公安部釋出資訊安全等級保護整改工作的指導意見

為進一步貫徹落實《國家資訊化上司小組關于加強資訊安全保障工作的意見》和《關于資訊安全等級保護工作的實施意見》、《資訊安全等級保護管理辦法》（以下簡稱《管理辦法》）精神，指導各部門在資訊安全等級保護定級工作基礎上，開展已定級資訊系統（不包括涉及國家秘密資訊系統）安全建設整改工作，特提出如下意見：

　　一、明确工作目标

　　依據資訊安全等級保護有關政策和标準，通過組織開展資訊安全等級保護安全管理制度建設、技術措施建設和等級測評，落實等級保護制度的各項要求，使資訊系統安全管理水準明顯提高，安全防範能力明顯增強，安全隐患和安全事故明顯減少，有效保障資訊化健康發展，維護國家安全、社會秩序和公共利益，力争在2012年底前完成已定級資訊系統安全建設整改工作。

　　二、細化工作内容

　　（一）開展資訊安全等級保護安全管理制度建設，提高資訊系統安全管理水準。按照《管理辦法》、《資訊系統安全等級保護基本要求》，參照《資訊系統安全管理要求》、《資訊系統安全工程管理要求》等标準規範要求，建立健全并落實符合相應等級要求的安全管理制度：一是資訊安全責任制，明确資訊安全工作的主管上司、責任部門、人員及有關崗位的資訊安全責任；二是人員安全管理制度，明确人員錄用、離崗、考核、教育教育訓練等管理内容；三是系統建設管理制度，明确系統定級備案、方案設計、産品采購使用、密碼使用、軟體開發、工程實施、驗收傳遞、等級測評、安全服務等管理内容；四是系統運維管理制度，明确機房環境安全、存儲媒體安全、裝置設施安全、安全監控、網絡安全、系統安全、惡意代碼防範、密碼保護、備份與恢複、事件處置、應急預案等管理内容。建立并落實監督檢查機制，定期對各項制度的落實情況進行自查和監督檢查。

　　（二）開展資訊安全等級保護安全技術措施建設，提高資訊系統安全保護能力。按照《管理辦法》、《資訊系統安全等級保護基本要求》，參照《資訊系統安全等級保護實施指南》、《資訊系統通用安全技術要求》、《資訊系統安全工程管理要求》、《資訊系統等級保護安全設計技術要求》等标準規範要求，結合行業特點和安全需求，制定符合相應等級要求的資訊系統安全技術建設整改方案，開展資訊安全等級保護安全技術措施建設，落實相應的實體安全、網絡安全、主機安全、應用安全和資料安全等安全保護技術措施，建立并完善資訊系統綜合防護體系，提高資訊系統的安全防護能力和水準。

　　（三）開展資訊系統安全等級測評，使資訊系統安全保護狀況逐漸達到等級保護要求。選擇由省級（含）以上資訊安全等級保護工作協調小組辦公室稽核并備案的測評機構，對第三級（含）以上資訊系統開展等級測評工作。等級測評機構依據《資訊系統安全等級保護測評要求》等标準對資訊系統進行測評，對照相應等級安全保護要求進行差距分析，排查系統安全漏洞和隐患并分析其風險，提出改進建議，按照公安部制訂的資訊系統安全等級測評報告格式編制等級測評報告。經測評未達到安全保護要求的，要根據測評報告中的改進建議，制定整改方案并進一步進行整改。各部門要及時向受理備案的公安機關送出等級測評報告。對于重要部門的第二級資訊系統，可以參照上述要求開展等級測評工作。

　　三、落實工作要求

　　（一）統一組織，加強上司。要按照“誰主管、誰負責”的原則，切實加強對資訊安全等級保護安全建設整改工作的組織上司，完善工作機制。要結合各自實際，統一規劃和部署安全建設整改工作，制定安全建設整改工作實施方案。要落實責任部門、責任人員和安全建設整改經費。要利用多種形式，組織開展宣傳、教育訓練工作。

　　（二）循序漸進，分步實施。資訊系統主管部門可以結合本行業、本部門資訊系統數量、等級、規模等實際情況，按照自上而下或先重點後一般的順序開展。重點行業、部門可以根據需要和實際情況，選擇有代表性的第二、三、四級資訊系統先進行安全建設整改和等級測評工作試點、示範，在總結經驗的基礎上全面推開。

　　（三）結合實際，制定規範。重點行業資訊系統主管部門可以按照《資訊系統安全等級保護基本要求》等國家标準，結合行業特點，确定《資訊系統安全等級保護基本要求》的具體名額；在不低于等級保護基本要求的情況下，結合系統安全保護的特殊需求，在有關部門指導下制定行業标準規範或細則，指導本行業資訊系統安全建設整改工作。

　　（四）認真總結，按時報送。自2009年起，要對定級備案、等級測評、安全建設整改和自查等工作開展情況進行年度總結，于每年年底前報同級公安機關網安部門，各省（自治區、直轄市）公安機關網安部門報公安部網絡安全保衛局。資訊系統備案機關每半年要填寫《資訊安全等級保護安全建設整改工作情況統計表》并報受理備案的公安機關。