办事机构,负责本地信息安全等级保护工作。信息系统的建设、运营、使用单位应成立由主管领导参加的信息安全等级保护工作领导小组,并确定职能部门负责本系统、本单位的信息安全等级保护工作。省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组
5、,并分别负责对涉及全省和全市的基础信息网络和重要信息系统的信息安全保护等级进行审定。为保证信息安全等级测评工作正常、有效开展,成立由省公安厅牵头,省保密局、省国家密码管理局、省信息办和省国家安全厅等单位有关专家参加的测评机构审查小组,对在我省基础信息网络和重要信息系统中开展测评工作的测评机构及其主要业务、技术人员的资质,以及安全保密测评资格进行专门审查,审查后公布推荐目录,供我省基础信息网络和重要信息系统使用单位选择使用。 四、工作内容 1、系统定级信息系统运营、使用单位应按照国家有关规定,确定信息系统的安全保护等级,有主管部门的,应当经主管部门审核批准。系统涉及国家秘密的部分,应当按照涉密信
6、息系统分级保护管理办法(国保发200516号)和涉及国家秘密的信息系统分级保护技术要求(国家保密标准BMBl7-2006)确定信息系统的安全保护等级。跨市或者全省统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 2、定级评审基础信息网络和重要信息系统运营、使用单位初步确定安全保护等级后,应聘请专家进行评审。对拟确定为第四级、第五级信息系统的,运营、使用单位或主管部门应经省信息化行政主管部门初审后,请国家信息安全等级保护专家评审委员会评审。其它定级评审,依照浙江省信息安全等级评审实施细则执行。 3、系统备案在信息系统安全保护等级确定后三十天内,信息系统运营、使用单位到省公安厅门户网站下
7、载信息系统安全等级保护备案表和辅助备案工具软件,填写备案表,利用辅助备案工具软件生成备案电子数据,向公安机关提交有关备案材料及电子数据文件,办理备案手续。系统涉及国家秘密的,向保密工作部门备案。系统中使用密码设备的,密码设备要向密码管理部门备案。具体备案工作依照浙江省信息安全等级保护备案工作细则执行。信息系统备案后,公安机关应当对信息系统的备案情况进行审核,发现不符合国家有关规定、标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新确定。信息系统运营、使用单位重新确定信息系统安全等级后,应向公安机关重新备
8、案。4、等级测评、整改信息系统运营、使用单位在进行信息系统备案后,应当选择测评机构进行安全测评。测评机构依据信息系统安全等级保护测评要求等技术标准,对信息系统安全等级状况开展测评,给出相应的系统安全检测评估报告。经测评信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改,以符合安全保护等级要求。信息系统整改建设工作完成后,要依照浙江省信息安全等级保护备案工作细则的有关规定,向公安机关、保密工作部门、国家密码管理部门报送有关材料。对符合等级保护要求的,公安机关应当颁发信息系统安全等级保护备案证明。5、安全管理、建设信息系统运营、使用单位应根据国家有关规定和技术标准,建立信
9、息安全等级保护管理制度,落实安全保护责任。具体包括制定信息安全事件等级响应和处置制度;信息安全等级保护系统建设、运行维护制度;信息系统安全检测和风险评估制度;安全教育和培训制度等。根据检测评估报告中反映出的安全问题,要按照信息系统安全等级保护基本要求和风险评估有关标准,确定系统安全需求,制定系统总体安全策略和相关制度,细化符合安全等级保护要求的系统安全技术框架和安全管理框架方案,明确安全建设的实施计划,指导今后安全建设工作。同时,基础信息网络和重要信息系统的运营、使用单位,应当按照国家有关技术规范和标准,每年对系统的信息安全状况进行一次全面的测评或者自查。第四级信息系统应当每半年至少进行一次测
