关于印发广州市信息安全等级保护工作实施意见的通知

关于印发广州市信息安全等级
保护工作实施意见的通知

各区、县级市公安局（分局）、保密局、国家密码管理委员会办公室、信息化工作领导小组办公室：

　　现将《广州市信息安全等级保护工作实施意见》印发给你们，请认真贯彻实施。

广州市公安局
广州市国家保密局
广州市国家密码管理委员会办公室
广州市信息化办公室
二〇〇六年十二月二十六日

广州市信息安全等级保护工作实施意见

信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号），公安部《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）、《信息安全等级保护管理办法（试行）》（公通字[2006]7号）和《关于开展信息安全等级保护试点工作的通知》（公信安[2006]573号），在我市全面开展信息安全等级保护工作，提高我市信息安全的保障能力和防护水平，保障和促进我市信息化建设的健康发展，结合实际，提出如下意见：

一、指导思想

以邓小平理论和“三个代表”重要思想为指导，贯彻落实科学发展观，按照国家、省的总体要求和部署，紧紧围绕广州城市信息化发展的战略定位，突出重点、统一规范、科学合理的实施信息安全等级保护，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统安全，进一步明确政府、法人和其他组织、公民的信息安全责任，加强信息安全管理，有效提高我市信息和信息系统安全建设的整体水平，保障和促进我市信息安全和信息化建设协调发展。

二、主要目标和基本原则

坚持积极防御、综合防范的方针，依据各级各部门信息系统任务、目标和信息系统在国家安全、经济发展、社会稳定、公众利益等方面的重要程度，将信息系统划分为不同的安全等级，并综合考虑信息系统的安全要求、所面临的风险和实施安全保护措施的成本，进行安全措施的定制和调整，形成信息化发展不同阶段、不同层次、不同等级的安全措施，建成安全保护制度化、规范化、法制化的新型信息安全保护系统。

开展信息安全等级保护工作应遵循以下原则：

（一）明确责任，共同保护。通过等级保护，组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作；各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。

（二）依照标准，自行保护。国家运用强制性的规范和标准，要求信息和信息系统按照相应的建设和管理要求，自行定级、自行保护。

（三）同步建设，动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施，保证信息安全与信息化建设相适应。由于信息与信息系统的应用类型、覆盖范围、外部环境等约束条件处于不断变化与发展之中，因此信息与信息系统的安全保护等级需要根据变化情况，适时重新确定，并相应调整对应的保护措施。

（四）指导监督，重点保护。信息安全监管职能部门通过备案、指导、检查、督促整改等方式，对重要信息和信息系统的信息安全保护工作进行指导监督。信息等级保护要突出重点，对关系国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统要重点保护。

三、工作机构及主要职责

广州市信息安全等级保护工作实行“统一领导、协调一致；归口管理、各司其责；统一测评、统一培训”的管理机制。涉及国家秘密信息系统的等级保护工作由市国家保密局负责，非涉及国家秘密信息系统的等级保护工作以市公安局为主负责，市信息办参与。

成立广州市信息安全等级保护工作协调小组。请市政府分管副市长任组长，市政府分管副秘书长、市公安局一位副局长、节信息办一位副主任任副组长，市国家保密局一位副局长、市国家密码管理委员会办公室一位副主任任成员。协调小组下设办公室，设在市公安局公共信息网络安全监察分局。协调小组实行例会制度，每季度定期召开或根据工作需要随时召开市信息安全等级保护工作会议，通报我市信息安全等级保护工作情况，协调解决存在问题；根据国家信息安全等级保护工作标准和要求，协调制定我市相应的信息安全保护工作管理规范和我市信息安全事件的分级应急响应、处置预案的监督管理办法，协调处理关系全市社会安全和稳定的重大网络与信息安全突发事件。协调小组办公室负责我市信息安全等级保护工作各政府职能部门之间的具体协调工作，协助有关部门、单位组织实施信息安全等级保护工作。

