信息安全等级保护工作简报
(第31期)
来自:国家信息安全等级保护工作协调小组办公室 时间:2007-12-18
宁夏重要信息系统安全等级保护定级工作取得明显实
效
为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于开展全国重要信息系统安全等级保护工作的通知》精神,宁夏按照“统一领导、分工协作、科学规划、整体推进”的工作思路,认真组织开展重要信息系统安全等级保护定级工作,有效完成了各项工作任务,明显提高了全区信息网络安全的保障能力和水平。
一、高度重视,精心组织,为开展等级保护工作奠定基础
一是建立健全工作机构,加强组织领导。为加强对等级保护工作的组织领导,宁夏成立了由公安厅、保密局、密码管理局、信息产业办组成的信息系统安全等级保护协调小组,协调小组办公室设在公安厅网监总队。各市也分别成立了领导小组,银川市成立了以市政府副秘书长马国华任组长,公安局、保密局、机要局、市信息中心领导任副组长的信息系统安全等级保护协调小组,协调小组办公室设在市公安局网监支队,公安局副局长任全国兼任办公室主任,具体负责等级保护定级工作的组织实施。石嘴山市成立了以市委副书记、纪委书记刘卫为组长的协调小组和石嘴山市信息安全保护等级专家评审委员会。此外,吴忠市、固原市、中卫市也分别成立了市公安局牵头的领导小组,组建了专家评审组,对信息系统定级工作进行指导和评审,为顺利开展等级保护工作奠定了扎实基础。
二是及时召开会议,制定工作方案。全国重要信息系统安全等级保护定级工作电视电话会议后,宁夏自治区公安厅向40家区级机关全面部署了等级保护定级工作,在全区公安网监业务培训班和全区公安网监业务研讨会上,进一步就公安机关做好等级保护定级工作进行了专门部署,强化了职责任务,研究落实了各项组织保障措施。此外,自治区公安厅、区保密局、密码管理局、信息产业办联合制定下发了《全区重要信息系统安全等级保护定级工作方案》,进一步强化各项组织措施和工作步骤。各地也相继召开会议,结合本地实际,对本地等级保护定级工作进行了具体部署,研究制定了实施方案,确保定级工作保质保量完成。
三是加强宣传培训,促进工作开展。8月29日,宁夏自治区公安厅举办了40家区级机关及各市公安网监部门共计70余人参加的等级保护工作培训班,进一步强化了重要信息系统主管部门和运营使用单位对等级保护工作的认识,明确了任务和工作流程,为全面开展等级保护工作奠定了良好基础。同时,公安网监部门利用报纸、互联网积极宣传信息安全等级保护工作,使社会各界充分了解国家信息安全等级保护制度的政策、工作部署以及公安机关依法进行监督、检查、指导的职责,提高了信息系统运营使用单位做好等级保护工作的自觉性和积极性,营造出全社会重视信息安全等级保护工作的良好氛围。石嘴山市以训代会,专题学习。市直机关各部门,企事业单位,中央、区属驻石65家单位负责网络安全的主管领导及系统管理员共计130余人参加了会议,市委、市政府领导到会作重要讲话并参加了学习。吴忠市为了更好地开展定级工作,由市公安局牵头组织定级单位、专家组、技术支持单位等有关人员认真学习信息安全等级保护工作相关政策法规以及技术标准,为开展定级工作提供政策指导和技术保障。
二、明确要求,强化指导,扎实有序推进等级保护工作
一是立足于服务和保障。工作中,公安网监部门主动公开联系方式,建立各单位联系资料,积极指导相关单位下载、安装、使用备案工具,利用邮箱、传真或QQ为各信息系统运营使用单位和主管部门发送资料,在线解答问题,帮助重点单位分析系统架构,明确定级对象,讲解定级要素和定级方法,及时掌握跟进定级工作开展情况。石嘴山市针对该市大多数单位没有专职技术人员,工作开展难度较大的问题,依据单位性质及信息化应用水平及重要性对单位进行了分类,确定了上门指导重点单位,现场解决主要问题;电话跟踪工作进度,及时解决相关问题;提供标准样本,提高填报质量等多种工作方式。固原市抽调民警,组织专门力量,利用十天的时间,对银行、电信、税务、证券等71家市级单位逐一进行摸底,调查网络结构和安全状况,全面掌握信息系统的基本情况,有针对性地指导开展系统定级,并对市级单位的信息系统管理人员进行了培训,提高了工作效率。