10、评或者自查,第五级信息系统应当依据特殊安全需求进行测评或者自查。经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位要制定方案进行整改。五、监督管理根据信息安全等级保护工作的职责分工,公安机关负责信息安全等级保护工作的总体监督、检查、指导。保密工作部门负责信息安全等级保护工作中有关保密工作的监督、检查、指导。密码管理部门负责信息安全等级保护工作中有关密码工作的监督、检查、指导。信息化行政主管部门负责信息安全等级保护工作的部门间协调。公安机关要对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至
11、少检查一次。对跨市或全省统一联网运行的信息系统检查,要会同其主管部门进行。保密工作部门要加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评。密码管理部门要定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况,每两年至少进行一次检查和测评。六、工作安排按照突出重点、统筹规划,重点保障基础信息网络和重要信息系统安全的总体要求和原则,我省信息安全等级保护工作将分批、分阶段进行。2007年7月至10月集中开展基础信息网络和重要信
12、息系统的定级工作。我省重要信息系统包括:1、党政事务处理信息系统和重要网站;2、金融、财税、海关业务信息系统;3、铁路、机场、交通(港口)等业务信息系统;4、医疗、社(医)保、供水、电力、燃气等业务信息系统;5、涉及国家秘密的信息系统;6、国家和省规定的其他重要信息系统。基础信息网络主要包括公用通信网、广播电视传输网等。其它已运营、使用信息系统和新建信息系统按照相关规定开展等级保护工作。(一)准备阶段(2007年8月1日8月20日)设区的市公安机关、保密工作部门、密码管理部门和信息化行政主管部门联合成立公安机关牵头的信息安全等级保护工作协调小组,建立相应办事机构,积极做好信息安全等级保护工作的
13、宣传、培训和组织工作,全面推进本地信息安全等级保护工作。设区的市信息化行政主管部门成立市信息系统安全等级保护专家评审组,积极做好信息安全等级保护工作的咨询和定级评审工作。各行业主管部门,信息系统运营、使用单位成立信息安全等级保护工作领导小组,对所属信息系统进行摸底调查,全面掌握信息系统的业务类型、应用或服务范围、系统结构等基本情况,确定定级对象,并提出开展本行业、本单位等级保护工作的具体意见。(二)组织实施阶段(2007年8月20日至2009年10月20日)1、定级备案工作。基础信息网络和重要信息系统在2007年10月20日前完成定级、评审和初备案工作。其余信息系统在2008年6月30日前完成
14、。2、等级测评工作。基础信息网络和重要信息系统在2008年7月31日前完成等级测评工作。其余信息系统在2008年12月31日前完成。3、整改建设工作。基础信息网络和重要信息系统在2009年6月31日前完成整改建设工作。其余信息系统在2009年10月31日前完成整改建设工作。(三)巩固完善阶段信息系统整改建设工作完成后,应当建立完善信息系统安全状况日常检测工作制度,加强对信息系统的日常维护和安全管理,及时消除安全隐患,确保信息的安全和系统的正常运行。七、工作要求(一)提高认识,加强领导。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳
15、定和公共利益,保障和促进信息化建设健康发展的一项基本制度。为此,各级公安机关、保密工作部门、密码管理部门和信息化行政主管部门,以及重要信息系统运营、使用单位和主管部门,要充分认识开展信息安全等级保护工作的重要性、必要性,切实增强政治责任感和工作紧迫感,全面贯彻落实中央、国务院和省委、省政府的要求和部署,切实做好信息安全等级保护工作。(二)明确责任,密切配合。信息安全等级保护工作由各级公安机关牵头,会同保密工作部门、密码管理部门和信息化行政主管部门共同组织实施。四部门要在明确责任的基础上,加强协调配合,共同组织信息系统主管部门和运营、使用单位开展信息安全等级保护工作。各信息系统主管部门组织本行业