成立市信息安全保护等级专家评审委员会。由市信息安全等级保护工作协调小组成员单位、科研院校、安全服务机构、信息安全产品生产企业等有关人员组成。负责安全保护等级三级以上（含三级）的信息系统的咨询评审工作。市信息化办公室负责市信息安全保护等级专家评审委员会的组织。

成立市信息安全等级保护试点工作组。由市公安局牵头，市信息安全等级保护工作协调小组成员单位、试点系统运营使用单位等有关人员组成，负责全市信息安全等级保护试点工作，探索信息安全等级保护工作思路，提高信息安全的保障能力和防护水平，取得试点工作经验后在全市推广实施。

成立市信息安全等级保护培训中心。由市公安局负责组织实施，统一对信息系统运营、使用单位进行信息安全等级保护培训。

为保证信息安全等级保护工作任务得到有效落实，市直各部门和各区（市）应依据国家和省、市有关规定，根据实际情况成立相应的工作机构或确定牵头工作机构。

各职能部门在信息安全等级保护工作中的职责分工如下：

市公安局：负责全市信息安全等级保护工作的监督、检查、指导，是我市信息安全等级保护工作的牵头单位。

市保密局：负责信息安全等级保护工作中有关保密工作的监督、检查、指导。

市国家密码管理委员会办公室：负责信息安全等级保护工作中有关密码工作的监督、检查、指导。

市信息化办公室：负责信息安全等级保护工作中部门间的协调及技术方案的评审和经费的审核。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

四、信息安全等级保护工作的主要内容

根据国家信息安全等级保护标准和规范，我市信息安全等级保护制度主要包括以下三个方面：

（一）国家对信息和信息系统按五级进行保护和监管。根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本的安全保护水平等因素，将信息系统划分为“自主保护级、指导保护级、监督保护级、强制保护级、专控保护级”等五个安全保护和监管等级。从第一级到第五级，信息安全保护的程度和监督管理的强度逐级增强。

信息和信息系统的运营、使用单位依照国家信息安全等级保护管理规范和技术标准，自行确定其信息和信息系统的安全保护等级，并报经上级主管部门同意。安全保护等级在三级以上的信息系统，运营、使用单位要报送市公安局公共信息网络安全监察分局备案。

（二）国家对信息安全产品的使用实行分等级管理。按照信息安全产品的可控性、可靠性、安全性和可监督性的要求确定相应使用等级进行管理。不同安全保护等级的信息系统应使用与其安全等级相适应的信息安全产品。安全保护等级在三级以上的信息系统所应用的信息安全产品状况要报送市公安局公共信息网络安全监察分局备案。

（三）信息安全事件实行分等级响应、处置的制度。依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围确定事件等级。信息系统的运营、使用单位应当对不同等级的信息安全事件预先制定相应等级的应急预案，确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后，分等级按照预案进行响应和处置。安全保护等级在三级以上的信息系统应急预案要报送市公安局公共信息网络安全监察分局备案。

五、信息安全等级保护工作实施的主要对象

我市信息安全等级保护实施对象为行政区范围内各级党政部门、事业单位、重要的国有和集体所有制企业、各主要社会团体、民办非企业单位以及其他组织机构的信息系统。重点为各级国家事务处理信息系统（党政机关办公系统）；各级财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系国计民生的信息系统；各级教育、国家科研等单位的信息系统；各级公共通信、广播电视传输等基础信息网络中的信息系统；互联网管理中心、重要网站和网络节点的信息系统和其他领域的信息系统。

六、信息安全等级保护工作实施步骤

全市信息安全等级保护工作将按照全国的统一部署和要求组织实施。从2006年起，计划用三年时间，分三个阶段实施信息安全等级保护制度。

（一）准备阶段。为了保障信息安全等级保护制度的顺利实施，在全面实施等级前，用一年的时间做好下列准备工作。

1．健全机构、落实责任。在市信息安全等级保护工作协调小组的领导下，各区（市）人民政府、信息安全监管职能部门、信息系统的主管部门和使用单位应明确各自的安全责任，建立协调配合机制，分别制定详细的实施方案，积极推进信息安全等级保护制度的建立，推动信息安全管理运行机制的建立和完善。