二是明确要求和措施。9月6日,公安厅网监总队向区级机关下发了进一步做好定级工作的通知,要求各部门、单位结合实际,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求组织好本行业、本部门开展信息安全等级保护各项工作,依据管理规范和技术标准,科学、准确地确定信息系统等级,最大限度地避免定级的盲目性、随意性,力争做到定级准确、科学、合理。通知进一步明确了每项工作的完成时限及工作措施,为加快全区重要信息系统安全等级保护定级工作起到了助推器作用。各单位接到通知后,积极响应,先后成立了安全等级保护工作领导小组,加强对此项工作的组织领导,并通过电话联系、主动上门、在线咨询等形式,进一步加大工作力度,确保定级工作的顺利开展。
三是加强督导和检查。为做好十七大互联网信息安全保卫的前期准备工作,结合信息系统安全等级保护定级工作,宁夏公安厅网监总队对银川市开发区管理管委会、宁夏电信集团公司数据通信局、建设银行宁夏区分行等重点单位进行了检查,发现了一些单位存在严重的安全隐患。针对存在的问题,网监总队根据等级保护的管理规范和技术标准,要求相关单位认真组织开展等级保护定级工作,加强等级保护的各项措施,及时整改,消除安全隐患。同时,公安厅网监总队现场与各单位签订了安全责任书。
四是强化备案和审核。自9月10日起,宁夏重要信息系统安全等级保护定级工作进入备案审核阶段。为方便各单位备案。宁夏公安网监部门及时下发通知公布了备案地点、办公电话,建立了各单位的部门领导、工作人员的资料库,畅通联络沟通渠道,为备案工作的顺利开展奠定了基础。为把好定级关,宁夏公安网监部门要求各单位在认真确定系统安全等级的基础上,按照定级报告模版填报,经由运营使用单位盖章,主管部门审核后提交公安机关。针对随意定级、应付差事、主管部门不审核或把关不严、逃避公安机关监管而故意将安全级别定低的个别单位给予严厉批评,坚决予以整改;对定级不合理的单位,给予明确指导意见,并建议主管部门或运营使用单位认真分析研究或聘请专家重新定级。对于坚持原定等级的,向其说明由此造成重大安全事故的,要追究单位和相关人员的责任。根据网监部门反馈的初审意见进行改正后,各单位及时上交了备案材料。公安网监部门明确专人,对备案材料的规范性、完整性严格审核,认真分析汇总发现的问题,及时反馈备案单位。此外,为准确掌握各单位各系统情况,做到心中有数,宁夏公安网监部门按照信息系统安全等级和单位性质分别建立了信息系统安全等级保护定级情况明细表,并将每个系统的备案资料存入专门文件袋,建立档案盒,做好标识,分类进行管理。同时,宁夏各地公安网监部门也建立了等级保护档案管理制度,实现了等级保护工作的规范化。
三、认真总结,查找不足,为等级保护后续工作的开展做好准备
在公安、信息系统运营使用单位及其主管部门的共同努力下,宁夏重要信息系统安全等级保护定级工作取得了明显成效,各单位安全意识明显增强,各项安全管理制度逐步建立健全。11月19日,宁夏公安厅网监总队印发了重要信息系统安全等级保护定级工作情况的通报,总结了定级工作情况和查摆了工作中存在的问题,一是个别单位对等级保护工作重视程度不高,工作缺乏主动性;二是个别单位定级不够准确,级别偏低;三是备案材料主管部门不审核把关,导致填写信息不完整、不准确。通报中指出,宁夏各单位要持续加强对等级保护工作的重视程度,强化组织领导,充分认识到等级保护工作对信息系统、信息网络安全的积极保障作用,以及信息系统安全对本行业、本单位工作、生产的重大影响,认真组织开展信息系统的建设、整改、测评等后续工作,完善和改进工作方法,有力推动宁夏信息安全等级保护工作的深入开展。宁夏公安网监部门将继续督促指导有关单位完成备案工作,确保定级工作扎实有效,做到信息系统定级准确、资料完备,实现等级保护工作规范化、制度化,为全面实施信息安全等级保护工作夯实基础,切实提高宁夏基础信息网络和重要信息系统的安全保障能力和水平。
