首页>>技术前沿>>网站/软件行业动态西安市信息安全等级保护管理工作实施意见(全文)
为规范和加强信息安全等级保护管理工作,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,根据《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)、《信息系统安全等级保护管理办法》(公通字〔2007〕43号)及有关法律法规,结合西安市实际,制定本实施意见。
一、指导思想
按照国家及公安部的总体要求和部署,突出重点、统一规范、科学合理的实施信息安全等级保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息安全,进一步明确信息安全责任,加强信息安全管理,保障和促进西安市信息安全。
二、工作机制
西安市公安局负责信息安全等级保护的日常管理工作和监督、检查、指导工作。
信息系统运营、使用单位法定代表人或同级别的主要负责人为本单位信息安全等级保护工作第一责任人,负责本单位信息安全等级保护工作的组织实施,落实等级保护所需人员、经费和技术设施,建立必要的资金保障机制。采取相应安全保护技术措施,保障信息安全可靠运行。
三、工作内容
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。本市辖区内的信息系统运营、使用单位按照“谁主管、谁负责,谁运营、谁负责”的原则,对其信息系统分等级进行保护,履行等级保护职责。
(一)定级工作。根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本的安全保护水平等因素,将信息系统划分为“自主保护级、指导保护级、监督保护级、强制保护级、专控保护级”等五个安全保护和监管等级。从第一级到第五级,信息安全保护的程度和监督管理的强度逐级增强。
(二)备案工作。已运营(运行)的第二级(含)以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到西安市公安局办理定级备案;新建第二级(含)以上信息系统应当在规划设计时,按规定确定安全保护等级,按照相应等级的保护要求同步建设等级保护管理制度和安全保护技术措施,并在建成投入运行后30日内,由其运营、使用单位到西安市公安局办理定级备案;信息系统安全保护等级发生改变的,其运营、使用单位应当在30日内到西安市公安局办理变更备案。
(三)等级测评工作。重要部门第二级(含)以上信息系统完成定级备案后30日内,运营、使用单位或者其主管部门应当选择具有相关资质和经西安市公安局认可的第三方测评机构,对信息系统安全等级状况开展等级测评。信息系统安全等级保护测评服务合同应当使用西安市公安局规定的制式合同模版,并在签订后5日内在西安市公安局进行备案,测评机构进入信息系统运营、使用单位现场测评后3日内,向西安市公安局提交《入场告知函》,10日内向西安市公安局提交经被测评单位正式确认的测评方案。信息系统运营、使用单位在测评结束后10日内向西安市公安局提交测评报告。
对于信息系统经测评未达到相应等级保护要求的,第三方测评机构应提出相应整改意见,运营、使用单位应当依照等级保护管理规范和技术标准,针对不符合要求的测评项目制定安全建设整改方案。整改期限最长不得超过3个月,对于确实无法立即整改的项目,系统运营、使用单位需向西安市公安局提交书面报告说明客观原因及风险可控情况。
信息系统运营、使用单位应当委托具有相关资质和经西安市公安局认可的第三方测评机构对重要部门第二级信息系统的安全保护状况每2年开展1次全面测评,对第三级信息系统的安全保护状况每年开展1次全面测评,对第四级信息系统每半年开展1次全面测评,及时发现、整改存在的安全问题,消除安全隐患,建立等级保护常态工作机制。
测评机构开展测评活动的测评费用应当根据信息系统等级保护测评工作内容和测评人员工作量进行核算。系统测评内容可以分为共性内容测评与非共性内容测评。第三级信息系统共性测评内容工作量不得少于15人天(人天是用来计量项目工作量的单位,15人天即1人15天或15人1天的工作量),非共性测评内容工作量不得少于47人天;第二级信息系统共性测评内容工作量不少于11人天,非共性测评内容工作量不得少于35人天。同一单位多套第三级、第二级信息系统测评工作量计算中共性内容测评不再重复计算。
信息系统运营、使用单位应当每年对本单位等级保护制度建设情况及安全建设整改工作情况进行总结,对发生过的信息安全突发公共事件如实说明,并于年底前书面报送西安市公安局。
(四)监督检查工作。西安市公安局对第二级(含)以上信息系统的运营、使用单位的信息系统安全等级保护工作情况进行检查。对第二级、第三级信息系统每年至少检查1次,对第四级信息系统每半年至少检查1次。
四、监督管理
依据《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)、《中华人民共和国计算机信息网络国际联网管理暂行规定》(国务院令第195号)、《中华人民共和国互联网信息服务管理办法》(国务院令第292号)等规定,明确以下监督管理措施,由西安市公安局负责组织实施。
