关于开展水利行业信息系统安全等级保护定级工作的通知
办秘[2007]207号
部机关各司局,部直属各单位,各省、自治区、直辖市水利(水务)厅(局),各计划单列市水利(水务)局、新疆生产建设兵团水利局:
为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于印发<信息安全等级保护管理办法>的通知》(公通字〔2007〕43号)和《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)要求,进一步提高水利行业信息安全保护能力和水平,推进水利电子政务工作的健康、协调发展,经研究,定于近期开展水利信息安全等级保护定级工作。现将有关事项通知如下:
一、工作目标
深入贯彻落实国家有关信息安全等级保护的政策和规定,结合水利信息化实际,全面了解和掌握水利行业信息系统特别是重要信息系统情况,按照“谁主管、谁负责”的原则,科学、合理、准确地确定信息系统的安全等级,为进一步开展信息安全的规划、设计、建设、管理、评价、运行和维护提供依据,从而有效提高水利行业信息安全保护能力和水平,保障水利信息化的安全、健康、协调发展。
二、组织领导
1、成立水利部定级工作协调小组,水利部总工程师刘宁担任组长,办公厅副主任罗湘成、部信息办主任蔡阳担任副组长,成员由办公厅、水利信息中心、国家防汛抗旱指挥系统工程项目建设办公室、水土保持监测中心相关人员组成。水利部定级工作协调小组下设办公室(以下简称“协调小组办公室”),负责水利部及直属单位(含流域机构,下同)定级工作的统一组织和协调,协调小组办公室设在部信息办。
2、各省(自治区、直辖市)水利(水务)厅(局)、计划单列市水利(水务)局、新疆生产建设兵团水利局负责组织和开展本省单位的定级工作。
三、定级范围和对象
开展定级工作的范围包括:水利部机关、各直属单位,各省(自治区、直辖市)水利(水务)厅(局)、计划单列市水利(水务)局、新疆生产建设兵团水利局及直属建设(或正在建设)和运行的信息化基础网络和应用系统。
定级对象包括各类水利信息化基础网络和应用系统,如防汛抗旱指挥系统(含信息采集系统、网络系统、数据库系统、应用系统、安全系统等);政务内网(含网络系统、数据库系统、应用系统、安全系统等);水土保持监测网络和信息系统(含监测网络、数据库系统、应用系统、安全系统等);政府网站;各类水利业务管理信息系统等。
四、工作步骤
1、开展信息系统基本情况的摸底调查
各单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》(见附件1)要求,确定定级对象。
2、初步确定安全保护等级
各单位要按照《信息安全等级保护管理办法》初步确定定级对象的安全保护等级,起草定级报告(见附件2)。
3、评审与审批
协调小组办公室组织专家对部机关各司局、各直属单位的信息系统安全保护等级进行评审,并报水利部信息化工作领导小组进行审批。
各省(自治区、直辖市)水利(水务)厅(局)、计划单列市水利(水务)局、新疆生产建设兵团水利局的信息系统的安全保护等级,报相应的信息安全管理部门进行评审与审批。
4、备案
(1)部机关各司局、各直属单位(含流域机构)填写《信息系统安全等级保护备案表》(见附件2),并下载辅助备案工具,将填写的备案表和利用辅助备案工具生成的备案电子数据,报协调小组办公室,协调小组办公室汇总后统一到公安部门备案。
(2)各省(自治区、直辖市)水利(水务)厅(局)、计划单列市水利(水务)局、新疆生产建设兵团水利局的信息系统,填写《信息系统安全等级保护备案表》,并下载辅助备案工具,将生成的备案电子数据,报省级公安部门备案,同时报部备查。
(3)涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定,填写《涉及国家秘密的信息系统分级保护备案表》(见附件2)。部机关各司局、直属单位的涉密信息系统由部保密办统一组织备案;各省(自治区、直辖市)水利(水务)厅(局)、计划单列市水利(水务)局、新疆生产建设兵团水利局向所在地的省级保密工作部门备案。
五、工作进度
重要信息系统(安全保护等级为二级以上的,不含二级)的定级工作在9月底前完成,一般信息系统的定级工作在12月底前完成。
六、工作要求
1、提高认识,明确责任
各单位要从保障信息安全、保护国家安全和利益的高度充分认识定级工作的重要性,要明确责任部门,加强工作的组织和协调,保障定级工作的顺利进行。
2、把握原则,科学定级
在整个安全等级保护工作中要把握“准确定级、严格审批、及时备案、认真整改、科学测评”的原则。定级工作是等级保护工作的首要环节,是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统定级不准确,其他后续工作都将受到影响。各单位一定要加强对定级工作的掌握,把握定级工作的重点,按照相关文件和标准,力争找准对象,准确定级。
3、动员部署,开展培训
各单位要按照统一部署,制订本单位开展定级工作的计划,落实措施,做好动员,加强培训,保障定级工作的完整性和准确性。
4、及时总结,提出建议
各单位要结合本单位信息系统建设和运行的实际情况,认真总结定级工作的经验和不足,提出改进和完善定级工作的意见和建议,及时报送协调小组办公室。
5、立足定级,加强保护
各单位要在本次定级工作完成的基础上,按照《信息安全等级保护管理办法》和有关技术标准,继续开展信息系统安全等级保护的系统建设或整改、等级测评、自查自纠等后续工作。