关于进一步加强网络与信息安全管理的实施意见.docx
《关于进一步加强网络与信息安全管理的实施意见.docx》由会员分享,可在线阅读,更多相关《关于进一步加强网络与信息安全管理的实施意见.docx(10页珍藏版)》请在冰豆网上搜索。
关于进一步加强网络与信息安全管理的实施意见
关于进一步加强网络与信息安全管理的实施意见
(代拟稿)
为了进一步规范我市政务和社会服务行业信息系统建设工作,提高网络与信息安全的保障能力和防护水平,维护国家安全、公共利益和社会稳定,结合我市实际,现就加强网络信息安全管理工作提出如下意见。
一、深刻认识加强网络与信息安全管理的重要意义
近年来,国家、省、市高度重视网络与信息安全管理,在各有关方面协调配合、共同努力下,我市网络与信息安全管理工作取得了很大进展。
但是从总体上看,我市网络与信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:
网络与信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;网络与信息安全管理投入不足,保障乏力;信息系统安全建设和管理的目标不明确;网络与信息安全保障工作的重点不突出;网络与信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。
随着信息技术的高速发展和网络应用的迅速普及,国民经济和社会信息化进程全面加快,信息系统的基础性、全局性作用日益增强,信息资源已经成为经济建设和社会发展的重要战略资源之一。
保障信息安全,维护国家安全、公共利益和社会稳定,是当前信息化发展中迫切需要解决的重大问题。
加强网络与信息安全管理,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理。
二、加强网络与信息安全管理的指导思想
以邓小平理论和“三个代表”重要思想为指导,坚持积极防御、综合防范相结合的方针和管理与技术并重的原则,统筹规划,突出重点,全面提高网络与信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境。
正确处理安全与发展的关系,以安全保发展,在发展中求安全,明确责任,密切配合,动员全社会力量,共同构筑信息安全保障体系,保障和促进我市信息化建设健康、有序发展。
三、成立组织机构,落实网络与信息安全管理责任
为进一步加强对全市网络与信息安全工作的领导,提高全市网络与信息安全保障能力,市委、市人民政府决定组建安顺市网络与信息安全领导小组,其组成人员如下:
组长:
陈坚市委书记
周建琨市委副书记、代市长
副组长:
何述祥市人大常委会主任
韦林市政协主席
杨梦龙市委常委、市人民政府常务副市长
周云市委常委、市委政法委书记
颜学丽市委常委、市委宣传部长
成员:
葛荣华市人大常委会秘书长
罗晓红市人民政府秘书长
叶晓愉市政协秘书长
市委常务副秘书长
郭江林市人民政府副秘书长
李猛市人民政府副秘书长、市政务服务局局长
市人力资源与社会保障局局长
市公安局局长
市教育局局长
毛连辉市工信委主任
徐德祥市发改委主任
童景岩市科技局局长
张骊龙市财政局局长
李全绥市国土资源局局长
方东市交通局局长
金中苏市农业局局长
市商务局局长
邹正明市文化局局长
张波市卫生局长
褚代宽市人口计生委主任
罗吉红市统计局局长
杨帆市广电局局长
马俊峰市规划局局长
肖丽市城管局局长
夏元伦市国安局局长
方庆文市气象局局长
崔亚丽人行安顺支行行长
汪氏桥市监察局副局长
张家智市委保密办主任、市国家保密局局长
李志敏市委办公室机要局局长
孟宪刚市电子政务办主任
领导小组主要职责:
1.负责审批网络与信息安全建设计划、规划,对与网络与信息安全管理有关的重大事项进行决策,组织、协调网络与信息安全工作。
2.指导协调信息安全保障体系、数字认证工作。
3.指导监督政府部门、重点行业的重要信息系统与基础信息网络的安全保障工作。
4.负责制定全市网络与信息安全事件应急预案,并组织必要的演练,做好紧急重大、突发事件的应急处理工作。
