各省、自治区、直辖市、新疆生产建设兵团交通运输厅(局、委),天津市市政公路管理局,天津市、上海市交通运输和港口管理局,部属各单位,部内各单位:
贯彻落实《中华人民共和国计算机信息系统安全保护条例》和《信息安全等级保护管理办法》等法规要求,做好交通运输行业信息安全等级保护,对于提升行业信息安全防护能力和水平,维护公共利益、社会秩序和国家安全具有重要作用。为进一步加强交通运输行业信息安全等级保护工作,按照公安部《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)和《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)等文件要求,结合交通运输行业实际,现就开展信息安全等级保护有关事宜通知如下:
一、指导思想
深入贯彻落实科学发展观,遵照国家有关信息安全等级保护政策规定和技术标准规范,紧密结合交通运输行业信息化发展实际,按照准确定级、科学评估、统筹考虑、突出重点、注重实效、完善机制的原则,推进交通运输行业信息系统等级保护体系建设,完善信息安全管理制度,建立健全信息安全防控技术措施和手段,切实提高信息系统安全保护能力,保障和促进交通运输行业信息化科学健康有序发展。
二、总体目标
到2015年底前,基本建立交通运输行业信息安全等级保护常态化运行和监督检查机制,完善管理制度和技防手段,切实提高交通运输行业信息安全防护能力、隐患发现能力、应急处置能力,为交通运输行业信息化健康发展提供可靠保障。主要是:完成安全保护等级为第二级以上(含第二级)的已运营(运行)信息系统的定级备案、安全建设整改和测评;新建、扩建、升级改造的信息系统在规划建设阶段同步开展信息系统定级、备案、安全建设及测评;完善行业信息安全等级保护政策标准体系,建立行业信息安全等级保护工作情况动态报送和监督检查机制。
三、主要依据
(一)《中华人民共和国计算机信息系统安全保护条例》(国务院147号令);
(二)《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号);
(三)《信息安全等级保护管理办法》(公通字〔2007〕43号);
(四)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号);
(五)《信息安全等级保护备案实施细则》(公信安〔2007〕1360号);
(六)《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号);
(七)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号);
(八)《计算机信息系统安全保护等级划分准则》(GB17859);
(九)《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2008);
(十)《信息安全技术信息系统安全等级保护实施指南》(GB/T25058-2010);
(十一)《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)。
以上政策文件和标准规范均可从中国信息安全等级保护网(http://www.djbh.net)查询下载。
四、主要任务及工作安排
(一)信息系统摸底调查。
组织开展对本单位信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,确定定级对象。
2012年7月底前,各单位应完成信息系统情况摸底调查,并填写《信息系统信息安全等级保护情况统计表》(见附件),盖章后报部科技司。已经完成定级备案手续的系统,应将该系统《信息系统安全等级保护备案表》和公安机关出具的《信息系统安全等级保护备案证明》报部科技司。
(二)信息系统定级备案。
按照《信息安全技术信息系统安全等级保护定级指南》,认真分析信息系统业务信息安全和系统服务安全,科学准确开展系统的定级。已运营(运行)、但尚未定级的重要信息系统要进行补充定级,新建、扩建和升级改造信息系统在规划设计阶段要同步完成系统定级工作。
对于安全保护等级为二级(含第二级)的系统,各单位应按照《信息安全等级保护备案实施细则》要求,到相应公安机关备案。
2012年9月底前,各单位要开展已运营(运行)和新建、扩建、升级改造的信息系统的定级,并履行备案手续,定级备案结果同时报部科技司。
(三)等级保护安全建设整改。
各单位应对照《信息安全技术信息系统安全等级保护基本要求》等标准规范,开展已建信息系统安全保护现状评估,分析查找存在的安全隐患和差距,制定信息系统安全等级保护建设整改方案并组织实施。
新建、扩建和升级改造信息系统要在项目立项及规划设计阶段,同步规划等级保护总体设计方案,并在项目建设过程中同步完成信息安全等级保护建设工作。信息系统正式运行后,要继续做好安全运行维护管理,在制度、人员、资金等方面给予保障,形成常态化的信息安全保障机制。
2012年12月底前,完成第三级以上(含第三级)已定级信息系统的安全建设和整改工作。2013年12月底,完成第二级以上(含第二级)已定级信息系统的安全建设和整改工作。
(四)等级保护测评。
系统建设整改工作完成后,应当按照《信息安全等级保护管理办法》要求,从全国信息安全等级保护测评机构推荐目录(见www.djbh.net)中选择取得《信息安全等级保护测评机构推荐证书》的测评机构,开展等级测评。第四级信息系统应当每半年至少进行一次等级测评;第三级信息系统应当每年至少进行一次等级测评;第二级信息系统可参照第三级信息系统的要求进行等级测评。
(五)等级保护工作监督检查。
各单位应定期开展等级保护自查,重点检查信息安全责任落实情况、安全管理制度的落实情况、重要信息系统的安全防护状况、建设整改情况、信息安全等级测评情况、检查中发现问题整改情况,并编写年度信息安全等级保护工作报告,于每年11月底前报部科技司。
部信息化主管部门将组织建立信息安全等级保护联络员队伍,定期组织开展信息安全等级保护工作督导检查。
五、职责分工
按照“谁主管、谁负责”、“谁运维、谁负责”的原则,信息系统的主管部门及运营、使用单位按照等级保护的管理规范和技术标准进行信息安全建设和管理。
部科技司负责交通运输行业信息安全等级保护工作的指导、监督和检查,组织研究制订有关政策文件和标准规范。
各地方交通运输主管部门负责本地区交通运输行业系统信息安全等级保护工作的组织实施和监督检查。
六、工作要求
(一)加强领导,明确责任。各单位要进一步提高对信息安全等级保护工作重要性和紧迫性的认识,切实加强对等级保护工作的组织领导,确立安全管理机构及其职责,落实信息安全等级保护管理岗位和人员,明确相关部门的安全责任,确保各项要求落实到位。
(二)保障经费,加强监管。各单位要建立稳定的信息安全等级保护经费投入机制,将信息安全等级保护建设整改、等级测评、信息安全服务、技术培训等费用纳入信息化建设经费预算,保障等级保护工作的有效开展,并加强对资金使用的监管。
(三)突出重点,同步建设。各单位要根据自身实际情况,对等级保护体系建设进行统筹规划,找准存在的薄弱环节和突出问题,优先抓好重要信息系统的测评整改建设。对新建、扩建、升级改造的信息系统要确保等级保护措施的同步规划、同步设计和同步实施。
(四)加强培训,建设队伍。各单位要加强安全建设管理、安全运维和应急保障队伍建设,积极组织开展相关人员进行安全管理政策制度和技术技能培训,为信息安全等级保护工作开展提供有效的人员队伍保障。
(五)协调推进,强化监督。要注重等级保护工作的统筹协调推进,建立健全等级保护工作情况报送汇总、督促检查、工作交流机制,组建行业信息安全联络员队伍。部根据情况定期组织开展信息安全等级保护工作监督检查。
中华人民共和国交通运输部办公厅(章)
二〇一二年五月二十一日