16、、本部门信息系统运营、使用单位开展信息安全等级保护工作,督促其落实信息安全等级保护工作的各项任务。(三)动员部署,开展培训。各地区、各部门要按照统一部署,广泛进行宣传动员,加强培训,指导本地区、本行业信息系统运营、使用单位按照信息安全等级保护工作的总体要求,分阶段、分步骤完成各项任务。省公安厅将会同省保密局、省国家密码管理局、省信息办对省有关单位、行业以及各市公安机关、保密工作部门和国家密码管理工作部门就信息安全等级保护工作规范、标准等内容进行培训。信息系统主管部门对所管辖的信息系统运营、使用单位进行培训。各市参照上述培训模式开展培训工作。 (四)及时总结,形成规范。在等级保护工作中,各地、各
17、部门要认真总结工作经验和存在的问题,探索我省在信息安全等级保护工作中有关监督管理、安全评测、安全建设等的方面具体内容、工作流程和程序,建立完善工作规范,为我省全面推行信息安全等级保护工作打好基础。各阶段有关工作情况应当及时向协调小组办公室报告。 附件:1、浙江省信息安全等级保护管理办法 2、浙江省信息安全等级保护备案工作细则 3、浙江省信息安全等级评审实施细则 4、信息系统安全等级保护定级报告模版5、信息系统安全等级保护备案表 6、涉及国家秘密的信息系统分级保护备案表附件1: 浙江省信息安全等级保护管理办法第一章总则 第一条为加强和规范信息安全等级保护管理,提高信息安全保障能力,维护国家安全、
18、公共利益和社会稳定,促进信息化建设,根据国家有关规定,结合本省实际,制定本办法。 第二条本省行政区域内建设、运营、使用信息系统的单位,均须遵守本办法。 第三条本办法所称信息安全等级保护,是指按国家规定对需要实行安全等级保护的各类信息的存储、传输、处理的信息系统进行相应的等级保护,对信息系统中发生的信息安全突发公共事件实行分等级响应和处置的安全保障制度。 第四条本办法所称信息,是指通过信息系统进行存储、传输、处理的语言、文字、声音、图像、数字等资料。 本办法所称信息系统,是指由计算机、信息网络及其配套的设施、设备构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。 第五条信息安
19、全等级保护应当遵循分级实施、明确责任、确保安全的原则;重点保障基础信息网络和重要信息系统各类信息的安全性和信息处理的连续性。 信息系统应当按照信息安全等级保护的要求,实行同步建设、动态调整、谁运行谁负责的原则。 第六条县级以上人民政府应当加强对信息安全等级保护工作的领导,把信息安全等级保护纳入信息化建设规划,协调、解决有关重大问题,建立必要的资金和技术的保障机制。 第七条县级以上人民政府公安、国家安全、保密、密码、信息化等行政主管部门应当按照国家和本办法规定,履行监督管理职责。 县级以上人民政府其他相关部门,应当按照职责分工,落实信息安全等级保护管理的责任,配合做好相关工作。 第二章等级保护的
20、分级与实施 第八条根据信息系统承载的信息的重要性、业务处理对系统的依赖性以及系统遭到破坏后对经济、社会的危害程度,确定信息系统相应的保护等级。 信息系统的保护等级分为以下五级: (一)信息系统承载的信息涉及公民、法人和其他组织的权益,信息系统遭到破坏后,业务可以直接用其他方式替代处理,对公民、法人和其他组织的权益有一定影响,但不损害国家安全、社会秩序、经济建设和公共利益的,为一级保护,由运营单位自主保护; (二)信息系统承载的信息直接涉及公民、法人和其他组织的权益,信息系统遭到破坏后,会影响业务的正常处理,并对国家安全、社会秩序、经济建设和公共利益造成一定损害的,为二级保护,由运营单位在信息安
21、全等级保护工作监管部门的指导下进行保护; (三)信息系统承载的信息涉及国家、社会和公共利益,信息系统遭到破坏后,会严重影响业务的正常处理,并对国家安全、社会秩序、经济建设和公共利益造成较大损害的,为三级保护,由运营单位在信息安全等级保护工作监管部门的监督下进行保护; (四)信息系统承载的信息直接涉及国家、社会和公共利益,信息系统遭到破坏后,业务无法正常处理,并对国家安全、社会秩序、经济建设和公共利益造成严重损害的,为四级保护,由运营单位按照信息安全等级保护工作监管部门的强制要求进行保护; (五)信息系统承载的信息直接关系国家安全、社会稳定、经济建设和运行,信息系统遭到破坏后,会对国家安全、社会