(一)第三方测评机构及其测评人员在开展测评活动中有下列行为之一的,西安市公安局对于测评行为不予认可,并责令其限期整改。整改完毕后提交整改报告,由西安市公安局进行现场复查,逾期未整改或整改不合格的将予以通报,并督促其整改合格。
1.违反《国家信息安全等级保护测评机构管理办法》的;
2.在测评工作中出现违反保守国家秘密、商业秘密和个人隐私原则的;
3.未按测评技术标准对信息系统开展安全测评工作的;
4.在测评工作中出现重大失误的;
5.不积极配合西安市公安局工作,不服从工作协调的;
6.被信息系统运营、使用单位投诉的;
7.其他违规的情况。
(二)信息系统运营、使用单位有下列行为的,依法处理。
1.未建立安全保护管理制度的;
2.未采取安全技术保护措施的;
3.未对网络用户进行安全教育和培训的;
4.未提供安全保护管理所需信息、资料及数据文件,或者所提供内容不真实的;
5.未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
6.未经允许,对计算机信息网络功能进行删除、修改或者增加的;
7.未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
8.故意制作、传播计算机病毒等破坏性程序的;
9.其他危害计算机信息网络安全的。
(三)信息系统运营、使用单位有下列行为之一的,由西安市公安局责令其限期整改,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果。
1.未按规定备案、审批的;
2.未按规定落实安全管理制度、措施的;
3.未按规定开展系统安全状况检查的;
4.未按规定开展系统安全技术测评的;
5.未按规定选择使用信息安全产品和测评机构的;
6.违反其他规定的。
(四)信息系统运营、使用单位有下列行为的,依法处理。
1.违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的;
2.不按照规定时间报告计算机信息系统中发生的案件的;
3.接到公安机关要求改进安全状况的通知后,在限期内拒不改进的;
4.信息系统安全保护等级定级不准确的;
5.系统发生变化,安全保护等级未及时进行调整并重新备案的;
6.有危害计算机信息系统安全的其他行为的。【全文完】
一、指导思想
按照国家及公安部的总体要求和部署,突出重点、统一规范、科学合理的实施信息安全等级保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息安全,进一步明确信息安全责任,加强信息安全管理,保障和促进西安市信息安全。
二、工作机制
西安市公安局负责信息安全等级保护的日常管理工作和监督、检查、指导工作。
信息系统运营、使用单位法定代表人或同级别的主要负责人为本单位信息安全等级保护工作第一责任人,负责本单位信息安全等级保护工作的组织实施,落实等级保护所需人员、经费和技术设施,建立必要的资金保障机制。采取相应安全保护技术措施,保障信息安全可靠运行。
三、工作内容
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。本市辖区内的信息系统运营、使用单位按照“谁主管、谁负责,谁运营、谁负责”的原则,对其信息系统分等级进行保护,履行等级保护职责。
(一)定级工作。根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本的安全保护水平等因素,将信息系统划分为“自主保护级、指导保护级、监督保护级、强制保护级、专控保护级”等五个安全保护和监管等级。从第一级到第五级,信息安全保护的程度和监督管理的强度逐级增强。
(二)备案工作。已运营(运行)的第二级(含)以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到西安市公安局办理定级备案;新建第二级(含)以上信息系统应当在规划设计时,按规定确定安全保护等级,按照相应等级的保护要求同步建设等级保护管理制度和安全保护技术措施,并在建成投入运行后30日内,由其运营、使用单位到西安市公安局办理定级备案;信息系统安全保护等级发生改变的,其运营、使用单位应当在30日内到西安市公安局办理变更备案。
(三)等级测评工作。重要部门第二级(含)以上信息系统完成定级备案后30日内,运营、使用单位或者其主管部门应当选择具有相关资质和经西安市公安局认可的第三方测评机构,对信息系统安全等级状况开展等级测评。信息系统安全等级保护测评服务合同应当使用西安市公安局规定的制式合同模版,并在签订后5日内在西安市公安局进行备案,测评机构进入信息系统运营、使用单位现场测评后3日内,向西安市公安局提交《入场告知函》,10日内向西安市公安局提交经被测评单位正式确认的测评方案。信息系统运营、使用单位在测评结束后10日内向西安市公安局提交测评报告。