2．建设信息安全等级保护监督管理队伍和技术支撑体系。信息安全监管职能部门要建立专门的信息安全等级保护监督检查机构，充实力量，加强建设，抓紧培训，使监督检查人员能够全面掌握信息安全等级保护相关法律规范和管理规范及技术标准，熟练运用技术工具，切实承担信息安全等级保护的指导、监督、检查职责。同时，还要建立信息安全等级保护监督、检查工作的信息安全测评和技术支撑体系。

3．做好等级保护试点工作。根据国家试点要求，选择我市信息系统重点保护单位开展等级保护试点工作，检验等级保护系统定级、系统整改、等级测评、系统备案、监督监察等规范流程，并在试点工作的基础上进一步完善等级保护实施指南等相关的配套规范、标准和工具，开展信息安全风险评估试点工作。选择有关网络与信息系统，对其潜在威胁、薄弱环节、防护措施等进行分析评估，积累信息安全等级保护工作实施的方法和经验。对试点单位，市、区财政应给予一定的费用支持。

4．加强宣传、培训工作。各区（市）人民政府、信息安全监管职能部门和信息系统的主管部门要积极宣传信息安全等级保护的相关法规、标准和政策，组织开展相关培训，提高对信息安全等级保护工作的认识，积极推动各有关部门、单位做好开展信息安全等级保护工作的前期准备。在试点工作完成后、全面启动信息安全等级保护工作前，我市将召开信息安全等级保护工作动员大会，部署全市信息安全等级保护实施工作。

5．开展计算机信息系统基本情况的信息安全等级保护基础调查，全面掌握我市信息系统数量、区域分布、行业分布情况，为制定信息安全等级保护规划和决策提供依据，为全面开展信息安全等级保护工作奠定基础。

6．筹建成立市信息安全保护等级专家评审委员会、成立市信息安全等级保护试点工作组，成立市信息安全等级保护测评中心、市信息安全等级保护培训中心，为下阶段全面开展信息安全等级保护重点实行工作做好充分准备。

（二）重点实行阶段。在做好前期准备工作和试点工作的基础上，用一年左右的时间，在国家重点保护的涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统中实行安全等级保护制度。经过一年的建设，使基础信息网络和重要信息系统的核心要害部位得到有效保护，涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统的保护状况得到较大改善，结束目前保护措施不到位的状况，制定出灾难备份、信息安全事件等级响应和处置、系统安全建设、系统安全运行维护、安全教育和培训、产品采购等安全等级保护管理规章制度，形成与我市信息安全状况相适应的信息安全等级保护体系。我市信息系统安全保护等级在三级以上的信息系统，由运营、使用单位报送市公安局备案。跨地域的信息系统由其主管部门向其所在地的同级公安机关进行总备案，分系统分别由当地运营、使用单位向本地地市级公安机关备案。

（三）全面实行阶段。在重点实行的基础上，用一年左右的时间，在全市全面推行信息安全等级保护制度。已经实施等级保护制度的信息和信息系统的运营、使用单位及其主管部门，要进一步完善信息安全保护措施。没有实施等级保护制度的，要按照等级保护的管理规范和技术标准认真组织落实。市信息安全等级保护工作协调小组办公室将组织力量，对重要的网络与信息系统进行监督检查。

经过三年的努力，逐步将信息安全等级保护制度落实到信息安全规划、建设、评估、运行维护等各个环节，使全市信息安全保障状况得到基本改善，保障和促进信息化建设的健康、有序发展。