22、秩序、经济建设和公共利益造成特别严重损害的,为五级保护,由运营单位在国家指定的专门部门、专门机构的专控下进行保护。 第九条信息系统的建设、运营、使用单位,应当按照国家有关技术规范、标准和本办法第八条规定自行选定其信息系统相应的保护等级。 基础信息网络和重要信息系统的保护等级,建设单位应当在信息系统规划设计时,按照本办法第十条规定报经审定。 第十条基础信息网络和重要信息系统保护等级,实行专家评审制度。 省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组,并分别组织对关系全省和关系全市的基础信息网络和重要信息系统的保护等级进行审定。申报与审定的具体细则,由省信息化行政主管部
23、门会同省公安部门制定,并报省人民政府备案。 第十一条对于包含多个子系统的信息系统,应当根据各子系统的重要程度分别确定保护等级。 第十二条信息系统建设完成后,其运营、使用单位应当按照国家有关技术规范和标准进行安全测评,符合要求的,方可投入使用。 第十三条信息系统投入运行或者系统变更之日起三十日内,运营、使用单位应当将信息系统保护等级选定或者审定情况报所在地县级以上人民政府公安部门备案。备案的具体细则由省公安部门制定。 信息系统涉及国家秘密的,运营、使用单位应当按照有关保密法律、法规、规章的规定执行。 第十四条信息系统的运营、使用单位,应当按照国家有关技术规范和标准,建立信息安全等级保护管理制度,
24、落实安全保护责任,采取相应的安全保护措施,切实保障信息系统正常安全运行。 第十五条信息系统的运营、使用单位,应当建立信息系统安全状况日常检测工作制度,加强对信息系统的日常维护和安全管理,及时消除安全隐患,确保信息的安全和系统的正常运行。 基础信息网络和重要信息系统的运营、使用单位,应当按照国家有关技术规范和标准,每年对系统的信息安全状况进行一次全面的测评,也可以委托有相应资质的单位进行安全测评。 第十六条信息系统发生信息安全突发公共事件时,应当根据事件的可控性、地域影响范围和信息系统遭到破坏的严重程度,实行分级响应和应急处置。分级响应和应急处置按照省有关网络与信息安全应急预案的规定执行。 通信
25、基础网络发生突发公共事件时,应当按照省有关通信保障应急预案的规定执行。 第三章监督管理 第十七条县级以上人民政府公安部门依法对运营、使用信息系统的单位的信息安全等级保护工作实施监督管理,并做好下列工作: (一)督促、指导信息安全等级保护工作; (二)监督、检查信息系统运营、使用单位的安全等级保护管理制度和技术措施的落实情况; (三)受理信息系统保护等级的备案; (四)依法查处信息系统运营、使用单位和个人的违法行为; (五)信息安全等级保护的其他相关工作。 第十八条保密工作部门依照职责分工,依法做好下列工作: (一)督促、指导涉及国家秘密的信息安全等级保护工作; (二)受理涉及国家秘密的信息系统
26、保护等级的备案; (三)依法查处信息泄密、失密事件; (四)信息安全等级保护中涉及国家秘密的其他相关工作。 第十九条密码管理部门应当按照职责分工依法做好相关工作,加强对涉及密码管理的信息安全等级保护工作的监督、检查和指导,查处信息安全等级保护工作中违反密码管理的行为和事件。 第二十条信息化行政主管部门应当加强对信息安全等级保护工作的指导、服务、协调和管理,并做好下列工作: (一)指导、协调信息安全等级保护工作; (二)组织制定信息安全等级保护工作规范; (三)组织专家审定信息系统的保护等级; (四)为相关单位提供信息安全等级保护的有关资讯和技术咨询; (五)根据预案规定,组织落实信息安全突发公
27、共事件的应急处置工作; (六)信息安全等级保护的其他相关工作。 第二十一条信息系统建设、运营、使用单位,应当按照国家和本办法有关规定,开展信息安全等级保护工作,接受有关部门的指导、检查和监督管理。 信息系统运营、使用单位,在运营、使用中发生信息安全突发公共事件、泄密失密事件的,应当按照应急预案要求,及时采取有效措施,防止事态扩大,并立即报告有关主管部门,配合做好应急处置工作。 第四章法律责任 第二十二条违反本办法规定的行为,有关法律、法规已有行政处罚规定的,从其规定。 第二十三条信息系统运营、使用单位违反本办法规定,不建立信息系统保护等级或者自行选定的保护等级不符合国家有关技术规范和标准的,由