市网络与信息安全领导小组的日常工作由杨梦龙同志负责。
领导小组下设办公室在市工业和信息化委员会,具体承担领导小组的日常工作。
毛连辉同志兼任办公室主任。
领导小组办公室主要负责重大网络与信息安全保障措施的落实、协调、检查和督促网络信息安全保障的有关工作。
督促检查、落实各行业、各部门网络与信息安全责任制并进行备案登记;建立网络信息安全领导、机构、工作人员数据库。
市公安局承担网络信息系统的安全等级保护管理工作;负责组织各行业、各部门按照统一标准落实互联网安全审查系统的建设和实施;负责打击网络攻击破坏和包括计算机病毒在内的恶意代码传播等违法犯罪活动;指导、监督、检查并组织实施信息网络违法犯罪案件的查处工作。
负责网络信息系统涉及国家的保护管理工作;依法打击利用互联网进行危害国家安全和社会稳定的违法犯罪活动。
市文体局负责广播电视传输网的安全管理工作;组织监测发现广电网络上有害、敏感视听节目,会同有关部门进行处置和管控;组织监测发现卫星干扰广播电视信号时间并进行处置。
市保密局负责涉及国家秘密的网络信息系统建设和应用中的保密管理;组织查处网络信息系统泄密事件,对网络信息系统泄密案件有关材料进行密级鉴定。
市电子政务办负责电子政务专网和依托专网开展的各应用系统的安全管理工作;负责市委、市政府机关政务网的安全管理工作;指导政府系统公众网站的安全工作。
四、提供资金保障,加快网络与信息安全基础设施建设
各部门要在市电子政务系统建设规划的统一框架内,充分利用现有设备和设施建设的技术上,多渠道筹措资金,进一步加强网络与信息安全设施建设。
在建好电子内网、外网和门户网站及重要信息系统、数据库系统的同时,必须同步规划、涉及、建设相应的网络信息安全防护设施。
重要的网络系统、信息系统、数据库系统必须按照信息系统等级保护规定,在运行、维护的过程中加强安全保护和防范工作。
各部门要安排必要经费,配备网络信息安全基础设施。
各有关部门在金融、电力、广播电视、电信、交通、医疗等重要信息系统管理、建设、运行中,要强化网络信息安全意识,建立健全网络信息安全防护体系,将信息安全防护设施建设、运行、维护、检查和管理费用纳入单位预算,安排专项经费。
五、加强教育培训,提高网络信息安全意识
各单位要认真组织开展经常化、制度化的网络与信息安全培训和警示教育,按时参加信息安全形势报告会、典型案例分析会等形式多样的宣传教育活动,把网络与信息安全教育作为岗前培训和业务学习的重要内容,并把网络与信息安全防护工作纳入年度目标管理考核范围。
各单位要进一步提高自身网络信息与安全意识和管理水平,加快研究建立党政机关人员网络与信息安全技能考试制度,逐步做到工作人员持证上岗。
市网络与信息安全领导小组办公室要尽快建立健全公务人员网络信息安全培训、考试制度,全面提高公务人员网络信息安全意识和防护技能。
六、完善防范机制,加强网络信息安全基础性工作
各单位要严格执行计算机配置管理和安全审计制度。
对办公用计算机和移动存储设备实行配置管理、统一编号、统一标识、统一登记;对办公用计算机逐步加装安全审计工具,定期进行安全审计。
规范电子文件的复制、传递,涉密电子文件必须在涉密信息系统中存储、处理、复制和传递,严格按照同等密级纸质文件的有关规定进行管理。
逐步采用加密等技术手段对电子文件的存储和传输进行保护。
涉密电子文件的存储、处理和传输,必须按照涉及国家秘密的信息系统分级保护技术要求进行保护。
加快建立健全以身份认证、访问控制、安全审计、责任认定、病毒防护为主要内容的网络安全体系,完善网络安全技术防护手段。
加强对信息系统账户、口令、软件补丁等管理,及时更新和升级,坚决杜绝弱口令、弱密码,消除安全隐患。
市网络与信息安全领导小组办公室要切实做好重要系统网络信息安全风险评估工作。
用两年左右的时间对已建成的重要信息系统全部进行安全风险评估,新建的重要信息系统在正式投入运行前,应当进行安全风险评估。
涉密信息系统的安全风险评估工作由保密局负责。
公安局按照国家、自治区、地区有关规定,对重要信息系统实施分级保护。
加强对重点部门、重要信息系统安全等级保护工作的监督检查,把重要的信息系统全部纳入等级保护。
