关于进一步加强网络与信息安全管理的实施意见.docx
《关于进一步加强网络与信息安全管理的实施意见.docx》由会员分享,可在线阅读,更多相关《关于进一步加强网络与信息安全管理的实施意见.docx(18页珍藏版)》请在冰点文库上搜索。
关于进一步加强网络与信息安全管理的实施意见
关于进一步加强网络与信息安全管理的实施意见
(代拟稿)
为了进一步规范我市政务和社会服务行业信息系统建设工作,
提高网络与信息安全的保障能力和防护水平,维护国家安全、公共
利益和社会稳定,结合我市实际,现就加强网络信息安全管理工作
提出如下意见。
一、深刻认识加强网络与信息安全管理的重要意义
近年来,国家、省、市高度重视网络与信息安全管理,在各有关
方面协调配合、共同努力下,我市网络与信息安全管理工作取得了
很大进展。
但是从总体上看,我市网络与信息安全保障工作尚处于
起步阶段,基础薄弱,水平不高,存在以下突出问题:
网络与信息安
全意识和安全防范能力薄弱,信息安全滞后于信息化发展;网络与
信息安全管理投入不足,保障乏力;信息系统安全建设和管理的目
标不明确;网络与信息安全保障工作的重点不突出;网络与信息安全
监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。
随着信息技术的高速发展和网络应用的迅速普及,国民经济和社会
信息化进程全面加快,信息系统的基础性、全局性作用日益增强,信
息资源已经成为经济建设和社会发展的重要战略资源之一。
保障信
息安全,维护国家安全、公共利益和社会稳定,是当前信息化发展中
迫切需要解决的重大问题。
加强网络与信息安全管理,能够有效地提高我国信息和信息系
-1-
统安全建设的整体水平,有利于在信息化建设过程中同步建设信息
安全设施,保障信息安全与信息化建设相协调;有利于为信息系统
安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控
制信息安全建设成本;有利于优化信息安全资源的配置,对信息系
统分级实施保护,重点保障基础信息网络和关系国家安全、经济命
脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人
和其他组织、公民的信息安全责任,加强信息安全管理。
二、加强网络与信息安全管理的指导思想
以邓小平理论和“三个代表”重要思想为指导,坚持积极防御、
综合防范相结合的方针和管理与技术并重的原则,统筹规划,突出
重点,全面提高网络与信息安全防护能力,重点保障基础信息网络
和重要信息系统安全,创建安全健康的网络环境。
正确处理安全与
发展的关系,以安全保发展,在发展中求安全,明确责任,密切配合,
动员全社会力量,共同构筑信息安全保障体系,保障和促进我市信
息化建设健康、有序发展。
三、成立组织机构,落实网络与信息安全管理责任
为进一步加强对全市网络与信息安全工作的领导,提高全市网
络与信息安全保障能力,市委、市人民政府决定组建安顺市网络与
信息安全领导小组,其组成人员如下:
组长:
陈坚市委书记
周建琨市委副书记、代市长
副组长:
何述祥市人大常委会主任
-2-
韦林市政协主席
杨梦龙市委常委、市人民政府常务副市长
周云市委常委、市委政法委书记
颜学丽市委常委、市委宣传部长
成员:
葛荣华市人大常委会秘书长
罗晓红市人民政府秘书长
叶晓愉市政协秘书长
市委常务副秘书长
郭江林市人民政府副秘书长
李猛市人民政府副秘书长、市政务服务局局长
市人力资源与社会保障局局长
市公安局局长
市教育局局长
毛连辉市工信委主任
徐德祥市发改委主任
童景岩市科技局局长
张骊龙市财政局局长
李全绥市国土资源局局长
方东市交通局局长
金中苏市农业局局长
市商务局局长
邹正明市文化局局长
-3-
张波市卫生局长
褚代宽市人口计生委主任
罗吉红市统计局局长
杨帆市广电局局长
马俊峰市规划局局长
肖丽市城管局局长
夏元伦市国安局局长
方庆文市气象局局长
崔亚丽人行安顺支行行长
汪氏桥市监察局副局长
张家智市委保密办主任、市国家保密局局长
李志敏市委办公室机要局局长
孟宪刚市电子政务办主任
领导小组主要职责:
1.负责审批网络与信息安全建设计划、规划,对与网络与信息安
全管理有关的重大事项进行决策,组织、协调网络与信息安全工作。
