6、信息安全等级保护的工作进展、下一步等级保护工作部署.doc

信息安全等级保护的工作进展 一、2006年1月制定出台了《信息安全等级保护管理办法（试行）》。 二、2006年5月18日组织召开了国家信息安全等级保护工作协调小组第一次会议。 三、制定了等级保护系列技术标准。 四、开展了等级保护基础调查工作。 五、部署开展信息安全等级保护试点工作。 六、出台新的《信息安全等级保护管理办法》。 七、筹备召开全国信息系统定级工作。（基本完成） 八、安全建设整改、等级测评和检查。（正在进行） 下一步等级保护工作部署 总体思路 充分借鉴北京奥运会信息网络安全工作成功经验，健全完善等级保护工作机制，明确重点工作对象，明确工作分工和任务要求，严格落实安全责任制，认真抓好安全建设整改、等级测评和检查等三项重点工作。 工作目标 各地区、各部门要依据等级保护有关政策和标准，通过开展等级测评，明确等级保护安全建设整改需求，有针对性地开展安全等级保护管理制度建设和技术措施建设，并通过监督检查，落实等级保护制度的各项要求，使重要信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益。2010年底前完成涉及国家秘密的信息系统分级保护建设任务，2011年底前完成第三级以上（含）信息系统安全建设任务。 工作内容 （一）开展信息系统安全等级保护测评，明确安全建设整改需求。 开展信息安全等级测评工作是掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确安全建设需求的有效措施。 备案单位选择符合《管理办法》和有关标准规定条件的测评机构开展等级测评 测评机构依据《信息系统安全等级保护测评要求》等进行测评 测评机构按照公安部制订的《信息系统安全等级测评报告模版》编制测评报告 备案单位根据测评报告中的改进建议，研究确定系统安全建设整改的目标、内容和要求 系统安全建设整改工作完成后，应再次进行等级测评 第三级以上信息系统每年至少一次等级测评 备案单位应及时向受理备案的公安机关提交测评报告 （二）开展信息系统安全等级保护管理制度建设 参照《信息系统安全等级保护基本要求》、《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准，建立健全符合相应等级要求的安全管理制度。定期检查制度落实情况并不断完善。 信息安全责任制。要明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任； （三）开展信息系统安全等级保护技术措施建设 。 参照《信息系统安全等级保护基本要求》、《信息系统通用安全技术要求》等有关标准，结合行业特点和安全需求，制定符合相应等级要求的信息系统安全技术建设方案。 按照建设方案，参照《信息系统安全等级保护实施指南》、《信息系统安全工程管理要求》等有关标准和信息安全产品分等级使用要求，组织实施信息系统安全建设工程，建立健全相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。 既可以针对等级测评发现的问题进行整改，也可以重新全面规划安全建设。 建立并完善系统安全保障体系，提高系统的整体安全防护能力 在系统安全保护技术设计中，可以结合实际，参照《信息系统等级保护安全设计技术要求》进行。 （四）开展等级测评机构建设和管理 《关于开展信息安全等级保护测评体系建设试点工作的通知 》（公信安[2009]812号） 《信息安全等级保护等级测评实施细则》 推动测评机构建设模式，探索测评机构能力建设和确认的内容和方法 探索测评人员条件、能力以及资格等内容和要求。 根据信息安全等级测评的实际需要，有计划地开展信息安全等级测评机构建设 。 等级测评机构应当符合《信息安全等级保护管理办法》的有关条件，并向当地等级保护工作协调（领导）小组办公室备案，供备案单位选择。 等级测评机构应当遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务；保守秘密，防范测评风险；对测评人员进行教育，并负责检查落实。 各级等级保护工作协调（领导）小组办公室对备案的测评机构实施管理。 加强对测评过程的管理，审核、审查 。 加强对测评机构的管理（条件、能力、培训、测评活动的规范）。 （五）开展信息安全等级保护工作的监督管理 。 各地区、各部门和各有关单位要定期对本地区、本部门、本单位等级保护安全责任制、安全管理制度及技术保护措施等信息安全等级保护制度的落实情况进行督促，定期开展自查和抽查。 公安机关应当按照《管理办法》和《公安机关信息安全等级保护检查工作规范》（公信安[2008]736号）的有关要求，会同主管部门定期对第三、四级信息系统备案单位信息安全等级保护工作情况进行检查，及时发现问题并督促整改。 四、工作步骤 部署阶段：要利用多种形式，积极开展宣贯培训。结合本部门、本行业特点和实际情况认真研究贯彻落实意见，明确具体工