对于信息系统经测评未达到相应等级保护要求的,第三方测评机构应提出相应整改意见,运营、使用单位应当依照等级保护管理规范和技术标准,针对不符合要求的测评项目制定安全建设整改方案。整改期限最长不得超过3个月,对于确实无法立即整改的项目,系统运营、使用单位需向西安市公安局提交书面报告说明客观原因及风险可控情况。
信息系统运营、使用单位应当委托具有相关资质和经西安市公安局认可的第三方测评机构对重要部门第二级信息系统的安全保护状况每2年开展1次全面测评,对第三级信息系统的安全保护状况每年开展1次全面测评,对第四级信息系统每半年开展1次全面测评,及时发现、整改存在的安全问题,消除安全隐患,建立等级保护常态工作机制。
测评机构开展测评活动的测评费用应当根据信息系统等级保护测评工作内容和测评人员工作量进行核算。系统测评内容可以分为共性内容测评与非共性内容测评。第三级信息系统共性测评内容工作量不得少于15人天(人天是用来计量项目工作量的单位,15人天即1人15天或15人1天的工作量),非共性测评内容工作量不得少于47人天;第二级信息系统共性测评内容工作量不少于11人天,非共性测评内容工作量不得少于35人天。同一单位多套第三级、第二级信息系统测评工作量计算中共性内容测评不再重复计算。
信息系统运营、使用单位应当每年对本单位等级保护制度建设情况及安全建设整改工作情况进行总结,对发生过的信息安全突发公共事件如实说明,并于年底前书面报送西安市公安局。
(四)监督检查工作。西安市公安局对第二级(含)以上信息系统的运营、使用单位的信息系统安全等级保护工作情况进行检查。对第二级、第三级信息系统每年至少检查1次,对第四级信息系统每半年至少检查1次。
四、监督管理
依据《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)、《中华人民共和国计算机信息网络国际联网管理暂行规定》(国务院令第195号)、《中华人民共和国互联网信息服务管理办法》(国务院令第292号)等规定,明确以下监督管理措施,由西安市公安局负责组织实施。
(一)第三方测评机构及其测评人员在开展测评活动中有下列行为之一的,西安市公安局对于测评行为不予认可,并责令其限期整改。整改完毕后提交整改报告,由西安市公安局进行现场复查,逾期未整改或整改不合格的将予以通报,并督促其整改合格。
1.违反《国家信息安全等级保护测评机构管理办法》的;
2.在测评工作中出现违反保守国家秘密、商业秘密和个人隐私原则的;
3.未按测评技术标准对信息系统开展安全测评工作的;
4.在测评工作中出现重大失误的;
5.不积极配合西安市公安局工作,不服从工作协调的;
6.被信息系统运营、使用单位投诉的;
7.其他违规的情况。
(二)信息系统运营、使用单位有下列行为的,依法处理。
1.未建立安全保护管理制度的;
2.未采取安全技术保护措施的;
3.未对网络用户进行安全教育和培训的;
4.未提供安全保护管理所需信息、资料及数据文件,或者所提供内容不真实的;
5.未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
6.未经允许,对计算机信息网络功能进行删除、修改或者增加的;
7.未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
8.故意制作、传播计算机病毒等破坏性程序的;
9.其他危害计算机信息网络安全的。
(三)信息系统运营、使用单位有下列行为之一的,由西安市公安局责令其限期整改,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果。
1.未按规定备案、审批的;
2.未按规定落实安全管理制度、措施的;
3.未按规定开展系统安全状况检查的;
4.未按规定开展系统安全技术测评的;
5.未按规定选择使用信息安全产品和测评机构的;
6.违反其他规定的。
(四)信息系统运营、使用单位有下列行为的,依法处理。
1.违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的;
2.不按照规定时间报告计算机信息系统中发生的案件的;
3.接到公安机关要求改进安全状况的通知后,在限期内拒不改进的;
4.信息系统安全保护等级定级不准确的;
5.系统发生变化,安全保护等级未及时进行调整并重新备案的;
6.有危害计算机信息系统安全的其他行为的。【全文完】
0 ([$-顶稿人数-$])
0 ([$-踩稿人数-$])
版权声明:
1、弈聪软件网站内容中凡注明“来源:XXX(非陕西弈聪网站)”的作品,转载自其它媒体,转载目的在于传递更多信息,其中涉及的网站建设,网站优化,APP开发,微信小程序开发,大数据平台开发,区块链技术开发等软件开发技术细节并不代表本站赞同支持其观点,并不对其真实性负责。对于署名“陕西弈聪”的作品系本站版权所有,任何人转载请署名来源,否则陕西弈聪将追究其相关法律责任。
2、本站内容中未声明为“原创”的内容可能源自其它网站,但并不代表本站支持其观点,对此带来的法律纠纷及其它责任与我方无关。如果此内容侵犯了您的权益,请联系我方进行删除。
企业动态