2.指导协调信息安全保障体系、数字认证工作。
3.指导监督政府部门、重点行业的重要信息系统与基础信息网
络的安全保障工作。
4.负责制定全市网络与信息安全事件应急预案,并组织必要的
演练,做好紧急重大、突发事件的应急处理工作。
市网络与信息安全领导小组的日常工作由杨梦龙同志负责。
领
-4-
导小组下设办公室在市工业和信息化委员会,具体承担领导小组的
日常工作。
毛连辉同志兼任办公室主任。
领导小组办公室主要负责
重大网络与信息安全保障措施的落实、协调、检查和督促网络信息
安全保障的有关工作。
督促检查、落实各行业、各部门网络与信息安
全责任制并进行备案登记;建立网络信息安全领导、机构、工作人员
数据库。
市公安局承担网络信息系统的安全等级保护管理工作;负责组
织各行业、各部门按照统一标准落实互联网安全审查系统的建设和
实施;负责打击网络攻击破坏和包括计算机病毒在内的恶意代码传
播等违法犯罪活动;指导、监督、检查并组织实施信息网络违法犯罪
案件的查处工作。
负责网络信息系统涉及国家的保护管理工作;依
法打击利用互联网进行危害国家安全和社会稳定的违法犯罪活动。
市文体局负责广播电视传输网的安全管理工作;组织监测发现
广电网络上有害、敏感视听节目,会同有关部门进行处置和管控;组
织监测发现卫星干扰广播电视信号时间并进行处置。
市保密局负责涉及国家秘密的网络信息系统建设和应用中的保
密管理;组织查处网络信息系统泄密事件,对网络信息系统泄密案
件有关材料进行密级鉴定。
市电子政务办负责电子政务专网和依托专网开展的各应用系统
的安全管理工作;负责市委、市政府机关政务网的安全管理工作;指
导政府系统公众网站的安全工作。
四、提供资金保障,加快网络与信息安全基础设施建设
-5-
各部门要在市电子政务系统建设规划的统一框架内,充分利用
现有设备和设施建设的技术上,多渠道筹措资金,进一步加强网络
与信息安全设施建设。
在建好电子内网、外网和门户网站及重要信
息系统、数据库系统的同时,必须同步规划、涉及、建设相应的网络
信息安全防护设施。
重要的网络系统、信息系统、数据库系统必须按
照信息系统等级保护规定,在运行、维护的过程中加强安全保护和
防范工作。
各部门要安排必要经费,配备网络信息安全基础设施。
各有关部门在金融、电力、广播电视、电信、交通、医疗等重要
信息系统管理、建设、运行中,要强化网络信息安全意识,建立健全
网络信息安全防护体系,将信息安全防护设施建设、运行、维护、检
查和管理费用纳入单位预算,安排专项经费。
五、加强教育培训,提高网络信息安全意识
各单位要认真组织开展经常化、制度化的网络与信息安全培训
和警示教育,按时参加信息安全形势报告会、典型案例分析会等形
式多样的宣传教育活动,把网络与信息安全教育作为岗前培训和业
务学习的重要内容,并把网络与信息安全防护工作纳入年度目标管
理考核范围。
各单位要进一步提高自身网络信息与安全意识和管理
水平,加快研究建立党政机关人员网络与信息安全技能考试制度,
逐步做到工作人员持证上岗。
市网络与信息安全领导小组办公室要尽快建立健全公务人员网
络信息安全培训、考试制度,全面提高公务人员网络信息安全意识
和防护技能。
-6-
六、完善防范机制,加强网络信息安全基础性工作
各单位要严格执行计算机配置管理和安全审计制度。
对办公用
计算机和移动存储设备实行配置管理、统一编号、统一标识、统一登
记;对办公用计算机逐步加装安全审计工具,定期进行安全审计。
规
范电子文件的复制、传递,涉密电子文件必须在涉密信息系统中存
储、处理、复制和传递,严格按照同等密级纸质文件的有关规定进行
管理。
逐步采用加密等技术手段对电子文件的存储和传输进行保护。
涉密电子文件的存储、处理和传输,必须按照涉及国家秘密的信息
系统分级保护技术要求进行保护。
加快建立健全以身份认证、访问
控制、安全审计、责任认定、病毒防护为主要内容的网络安全体系,
完善网络安全技术防护手段。
加强对信息系统账户、口令、软件补丁
等管理,及时更新和升级,坚决杜绝弱口令、弱密码,消除安全隐患。
市网络与信息安全领导小组办公室要切实做好重要系统网络信
息安全风险评估工作。
用两年左右的时间对已建成的重要信息系统
全部进行安全风险评估,新建的重要信息系统在正式投入运行前,
应当进行安全风险评估。