28、公安部门责令限期改正,并给予警告;逾期拒不改正的,处一千元以上二千元以下罚款。 第二十四条信息系统运营、使用单位违反本办法第十二条、第十三条第一款规定的,由公安部门责令限期改正,并给予警告;逾期不改正的,处二千元罚款。 第二十五条信息系统运营、使用单位违反本办法第十四条规定,未建立信息安全等级保护管理制度、落实安全保护责任和措施的,由公安部门责令限期改正,并给予警告; 逾期拒不改正的,对经营性的处五千元以上五万元以下罚款,对非经营性的处二千元罚款。 第二十六条违反本办法第十五条第一款规定,信息系统运营、使用单位未建立信息系统安全状况日常检测工作制度的,由公安部门责令限期改正,并给予警告;逾期拒
29、不改正的,处一千元以上二千元以下罚款。 违反本办法第十五条第二款规定,基础信息网络与重要信息系统的运营、使用单位,未定期对系统的信息安全状况进行测评的,由公安部门责令限期改正,并给予警告;逾期拒不改正的,对经营性的处二千元以上二万元以下罚款,对非经营性的处二千元罚款。 第二十七条信息系统运营、使用单位违反本办法第二十一条第二款规定的,由县级以上人民政府信息化行政主管部门责令改正,给予警告,对经营性的并处五千元以上三万元以下罚款,对非经营性的并处二千元罚款;涉及泄密、失密的,按照有关保密法律、法规、规章的规定处理。 第二十八条有关信息安全等级保护监管部门及其工作人员有下列行为之一的,由其主管部门
30、或者监察部门对直接负责的主管人员和其他直接责任人依法给予行政或者纪律处分。 (一)未按照本办法规定履行监督管理职责的; (二)违反国家和本办法规定审定信息系统保护等级的; (三)违反法定程序和权限实施行政处罚的; (四)在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的; (五)其他应当依法给予行政或者纪律处分的行为。 第二十九条违反本办法规定,构成犯罪的,依法追究刑事责任。 第五章附则 第三十条在本办法施行前已经建成的信息系统,运营、使用单位应当依照本办法规定建立相应的保护等级。 第三十一条本办法自2007年1月1日起施行。 附件2: 浙江省信息安全等级保护备案工作细则第一条 为加强和规范
31、信息安全等级保护备案工作的管理,根据浙江省信息安全等级保护管理办法和国家有关规定制订本细则。第二条 信息系统运营、使用单位在本单位信息系统投入运行或者系统变更之日起三十日内,应当将信息系统保护等级选定或者审定情况向所在地县级以上人民政府公安机关进行备案。跨地域的信息系统,由其主系统所在地的运营、使用单位向县级以上人民政府公安机关进行备案。经备案的信息系统经过评测、整改达到所定等级安全要求后三十日内,运营、使用单位应当将评测、整改的有关材料报原备案的公安机关。第三条 系统涉及国家秘密的部分,需按有关规定向保密部门备案。系统中使用的密码设备,需按有关规定向密码管理部门备案。第四条 信息系统备案登记
32、工作实行同级备案和属地备案相结合的原则。省公安厅负责受理以下单位信息系统备案登记工作:(一) 省级基础信息网络和重要领域信息系统;(二) 跨设区市联网运行的信息系统;(三) 公安部委托省公安厅进行备案登记工作的信息系统;(四) 安全保护等级为四级的信息系统;(五) 其他需备案的信息系统。 设区的市公安机关负责受理以下单位信息系统备案登记工作:(一) 市级基础信息网络和重要领域信息系统;(二) 跨县(市、区)联网运行的信息系统;(三) 公安部、省公安厅委托设区的市公安机关进行备案登记工作的信息系统;(四) 安全保护等级为三级的信息系统;(五) 其他需备案的信息系统。 县级公安机关负责受理以下单位
33、信息系统备案登记工作:(一) 公安部、省公安厅、设区的市公安机关委托县级公安机关进行备案登记工作的信息系统;(二) 其他需备案的信息系统。第五条 信息系统的运营、使用单位将信息系统保护等级选定或者审定情况向公安机关备案时,必须提供以下有关材料:(一)信息系统安全保护等级备案登记表; (二)信息系统安全保护等级自定级报告; (三)信息系统安全保护等级定级专家评审报告; (四)本单位信息系统安全组织的建立情况; (五)本单位信息系统基本应用情况;(六)本单位信息系统使用的主要设备、操作系统、数据库、防病毒软件以及网络拓扑图; (七)其他与等级选定或者审定相关的材料。第六条 经备案的信息系统在经评测