我市涉及国家秘密的信息系统的等级保护工作由市保密局负责组织实施，依据国家保密局的文件精神，在我市信息安全等级保护工作的总体部署下制定具体实施步骤。

七、实施信息安全等级保护工作的要求

信息安全等级保护工作要突出重点、分级负责、分类指导、分步实施，按照“谁主管谁负责”的要求，明确主管部门以及信息系统建设、运行、维护、使用单位和个人的安全责任，分别落实等级保护措施。实施信息安全等级保护应当做好以下八个方面工作：

（一）完善标准，分类指导。制定系统完整的信息安全等级保护管理规范和技术标准，并根据工作开展的实际情况不断补充完善。信息安全监管职能部门对不同重要程度的信息和信息系统的安全等级保护工作给予相应的指导，确保等级保护工作顺利开展。

（二）科学定级，严格备案。信息和信息系统的使用单位按照等级保护的管理规范和技术标准，确定其信息和信息系统的安全保护等级，并报其主管部门审批同意。

对于包含多个子系统的信息系统，在保障信息系统安全互联和有效信息共享的前提下，应当根据等级保护的管理规定、技术标准和信息系统内各子系统的重要程度，分别确定安全保护等级。跨地域的大系统实行纵向保护和属地保护相结合的方式。

重要的信息和信息系统的运营、使用单位及其主管理部门在确定信息和信息系统的安全保护等级时，应请市信息安全保护等级专家评审委员会给予咨询评审。安全保护等级在三级以上的信息系统，由使用单位报送本地区地市级公安机关备案。跨地域的信息系统由其主管部门向其所在地的同级公安机关进行总备案，分系统分别由当地运营、使用单位向本地市级公安机关备案。

（三）建设整改，落实措施。对已有的信息系统，使用单位根据已经确定的信息安全保护等级，按照等级保护的管理规范和技术标准，采购和使用相应等级的信息安全产品，建设安全设施，落实安全技术措施，完成系统整改。对新建、改建、扩建的信息系统应当按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。

（四）自查自纠，落实要求。信息和信息系统的使用单位及其主管部门按照等级保护的管理规范和技术标准，对已经完成安全等级保护建设的信息系统进行检查评估，发现问题及时整改，加强和完善自身信息安全等级保护制度的建设，加强自我保护。

（五）建立制度，加强管理。信息和信息系统的使用单位按照与本系统安全保护等级相对应的管理规范和技术标准的要求，定期进行安全状况检测评估，及时消除安全隐患和漏洞，建立安全制度，制定不同等级信息安全事件的响应、处置预案，加强信息系统的安全管理。信息和信息系统的主管部门应当按照等级保护的管理规范和技术标准的要求做好监督管理工作，发现问题，及时督促整改。

（六）监督检查，完善保护。公安机关按照等级保护的管理规范和技术标准的要求，重点对第三、第四级信息和信息系统的安全等级保护状况进行监督检查。发现确定的安全保护等级不符合等级保护的管理规范和技术标准的，要通知信息和信息系统的主管部门及使用单位进行整改；发现存在安全隐患或未达到等级保护的管理规范和技术标准要求的，要限期整改，使信息和信息系统的安全保护措施更加完善。

对信息系统中使用的信息安全产品的等级进行监督检查。第五级信息和信息系统的监督检查由国家指定的专门部门、专门机构按照有关规定进行。

市国家保密工作部门、市密码管理部门以及其他职能部门按照职责分工指导、监督、检查。

（七）涉密系统等级保护工作要求。涉及国家秘密的信息系统，按照国家保密部门涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。系统的设计实施、审批备案、运行维护和日常安全保密管理，按照国家保密工作部门的有关规定和技术标准执行，系统的检查和测评由市保密局组织实施。

（八）保证信息安全等级保护工作经费。信息安全建设是信息化的有机组成部分，必须与信息化同步规划、同步建设。各地、各部门要将信息安全等级保护的建设经费和安全设施的运行维护费用经市信息化办公室审核、财政部门审批后，列入财政预算并予以保证。