涉密信息系统的安全风险评估工作由保密
局负责。
公安局按照国家、自治区、地区有关规定,对重要信息系统
实施分级保护。
加强对重点部门、重要信息系统安全等级保护工作
的监督检查,把重要的信息系统全部纳入等级保护。
会同有关部门
组建信息与安全保护等级专家评审委员会,对重要信息系统安全保
护定级进行咨询评审。
-7-
建立健全网络与信息安全事件应急工作机制,提高应对网络与
信息安全事件能力,预防和减少网络与信息安全事件造成的损失和
危害。
重要信息系统管理单位和基础信息网络运营商要进一步完善
信息安全应急预案,明确应急处理流程、临机处置权限,落实应急技
术管理队伍。
组织开展应急演练,确保应急预案的可操作性,保证相
关人员熟悉应急预案,提高应急处置能力。
网络与信息安全领导小
组办公室要做好各单位网络信息安全应急预案的监督检查和登记备
案工作;涉密信息系统信息安全应急预案的监督检查和登记备案工
作由保密局负责。
七、加强监督检查,确保日常安全防范工作
网络与信息安全领导小组办公室要加强对网络与信息安全工作
的监督检查,针对存在的问题及时采取有效措施,堵塞安全漏洞,减
少安全风险。
在配合地区做好全市网络信息安全检查工作的同时,
每年组织一次网络与信息安全专项检查,并将汇总检查情况报市人
民政府和省网络与信息安全领导小组。
加大信息安全和保密执法工
作力度,对违反信息安全和保密管理规定的,予以严肃处理,对造成
失泄密事件和信息安全事故的,依法追究当事人和有关负责人的责
任。
建立网络泄密举报制度和奖惩制度,明确举报方式,受理机构和
奖惩办法,充分调动社会各界和广大群众的监督作用。
各单位每半年要对本部门网络与信息安全情况进行自查,并将自查
情况上报市网络与信息安全领导小组办公室。
八、网络与信息安全管理工作实施计划
-8-
计划用三年左右的时间在全国范围内分三个阶段实施信息安全
等级保护制度。
(一)准备阶段。
为了保障信息安全等级保护制度的顺利实施,
在全面实施等级保护制度之前,用一年左右的时间做好下列准备工
作:
1.加强领导,落实责任。
在国家网络与信息安全协调小组的领导
下,地方各级人民政府、信息安全监管职能部门、信息系统的主管部
门和运营、使用单位要明确各自的安全责任,建立协调配合机制,分
别制定详细的实施方案,积极推进信息安全等级保护制度的建立,
推动信息安全管理运行机制的建立和完善。
2.加快完善法律法规和标准体系。
法律规范和技术标准是推广
和实施信息安全等级保护工作的法律依据和技术保障。
为此,《信息
安全等级保护管理办法》和《信息安全等级保护实施指南》、《信息安
全等级保护评估指南》等法规、规范要加紧制定,尽快出台。
加快信息安全等级保护管理与技术标准的制定和完善,其他现
行的相关标准规范中与等级保护管理规范和技术标准不相适应的,
应当进行调整。
3.建设信息安全等级保护监督管理队伍和技术支撑体系。
信息
安全监管职能部门要建立专门的信息安全等级保护监督检查机构,
充实力量,加强建设,抓紧培训,使监督检查人员能够全面掌握信息
安全等级保护相关法律规范和管理规范及技术标准,熟练运用技术
工具,切实承担信息安全等级保护的指导、监督、检查职责。
同时,
-9-
还要建立信息安全等级保护监督、检查工作的技术支撑体系,组织
研制、开发科学、实用的检查、评估工具。
4.进一步做好等级保护试点工作。
选择电子政务、电子商务以及
其他方面的重点单位开展等级保护试点工作,并在试点工作的基础
上进一步完善等级保护实施指南等相关的配套规范、标准和工具,
积累信息安全等级保护工作实施的方法和经验。
5.加强宣传、培训工作。
地方各级人民政府、信息安全监管职能
部门和信息系统的主管部门要积极宣传信息安全等级保护的相关法
规、标准和政策,组织开展相关培训,提高对信息安全等级保护工作
的认识和重视,积极推动各有关部门、单位做好开展信息安全等级
保护工作的前期准备。
(二)重点实行阶段。
在做好前期准备工作的基础上,用一年左
右的时间,在国家重点保护的涉及国家安全、经济命脉、社会稳定的
基础信息网络和重要信息系统中实行等级保护制度。
经过一年的建
设,使基础信息网络和重要信息系统的核心要害部位得到有效保护,
涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系
