皖国土资函〔2010〕1640号
厅机关各处、室、部、局,厅属事业单位:
为贯彻落实《关于印发<安徽省重要信息系统等级保护安全建设工作方案>的通知》(皖公通〔2010〕64号)文件精神,认真做好我厅重要信息系统等级保护安全建设工作,全面提高我厅信息安全的保障能力和防护水平,结合我厅实际,制定本实施方案。
一、工作目标
依据等级保护有关政策和标准,全面完成厅机关、厅属事业单位已运行信息系统定级备案工作,开展重要信息系统安全保护状况测评和安全建设工作;建立健全厅机关、厅属事业单位之间渠道畅通、责任明确、运作协调、通力合作的信息系统安全等级保护工作机制。
二、组织领导
成立安徽省国土资源厅信息安全等级保护工作小组,厅党组成员、巡视员杨先静任组长,办公室主任赵建明、政策法规处处长袁启、财务处处长刘健、监察室主任马士忠、省国土资源信息中心主任周华民任成员,负责组织国土资源系统的信息安全等级保护工作。厅信息安全等级保护工作小组下设办公室(简称等保办),挂靠在厅办公室,与厅信息化工作办公室合署办公,赵建明兼任等保办主任。各单位也要成立信息安全等级保护工作组,负责组织实施本单位的信息系统安全等级保护工作。
三、工作对象
厅机关、厅属各事业单位有关重要信息系统。
四、工作内容
(一)全面完成定级备案。对厅机关和厅属各事业单位信息系统进行彻底清理,梳理出未定级、未备案或者定级不当的信息系统,严格按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》予以纠正,确保定级准确、备案全面。安全保护等级为第二级以上的信息系统,在系统投入运行后(新建系统)或确定等级后(已运营的系统)到公安机关办理备案手续。对拟确定为第四级以上信息系统的,请国家信息安全保护等级专家评审委员会进行定级评审。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
(二)积极开展安全建设工作。在安全服务机构、测评机构的支持下,对厅机关和厅属各事业单位的信息系统进行评估,对照相关标准查找差距,针对存在的安全隐患以及未落实的安全措施制订安全整改方案,明确整改的目标、项目和进度,并报省公安厅备案。在此基础上,依法开展安全整改工作,配备符合《管理办法》要求的安全专用产品,落实安全技术措施,健全安全管理制度。对于新建、改建、扩建的信息系统,在规划、设计、建设等环节同步落实安全等级保护要求。涉密信息系统的建设整改,按照《涉及国家秘密的信息系统分级保护管理办法》中涉密系统集成资质、方案设计与论证、工程实施的有关要求进行。
(三)进行安全评测验收。在安全整改完成后,委托符合规定的测评机构测评确认信息系统的安全保护状况已符合相关标准要求。安全测评和风险评估要形成相关文档,作为项目验收的重要内容。经测评,信息系统安全状况未达到安全保护等级要求的,应制定方案进行整改。涉密信息系统的测评和风险评估由国家保密局授权的测评机构承担。
(四)做好安全监督检查。厅机关、厅属各事业单位应对本单位信息系统是否履行定级、备案手续进行自查,厅等保办将对厅属各单位涉密信息系统分级保护工作进行指导、监督和检查。定级不准的,要重新审核确定,安全措施不符合要求的,要落实整改措施。
五、工作计划
(一)工作部署阶段(2010年8月30日前)
召开座谈会,明确分管领导和业务部门负责人,按照《安徽省重要信息系统等级保护安全建设工作方案》要求,制定我厅信息安全等级保护实施方案,于8月底前报省信息安全等级保护协调小组办公室。
(二)完善备案阶段(2010年9月30日前)
对厅机关和厅属事业单位信息系统定级备案情况进行一次全面梳理,重点解决未定级、漏定级、定级不准等问题。厅机关信息系统定级备案梳理工作由厅信息中心负责完成,厅属事业单位信息系统定级备案梳理工作由各单位自行负责,并将梳理结果于9月20日前报厅等保办。9月30日前,厅等保办将尚未定级、需要重新定级的信息系统汇总后,以定级备案表形式向省公安厅报送,履行相关定级备案手续。同时,将厅机关和厅属各事业单位定级备案情况汇总形成《信息安全等级保护备案登记表》,报送省信息安全等级保护协调小组办公室。
(三)建设整改阶段(2010年12月31日前)
2010年10月31日前,按照《信息安全等级保护管理办法》、《信息系统安全等级保护基本要求》等相关标准规范,对厅机关和厅属事业单位信息系统进行评估,制定我厅《安全建设整改方案》,报省信息安全保护协调小组办公室备案。2010年12月31日前,按照我厅《安全建设整改方案》,基本实施完成安全建设整改工作。
(四)测评验收阶段(2010年2月底前)
2011年2月底前,在测评机构指导下,对已整改完毕的信息系统进行测评,形成《测评报告》,报省信息安全保护协调小组办公室备案。
六、工作要求
(一)高度重视,认真贯彻落实。各单位要高度重视信息安全等级保护工作,建立健全等级保护工作协调机制,完善工作制度,明确安全责任,落实系统安全建设和维护经费,切实加强组织领导,将信息系统等级保护安全建设工作真正落到实处。
(二)多措并举,加强宣传教育。信息系统等级保护安全建设是一件事关国家安全和社会稳定的大事,是保障和促进信息化建设健康发展的一项重要举措,各单位要采取多种形式,加强宣传和教育,提前做好相关政策、管理、技术、标准等方面的培训,为开展信息系统等级保护安全建设营造良好的技术基础和人文环境。
(三)加强自查,做好总结验收。对信息系统等级保护安全建工作进行认真自查和总结,遇到问题或难题,及时向省等保办联系咨询,做好材料的收集和整理等相关准备工作,积极迎接省等保办组织的统一检查。
二○一○年八月三十一日