会同有关部门组建信息与安全保护等级专家评审委员会,对重要信息系统安全保护定级进行咨询评审。
建立健全网络与信息安全事件应急工作机制,提高应对网络与信息安全事件能力,预防和减少网络与信息安全事件造成的损失和危害。
重要信息系统管理单位和基础信息网络运营商要进一步完善信息安全应急预案,明确应急处理流程、临机处置权限,落实应急技术管理队伍。
组织开展应急演练,确保应急预案的可操作性,保证相关人员熟悉应急预案,提高应急处置能力。
网络与信息安全领导小组办公室要做好各单位网络信息安全应急预案的监督检查和登记备案工作;涉密信息系统信息安全应急预案的监督检查和登记备案工作由保密局负责。
七、加强监督检查,确保日常安全防范工作
网络与信息安全领导小组办公室要加强对网络与信息安全工作的监督检查,针对存在的问题及时采取有效措施,堵塞安全漏洞,减少安全风险。
在配合地区做好全市网络信息安全检查工作的同时,每年组织一次网络与信息安全专项检查,并将汇总检查情况报市人民政府和省网络与信息安全领导小组。
加大信息安全和保密执法工作力度,对违反信息安全和保密管理规定的,予以严肃处理,对造成失泄密事件和信息安全事故的,依法追究当事人和有关负责人的责任。
建立网络泄密举报制度和奖惩制度,明确举报方式,受理机构和奖惩办法,充分调动社会各界和广大群众的监督作用。
各单位每半年要对本部门网络与信息安全情况进行自查,并将自查情况上报市网络与信息安全领导小组办公室。
八、网络与信息安全管理工作实施计划
计划用三年左右的时间在全国范围内分三个阶段实施信息安全等级保护制度。
(一)准备阶段。
为了保障信息安全等级保护制度的顺利实施,在全面实施等级保护制度之前,用一年左右的时间做好下列准备工作:
1.加强领导,落实责任。
在国家网络与信息安全协调小组的领导下,地方各级人民政府、信息安全监管职能部门、信息系统的主管部门和运营、使用单位要明确各自的安全责任,建立协调配合机制,分别制定详细的实施方案,积极推进信息安全等级保护制度的建立,推动信息安全管理运行机制的建立和完善。
2.加快完善法律法规和标准体系。
法律规范和技术标准是推广和实施信息安全等级保护工作的法律依据和技术保障。
为此,《信息安全等级保护管理办法》和《信息安全等级保护实施指南》、《信息安全等级保护评估指南》等法规、规范要加紧制定,尽快出台。
加快信息安全等级保护管理与技术标准的制定和完善,其他现行的相关标准规范中与等级保护管理规范和技术标准不相适应的,应当进行调整。
3.建设信息安全等级保护监督管理队伍和技术支撑体系。
信息安全监管职能部门要建立专门的信息安全等级保护监督检查机构,充实力量,加强建设,抓紧培训,使监督检查人员能够全面掌握信息安全等级保护相关法律规范和管理规范及技术标准,熟练运用技术工具,切实承担信息安全等级保护的指导、监督、检查职责。
同时,还要建立信息安全等级保护监督、检查工作的技术支撑体系,组织研制、开发科学、实用的检查、评估工具。
4.进一步做好等级保护试点工作。
选择电子政务、电子商务以及其他方面的重点单位开展等级保护试点工作,并在试点工作的基础上进一步完善等级保护实施指南等相关的配套规范、标准和工具,积累信息安全等级保护工作实施的方法和经验。
5.加强宣传、培训工作。
地方各级人民政府、信息安全监管职能部门和信息系统的主管部门要积极宣传信息安全等级保护的相关法规、标准和政策,组织开展相关培训,提高对信息安全等级保护工作的认识和重视,积极推动各有关部门、单位做好开展信息安全等级保护工作的前期准备。
(二)重点实行阶段。
在做好前期准备工作的基础上,用一年左右的时间,在国家重点保护的涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统中实行等级保护制度。
经过一年的建设,使基础信息网络和重要信息系统的核心要害部位得到有效保护,涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统的保护状况得到较大改善,结束目前基本没有保护措施或保护措施不到位的状况。