统的保护状况得到较大改善,结束目前基本没有保护措施或保护措
施不到位的状况。
在工作中,如发现等级保护的管理规范和技术标准以及检查评
估工具等存在问题,及时组织有关部门进行调整和修订。
(三)全面实行阶段。
在试行工作的基础上,用一年左右的时间,
在全国全面推行信息安全等级保护制度。
已经实施等级保护制度的
- 10 -
信息和信息系统的运营、使用单位及其主管部门,要进一步完善信
息安全保护措施。
没有实施等级保护制度的,要按照等级保护的管
理规范和技术标准认真组织落实。
经过三年的努力,逐步将信息安全等级保护制度落实到信息安
全规划、建设、评估、运行维护等各个环节,使我国信息安全保障状
况得到基本改善。
九、实施信息安全等级保护工作的要求
信息安全等级保护工作要突出重点、分级负责、分类指导、分步
实施,按照谁主管谁负责、谁运营谁负责的要求,明确主管部门以及
信息系统建设、运行、维护、使用单位和个人的安全责任,分别落实
等级保护措施。
实施信息安全等级保护应当做好以下六个方面工作:
(一)完善标准,分类指导。
制定系统完整的信息安全等级保护
管理规范和技术标准,并根据工作开展的实际情况不断补充完善。
信息安全监管职能部门对不同重要程度的信息和信息系统的安全等
级保护工作给予相应的指导,确保等级保护工作顺利开展。
(二)科学定级,严格备案。
信息和信息系统的运营、使用单位按
照等级保护的管理规范和技术标准,确定其信息和信息系统的安全
保护等级,并报其主管部门审批同意。
对于包含多个子系统的信息系统,在保障信息系统安全互联和
有效信息共享的前提下,应当根据等级保护的管理规定、技术标准
和信息系统内各子系统的重要程度,分别确定安全保护等级。
跨地
- 11 -
域的大系统实行纵向保护和属地保护相结合的方式。
国务院信息化工作办公室组织国内有关信息安全专家成立信息
安全保护等级专家评审委员会。
重要的信息和信息系统的运营、使
用单位及其主管部门在确定信息和信息系统的安全保护等级时,应
请信息安全保护等级专家评审委员会给予咨询评审。
安全保护等级在三级以上的信息系统,由运营、使用单位报送
本地区地市级公安机关备案。
跨地域的信息系统由其主管部门向其
所在地的同级公安机关进行总备案,分系统分别由当地运营、使用
单位向本地地市级公安机关备案。
信息安全产品使用的分等级管理以及信息安全事件分等级响应、
处置的管理办法由公安部会同保密局、国密办、信息产业部和认监
委等部门制定。
(三)建设整改,落实措施。
对已有的信息系统,其运营、使用单
位根据已经确定的信息安全保护等级,按照等级保护的管理规范和
技术标准,采购和使用相应等级的信息安全产品,建设安全设施,落
实安全技术措施,完成系统整改。
对新建、改建、扩建的信息系统应
当按照等级保护的管理规范和技术标准进行信息系统的规划设计、
建设施工。
(四)自查自纠,落实要求。
信息和信息系统的运营、使用单位及
其主管部门按照等级保护的管理规范和技术标准,对已经完成安全
等级保护建设的信息系统进行检查评估,发现问题及时整改,加强
和完善自身信息安全等级保护制度的建设,加强自我保护。
- 12 -
(五)建立制度,加强管理。
信息和信息系统的运营、使用单位按
照与本系统安全保护等级相对应的管理规范和技术标准的要求,定
期进行安全状况检测评估,及时消除安全隐患和漏洞,建立安全制
度,制定不同等级信息安全事件的响应、处置预案,加强信息系统的
安全管理。
信息和信息系统的主管部门应当按照等级保护的管理规
范和技术标准的要求做好监督管理工作,发现问题,及时督促整改。
(六)监督检查,完善保护。
公安机关按照等级保护的管理规范
和技术标准的要求,重点对第三、第四级信息和信息系统的安全等
级保护状况进行监督检查。
发现确定的安全保护等级不符合等级保
护的管理规范和技术标准的,要通知信息和信息系统的主管部门及
运营、使用单位进行整改;发现存在安全隐患或未达到等级保护的
管理规范和技术标准要求的,要限期整改,使信息和信息系统的安
全保护措施更加完善。
对信息系统中使用的信息安全产品的等级进
行监督检查。
对第五级信息和信息系统的监督检查,由国家指定的专门部门、
专门机构按照有关规定进行。
- 13 -
升级会员 