各省�、自治區�、直轄市�、新疆生產(chǎn)建設兵團交通運輸廳(局�����、委)�����,天津市市政公路管理局��,天津市���、上海市交通運輸和港口管理局�,部屬各單位����,部?jì)雀鲉挝唬?/p>
貫徹落實(shí)《中華人民共和國計算機信息系統安全保護條例》和《信息安全等級保護管理辦法》等法規要求����,做好交通運輸行業(yè)信息安全等級保護�,對于提升行業(yè)信息安全防護能力和水平����,維護公共利益�、社會(huì )秩序和國家安全具有重要作用��。為進(jìn)一步加強交通運輸行業(yè)信息安全等級保護工作�,按照公安部《關(guān)于開(kāi)展全國重要信息系統安全等級保護定級工作的通知》(公信安〔2007〕861號)和《關(guān)于開(kāi)展信息安全等級保護安全建設整改工作的指導意見(jiàn)》(公信安〔2009〕1429號)等文件要求�,結合交通運輸行業(yè)實(shí)際��,現就開(kāi)展信息安全等級保護有關(guān)事宜通知如下:
一�、指導思想
深入貫徹落實(shí)科學(xué)發(fā)展觀(guān)�,遵照國家有關(guān)信息安全等級保護政策規定和技術(shù)標準規范��,緊密結合交通運輸行業(yè)信息化發(fā)展實(shí)際����,按照準確定級�����、科學(xué)評估����、統籌考慮�、突出重點(diǎn)����、注重實(shí)效����、完善機制的原則���,推進(jìn)交通運輸行業(yè)信息系統等級保護體系建設��,完善信息安全管理制度����,建立健全信息安全防控技術(shù)措施和手段���,切實(shí)提高信息系統安全保護能力��,保障和促進(jìn)交通運輸行業(yè)信息化科學(xué)健康有序發(fā)展��。
二����、總體目標
到2015年底前���,基本建立交通運輸行業(yè)信息安全等級保護常態(tài)化運行和監督檢查機制�����,完善管理制度和技防手段�����,切實(shí)提高交通運輸行業(yè)信息安全防護能力��、隱患發(fā)現能力�����、應急處置能力��,為交通運輸行業(yè)信息化健康發(fā)展提供可靠保障�����。主要是:完成安全保護等級為第二級以上(含第二級)的已運營(yíng)(運行)信息系統的定級備案�、安全建設整改和測評���;新建����、擴建�����、升級改造的信息系統在規劃建設階段同步開(kāi)展信息系統定級�����、備案�、安全建設及測評�����;完善行業(yè)信息安全等級保護政策標準體系��,建立行業(yè)信息安全等級保護工作情況動(dòng)態(tài)報送和監督檢查機制���。
三��、主要依據
?��。ㄒ唬吨腥A人民共和國計算機信息系統安全保護條例》(國務(wù)院147號令)�����;
?��。ǘ蛾P(guān)于信息安全等級保護工作的實(shí)施意見(jiàn)》(公通字〔2004〕66號)��;
?����。ㄈ缎畔踩燃壉Wo管理辦法》(公通字〔2007〕43號)���;
?����。ㄋ模蛾P(guān)于開(kāi)展全國重要信息系統安全等級保護定級工作的通知》(公通字〔2007〕861號)���;
?�。ㄎ澹缎畔踩燃壉Wo備案實(shí)施細則》(公信安〔2007〕1360號)�;
?��。蛾P(guān)于開(kāi)展信息系統等級保護安全建設整改工作的指導意見(jiàn)》(公信安〔2009〕1429號)�����;
?���。ㄆ撸蛾P(guān)于加強國家電子政務(wù)工程建設項目信息安全風(fēng)險評估工作的通知》(發(fā)改高技〔2008〕2071號)��;
?�。ò耍队嬎銠C信息系統安全保護等級劃分準則》(GB17859)���;
?��。ň牛缎畔踩夹g(shù)信息系統安全等級保護定級指南》(GB/T22240-2008)����;
?����。ㄊ缎畔踩夹g(shù)信息系統安全等級保護實(shí)施指南》(GB/T25058-2010)����;
?��。ㄊ唬缎畔踩夹g(shù)信息系統安全等級保護基本要求》(GB/T22239-2008)�。
以上政策文件和標準規范均可從中國信息安全等級保護網(wǎng)(https://www.djbh.net)查詢(xún)下載����。
四����、主要任務(wù)及工作安排
?���。ㄒ唬┬畔⑾到y摸底調查���。
組織開(kāi)展對本單位信息系統的摸底調查�����,全面掌握信息系統的數量����、分布�、業(yè)務(wù)類(lèi)型��、應用或服務(wù)范圍�����、系統結構等基本情況����,確定定級對象���。
2012年7月底前�����,各單位應完成信息系統情況摸底調查�����,并填寫(xiě)《信息系統信息安全等級保護情況統計表》(見(jiàn)附件)���,蓋章后報部科技司����。已經(jīng)完成定級備案手續的系統����,應將該系統《信息系統安全等級保護備案表》和公安機關(guān)出具的《信息系統安全等級保護備案證明》報部科技司�。
?����。ǘ┬畔⑾到y定級備案���。
按照《信息安全技術(shù)信息系統安全等級保護定級指南》����,認真分析信息系統業(yè)務(wù)信息安全和系統服務(wù)安全�����,科學(xué)準確開(kāi)展系統的定級�。已運營(yíng)(運行)��、但尚未定級的重要信息系統要進(jìn)行補充定級���,新建�����、擴建和升級改造信息系統在規劃設計階段要同步完成系統定級工作�。