34、、整改达到所定等级安全要求后,其运营、使用单位必须向公安机关补充提供以下有关材料: (一)本单位信息系统等级保护管理制度(含安全等级保护职责的责任部门和人员管理制度;信息安全等级保护系统建设、运行维护制度;信息系统安全检查、检测和风险评估制度;安全教育和培训制度等); (二) 本单位信息系统的安全保护的整体需求分析及安全策略报告; (三) 本单位信息安全事件等级响应和处置预案; (四) 本单位信息系统信息安全等级评估报告; (五)本单位信息系统信息安全等级保护建设方案(含规划、改扩建方案); (六) 本单位信息系统信息安全等级保护工作验收报告; (七)系统使用的信息安全产品清单及其认证、许可证
35、明。第七条 公安机关接到备案材料后,应认真审核备案材料,对定级合理、材料齐全的,应当完整准确记录和保存备案登记信息和登记材料,建立备案登记档案。第八条 公安机关审核备案材料后,认为信息系统运营、使用单位所确定的安全保护等级不符合等级保护的管理规范和技术标准的,应书面通知信息系统的主管部门及运营、使用单位进行整改或重新定级。第九条 等级保护备案表填注事项和前款所要求的备案资料内容发生变更时,信息系统运营、使用单位应当自变更之日起三十日内将变更情况报备案公安机关。第十条 信息系统运营单位不按规定履行信息安全等级保护备案手续的,根据浙江省信息安全等级保护管理办法第二十四条,由公安部门责令限期改正,并
36、给予警告;逾期不改正的,处二千元罚款。附件3:浙江省信息安全等级评审实施细则 第一条 为加强信息安全等级保护定级工作的组织实施和监督指导,科学合理地评审、确定信息系统等级,促进等级保护管理工作规范化、制度化,根据浙江省信息安全等级保护管理办法(省政府令223号)规定,制定本细则。 第二条 基础信息网络和重要信息系统保护等级,实行专家评审制度。 基础信息网络和重要信息系统是根据其在国家安全、经济建设、社会生活中的重要程度及实际安全需要,遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及公民、法人和其他组织的合法权益的危害程度来确定的。 基础信息网络主要包括公用通信网、广播电视传输网等。 重要
37、信息系统主要包括: 1、党政事务处理信息系统; 2、金融、财税、海关业务信息系统; 3、铁路、机场、交通(港口)等业务信息系统; 4、医疗、社(医)保、供水、电力、燃气等业务信息系统; 5、国家和省规定的其他重要信息系统。 第三条 省、设区的市信息化行政主管部门分别建立省、市信息系统保护等级专家评审组。专家评审组成员由信息安全专家以及政治、经济、法律和技术等领域信息化方面的专家组成。专家评审组组长、副组长由信息化行政主管部门从评审组成员中确定。评审时可以邀请相关行业的专家参加。第四条 省信息化行政主管部门负责对全省信息系统安全等级的定级审定及相关的指导、服务、协调和管理工作。其主要职责是: (
38、一)组织指导、协调、管理全省信息系统安全等级定级评审工作; (二)组织建立省信息系统安全保护等级专家评审组; (三)审核各市信息系统安全等级保护专家评审组方案; (四)受理设区的市信息化行政主管部门的定级备案,对有重大异议的,组织复审; (五)受理省级单位信息系统安全等级定级、等级变更的评审申请,并审定专家组评审意见; (六)受理三、四级信息系统安全等级定级、等级变更的评审申请,并审定三、四级专家组评审意见; (七)通报全省信息系统安全等级审定结果; (八)信息系统安全等级定级的其他相关工作。 第五条 设区的市信息化行政主管部门负责管理本行政区域内的信息系统安全等级定级及相关的指导、服务、协调
