关于进一步推动信息安全等级保护工作的通知

关于进一步推动信息安全
等级保护工作的通知
粤等保办[2010]5号各地级以上市信息安全等级保护协调小组：
根据公安部2010年度业务考核标准，网安部门在年内督促重点行业、部门开展安全建设整改和测评，完成整改和测评的系统数量不得低于系统总数的40%。

《广东省深化信息安全等级保护工作方案》也提出今年上半年要完成系统的整改和验收测评工作。

各市按照国家和省有关工作要求，大力推动信息安全等级保护工作，取得了较好成效。

目前，全省已备案系统7517个，其中，三级1595个，四级38个。

已开展差距评估的系统近2000个，已完成整改的系统1700多个。

深圳、佛山、广州分别备案系统1795、1392、1362个。

佛山、深圳、广州三级系统分别有650、448、86个，佛山、湛江、广州、深圳、惠州分别有四级系统数量6、5、2、2、1个。

在备案证明发放方面，清远、阳江、中山、珠海向备案系统全部发放了备案证明，佛山、揭阳、肇庆等市备案证明发放数占定级备案系统总数90%以上。

潮州、河源、惠州、茂名、韶关、云浮、湛江等市发放备案证明的数量低于40%。

广州、深圳、中山、佛山、韶关、茂名、河源、汕头、清远分别测评系统102、96、57、18、13、13、12、4、3、2个。

深圳、广州、汕头、湛江、佛山、中山、
河源、韶关、珠海、清远组织部署开展整改工作，分别整改系统96、56、30、14、13、6、4、4、2、22个。

但是，工作中也存在不少问题。

一是重视不够。

一些同志认为网络安全出不了什么事，而提高安全防范能力是运营、使用单位的事，对业务工作帮助不大，因此对信息安全等级保护工作重视不够，投入不足，过问不多。

二是方法不多。

相当一部分同志对信息安全等级保护政策文件和技术标准学习不够、理解不深、应用不了，缺乏有效的工作思路和方法。

三是推动不够快。

各市仍然不同程度存在备案工作未完成的情况，尤其是备案证的发放率偏低。

还有一半以上的市未组织开展测评和整改工作。

6月24日至25日，国家信息安全等级保护协调小组办公室（设在公安部）在河南郑州召开全国公安机关信息安全等级保护工作培训会，通报前阶段工作情况，对下一步工作进行部署。

为切实落实会议精神，进一步推动信息安全等级保护，现就有关问题通知如下：
一、高度重视，大力推动。

信息安全等级保护是一项基础性、机制性、长效性的工作。

对于提升信息安全防范整体实力，强化重要信息系统安全保护，确保网络正常运行，促进信息化应用深入发展有着重要意义。

根据国家信息安全等级保护协调小组要求，今年要完成40%的信息系统安全的测评和整改工作。

根据《广东省深化信息安全等级保护工作方
案》，结合亚运信息安全保卫实际情况，各单位的整改和测评工作均需在年内完成。

各有关单位要进一步提升对信息安全等级保护工作重要性的认识，落实责任，强化监督检查，大力推动此项工作。

二、认真学习，加强培训。

各级有关部门要结合全国信息安全等级保护工作会议有关精神，认真学习信息安全等级保护相关标准、法规和政策，做到熟悉法规政策、熟悉标准、熟悉工作程序、熟悉工作方法“四熟悉”。

要通过举办培训班、召开论坛等方式加强对重要信息系统运营使用单位和行业主管部门有关领导和工作人员的培训。

对于安全服务机构，我办已委托省计算机信息网络安全协会培训中心统一组织培训，各市要组织相关单位积极参加。

三、加强监督，狠抓落实。

要根据《信息安全等级保护管理办法》（以下简称《管理办法》）和《广东省计算机信息系统安全保护条例》（以下简称《条例》）要求，结合亚运会等敏感期信息安全保卫，加强对信息系统运营使用单位的监督检查。

其中，第三级计算机信息系统每年检查一次，第四级计算机信息系统每半年检查一次。

要通过监督检查，发现解决组织不力、定级不准、备案不全、测评和整改推动缓慢等问题。

（一）开展定级专项检查。

今年9月前，全省要开展定级备案专项检查工作。

要按照行业、部门和系统级别梳理各
单位、各部门的信息系统定级备案情况，重点解决未定级、漏定级、定级不准、备案证明未发放以及备案数据不清楚等问题。

对于没有定级备案的单位、部门，要主动联系，督促其开展定级备案工作；对于已定级备案但系统较少或明显存在漏定级备案系统的情况，要及时联系备案单位进行补充；对于信息系统撤销或信息系统定级不准的，要及时进行备案撤销和变更，确保底数清楚、定级准确、备案及时。

我办将与省直有关单位加强沟通，获取全省各行业、部门的系统基本情况，对各市定级、备案情况进行监督。

为鼓励正确定级，对于具有三级以上系统的单位，公安机关可将其认定为信息安全防范重点单位，发改、财政部门在系统安全建设、测评、整改经费上给予优先保障。

（二）大力推动测评整改。

近期，我省5家测评机构已经通过公安部信息安全等级保护评估中心能力评估和专家组审核，并由我办推荐和公布，为信息系统提供各类测评服务。

根据《管理办法》和《条例》要求，三级信息系统每年需开展一次测评，四级信息系统每半年一次。

信息安全主管部门、行业主管部门要督促信息系统运营使用单位要以三级以上信息系统为重点，选择省等保办推荐的等级测评机构开展系统测评工作，按照《信息系统安全等级测评报告模版（试行）》（公信安[2009]1487号）编制测评报告并报公安机关备案。

要针对系统存在的安全问题，制订安全建设和整改方案，
明确整改的目标、项目和进度，并报公安机关备案。

10月底前，三级以上信息系统要完成系统整改，11月底前完成验收测评并将测评报告报公安机关备案。

亚运会相关信息系统须尽快完成整改和验收测评工作并将验收测评报告报公安机关备案。

四、各司其职，形成合力。

协调小组各成员单位要发挥各自优势，信息安全主管部门、行业主管部门以及保障部门同心协力，共同推动信息安全等级保护工作。

财政、发改部门要为测评和整改提供经费支持。

要争取人事和组织部门支持，为开展信息安全等级保护工作提供人员、职位保障。

各行业主管部门要切实履行职责，开展对行业内单位信息系统的定级审核，对行业内信息系统的测评和整改工作进行部署，明确进展和要求。

要通过信息安全等级保护工作，密切各部门、各单位的沟通协作机制，加强数据采集和数据、技术共享，推动各项业务工作。

五、加强情况报送工作。

各有关单位要认真分析信息安全等级保护对于消除安全风险和安全隐患，整合资源投入，提升重要信息系统安全防范能力的作用，总结经验和成效，及时上报我办。

为加强宣传，我办拟于年内编辑信息安全事故（案例）汇编，开展警示教育，请各有关单位加强对本单位、本系统发生的信息安全事故（案例）的收集，于9月底前报我办。

特此通知
广东省信息安全等级保护协调小组办公室
二〇一〇年七月三十日。