對于安全保護等級為二級(含第二級)的系統�����,各單位應按照《信息安全等級保護備案實(shí)施細則》要求�,到相應公安機關(guān)備案��。
2012年9月底前���,各單位要開(kāi)展已運營(yíng)(運行)和新建��、擴建���、升級改造的信息系統的定級��,并履行備案手續��,定級備案結果同時(shí)報部科技司�。
?����。ㄈ┑燃壉Wo安全建設整改����。
各單位應對照《信息安全技術(shù)信息系統安全等級保護基本要求》等標準規范�����,開(kāi)展已建信息系統安全保護現狀評估��,分析查找存在的安全隱患和差距�����,制定信息系統安全等級保護建設整改方案并組織實(shí)施���。
新建�����、擴建和升級改造信息系統要在項目立項及規劃設計階段����,同步規劃等級保護總體設計方案����,并在項目建設過(guò)程中同步完成信息安全等級保護建設工作���。信息系統正式運行后��,要繼續做好安全運行維護管理����,在制度����、人員���、資金等方面給予保障����,形成常態(tài)化的信息安全保障機制��。
2012年12月底前�,完成第三級以上(含第三級)已定級信息系統的安全建設和整改工作�。2013年12月底���,完成第二級以上(含第二級)已定級信息系統的安全建設和整改工作���。
?���。ㄋ模┑燃壉Wo測評�。
系統建設整改工作完成后��,應當按照《信息安全等級保護管理辦法》要求�,從全國信息安全等級保護測評機構推薦目錄(見(jiàn)www.djbh.net)中選擇取得《信息安全等級保護測評機構推薦證書(shū)》的測評機構�,開(kāi)展等級測評�。第四級信息系統應當每半年至少進(jìn)行一次等級測評��;第三級信息系統應當每年至少進(jìn)行一次等級測評�;第二級信息系統可參照第三級信息系統的要求進(jìn)行等級測評���。
?��。ㄎ澹┑燃壉Wo工作監督檢查��。
各單位應定期開(kāi)展等級保護自查�����,重點(diǎn)檢查信息安全責任落實(shí)情況���、安全管理制度的落實(shí)情況�、重要信息系統的安全防護狀況���、建設整改情況�、信息安全等級測評情況��、檢查中發(fā)現問(wèn)題整改情況�����,并編寫(xiě)年度信息安全等級保護工作報告,于每年11月底前報部科技司�。
部信息化主管部門(mén)將組織建立信息安全等級保護聯(lián)絡(luò )員隊伍����,定期組織開(kāi)展信息安全等級保護工作督導檢查����。
五����、職責分工
按照“誰(shuí)主管���、誰(shuí)負責”�、“誰(shuí)運維�、誰(shuí)負責”的原則��,信息系統的主管部門(mén)及運營(yíng)�����、使用單位按照等級保護的管理規范和技術(shù)標準進(jìn)行信息安全建設和管理���。
部科技司負責交通運輸行業(yè)信息安全等級保護工作的指導����、監督和檢查���,組織研究制訂有關(guān)政策文件和標準規范�。
各地方交通運輸主管部門(mén)負責本地區交通運輸行業(yè)系統信息安全等級保護工作的組織實(shí)施和監督檢查��。
六�����、工作要求
?�。ㄒ唬┘訌婎I(lǐng)導��,明確責任��。各單位要進(jìn)一步提高對信息安全等級保護工作重要性和緊迫性的認識��,切實(shí)加強對等級保護工作的組織領(lǐng)導����,確立安全管理機構及其職責�����,落實(shí)信息安全等級保護管理崗位和人員�����,明確相關(guān)部門(mén)的安全責任�����,確保各項要求落實(shí)到位���。
?。ǘ┍U辖?jīng)費��,加強監管�。各單位要建立穩定的信息安全等級保護經(jīng)費投入機制�����,將信息安全等級保護建設整改���、等級測評�、信息安全服務(wù)�、技術(shù)培訓等費用納入信息化建設經(jīng)費預算�����,保障等級保護工作的有效開(kāi)展��,并加強對資金使用的監管�。
?��。ㄈ┩怀鲋攸c(diǎn)�,同步建設��。各單位要根據自身實(shí)際情況���,對等級保護體系建設進(jìn)行統籌規劃�,找準存在的薄弱環(huán)節和突出問(wèn)題�,優(yōu)先抓好重要信息系統的測評整改建設�����。對新建�、擴建�、升級改造的信息系統要確保等級保護措施的同步規劃����、同步設計和同步實(shí)施����。
?��。ㄋ模┘訌娕嘤?�,建設隊伍�����。各單位要加強安全建設管理���、安全運維和應急保障隊伍建設�����,積極組織開(kāi)展相關(guān)人員進(jìn)行安全管理政策制度和技術(shù)技能培訓���,為信息安全等級保護工作開(kāi)展提供有效的人員隊伍保障�。
?��。ㄎ澹﹨f(xié)調推進(jìn)�����,強化監督����。要注重等級保護工作的統籌協(xié)調推進(jìn)����,建立健全等級保護工作情況報送匯總��、督促檢查�、工作交流機制��,組建行業(yè)信息安全聯(lián)絡(luò )員隊伍����。部根據情況定期組織開(kāi)展信息安全等級保護工作監督檢查���。
附件:
信息系統信息安全等級保護情況統計表
中華人民共和國交通運輸部辦公廳(章)
二〇一二年五月二十一日