39、和管理工作。其主要职责是: (一)组织指导、协调、管理信息系统安全等级定级评审工作; (二)组织拟定信息系统安全保护等级专家评审组方案,报经省信息化行政主管部门审核后实施; (三)受理二级信息系统安全等级定级、等级变更的评审申请,并审定本市专家组评审意见; (四)对三、四级信息系统安全等级定级、等级变更的申请提出初审意见,并报省信息化行政主管部门审定; (五)通报二级信息系统安全等级审定结果并向省信息化行政主管部门报备; (六)信息系统安全等级定级的其他相关工作。 第六条 信息系统保护等级专家评审组职责: (一)根据国家和省有关规定,开展信息系统安全等级保护的咨询工作; (二)受信息化行政主管
40、部门委托,对信息系统安全等级进行评审,并提出评审意见; (三)对信息系统安全等级保护工作提出意见和建议; (四)承办信息化行政主管部门委托的其他事项。 第七条 基础信息网络和重要信息系统的运营、使用单位,应当按照等级保护的管理规定和技术标准制订(或完善)本行业、本系统的等级划分具体细则。 第八条 对于包含多个子系统的信息系统运营、使用单位,在保障信息系统安全互联和有效信息共享的前提下,应当根据等级保护的管理规定、技术标准和信息系统内各子系统的重要程度,分别确定各子系统的安全保护等级。第九条 申报审定的单位,应当向信息化行政主管部门提交下列资料: (一)申报单位基本情况:单位名称、法定代表人、通
41、信地址、联络方式等基本信息。 (二)信息系统基本信息: 1、信息系统的行业特征、主管机构、地理位置、业务范围、业务种类和特性等基本情况; 2、信息系统管理框架,主要包括组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责、用户范围和用户类型等基本内容; 3、信息系统的网络及设备部署,主要包括信息系统的物理环境、网络拓扑结构、网络边界描述和硬件设备的部署等情况。 (三)信息系统划分资料: 1、划分原则和方法; 2、信息系统列表 3、每个信息系统的概述 4、每个信息系统支撑的业务应用的列表; 5、每个业务应用处理的信息资产类型; 6、每个业务应用的服务范围和用户类型 7、每个业务应用
42、的其他特性。 (四)信息系统安全保护等级确定资料: 1、安全需求分析(安全需求分析报告、等级保护基本要求); 2、总体安全设计规划(总体安全策略、总体安全方案、安全技术防护措施、安全保护管理制度、信息安全应急预案等); 3、信息系统安全自评估报告; 4、安全保护等级自定级报告。 第十条 受理申请的信息化行政主管部门,应当自受理之日起20个工作日内,委托专家组进行评审。信息化行政主管部门应当自评审之日起45个工作日内审定专家组提出评审意见并书面通报。第十一条对审定结果有异议的,应当自收到该审定结果之日起60日内,可以向省信息化行政主管部门提出复审申请。 第十二条 信息系统运营、使用单位需要变更安
43、全等级的,应当向原审定的信息化行政主管部门提出等级变更申请。受理申请的信息化行政主管部门按照本细则第十条规定重新组织审定。第十三条 申报审定的单位按照本细则规定提供的资料,应当真实、全面和及时;对提供的资料不实、弄虚作假和故意拖延的,信息化行政主管部门可以给予通报批评。第十四条 本细则由省信息产业厅负责解释。附件4:信息系统安全等级保护定级报告模版信息系统安全等级保护定级报告一、XXX信息系统描述简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具
44、有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。二、XXX信息系统安全保护等级确定(定级方法参见国家标准信息系统安全等级保护定级指南)(一)业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别
45、严重损害。4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。(二)系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。(三)安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定XXX系统安全保护等级为第几级。信息系统名称安全保护等级业务信息安全等级系统服务安全等级XXX信息系统XXX