在工作中,如发现等级保护的管理规范和技术标准以及检查评估工具等存在问题,及时组织有关部门进行调整和修订。
(三)全面实行阶段。
在试行工作的基础上,用一年左右的时间,在全国全面推行信息安全等级保护制度。
已经实施等级保护制度的信息和信息系统的运营、使用单位及其主管部门,要进一步完善信息安全保护措施。
没有实施等级保护制度的,要按照等级保护的管理规范和技术标准认真组织落实。
经过三年的努力,逐步将信息安全等级保护制度落实到信息安全规划、建设、评估、运行维护等各个环节,使我国信息安全保障状况得到基本改善。
九、实施信息安全等级保护工作的要求
信息安全等级保护工作要突出重点、分级负责、分类指导、分步实施,按照谁主管谁负责、谁运营谁负责的要求,明确主管部门以及信息系统建设、运行、维护、使用单位和个人的安全责任,分别落实等级保护措施。
实施信息安全等级保护应当做好以下六个方面工作:
(一)完善标准,分类指导。
制定系统完整的信息安全等级保护管理规范和技术标准,并根据工作开展的实际情况不断补充完善。
信息安全监管职能部门对不同重要程度的信息和信息系统的安全等级保护工作给予相应的指导,确保等级保护工作顺利开展。
(二)科学定级,严格备案。
信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准,确定其信息和信息系统的安全保护等级,并报其主管部门审批同意。
对于包含多个子系统的信息系统,在保障信息系统安全互联和有效信息共享的前提下,应当根据等级保护的管理规定、技术标准和信息系统内各子系统的重要程度,分别确定安全保护等级。
跨地域的大系统实行纵向保护和属地保护相结合的方式。
国务院信息化工作办公室组织国内有关信息安全专家成立信息安全保护等级专家评审委员会。
重要的信息和信息系统的运营、使用单位及其主管部门在确定信息和信息系统的安全保护等级时,应请信息安全保护等级专家评审委员会给予咨询评审。
安全保护等级在三级以上的信息系统,由运营、使用单位报送本地区地市级公安机关备案。
跨地域的信息系统由其主管部门向其所在地的同级公安机关进行总备案,分系统分别由当地运营、使用单位向本地地市级公安机关备案。
信息安全产品使用的分等级管理以及信息安全事件分等级响应、处置的管理办法由公安部会同保密局、国密办、信息产业部和认监委等部门制定。
(三)建设整改,落实措施。
对已有的信息系统,其运营、使用单位根据已经确定的信息安全保护等级,按照等级保护的管理规范和技术标准,采购和使用相应等级的信息安全产品,建设安全设施,落实安全技术措施,完成系统整改。
对新建、改建、扩建的信息系统应当按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。
(四)自查自纠,落实要求。
信息和信息系统的运营、使用单位及其主管部门按照等级保护的管理规范和技术标准,对已经完成安全等级保护建设的信息系统进行检查评估,发现问题及时整改,加强和完善自身信息安全等级保护制度的建设,加强自我保护。
(五)建立制度,加强管理。
信息和信息系统的运营、使用单位按照与本系统安全保护等级相对应的管理规范和技术标准的要求,定期进行安全状况检测评估,及时消除安全隐患和漏洞,建立安全制度,制定不同等级信息安全事件的响应、处置预案,加强信息系统的安全管理。
信息和信息系统的主管部门应当按照等级保护的管理规范和技术标准的要求做好监督管理工作,发现问题,及时督促整改。
(六)监督检查,完善保护。
公安机关按照等级保护的管理规范和技术标准的要求,重点对第三、第四级信息和信息系统的安全等级保护状况进行监督检查。
发现确定的安全保护等级不符合等级保护的管理规范和技术标准的,要通知信息和信息系统的主管部门及运营、使用单位进行整改;发现存在安全隐患或未达到等级保护的管理规范和技术标准要求的,要限期整改,使信息和信息系统的安全保护措施更加完善。
对信息系统中使用的信息安全产品的等级进行监督检查。
对第五级信息和信息系统的监督检查,由国家指定的专门部门、专门机构按照有关规定进行。
升级会员 