關于進一步開展運輸行業(yè)信息等保工作通知

關于進一步開展交通運輸行業(yè)信息安全等級保護工作的通知
廳科技字〔2012〕120號
各省、自治區(qū)、直轄市、新疆生產(chǎn)建設兵團交通運輸廳(局、委)，天津市市政公路管理局，天津市、上海市交通運輸和港口管理局，部屬各單位，部內(nèi)各單位：
貫徹落實《中華人民共和國計算機信息系統(tǒng)安全保護條例》和《信息安全等級保護管理辦法》等法規(guī)要求，做好交通運輸行業(yè)信息安全等級保護，對于提升行業(yè)信息安全防護能力和水平，維護公共利益、社會秩序和國家安全具有重要作用。為進一步加強交通運輸行業(yè)信息安全等級保護工作，按照公安部《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安〔2007〕861號）和《關于開展信息安全等級保護安全建設整改工作的指導意見》（公信安〔2009〕1429號）等文件要求，結(jié)合交通運輸行業(yè)實際，現(xiàn)就開展信息安全等級保護有關事宜通知如下：
一、指導思想
 深入貫徹落實科學發(fā)展觀，遵照國家有關信息安全等級保護政策規(guī)定和技術(shù)標準規(guī)范，緊密結(jié)合交通運輸行業(yè)信息化發(fā)展實際，按照準確定級、科學評估、統(tǒng)籌考慮、突出重點、注重實效、完善機制的原則，推進交通運輸行業(yè)信息系統(tǒng)等級保護體系建設，完善信息安全管理制度，建立健全信息安全防控技術(shù)措施和手段，切實提高信息系統(tǒng)安全保護能力，保障和促進交通運輸行業(yè)信息化科學健康有序發(fā)展。
 二、總體目標
到2015年底前，基本建立交通運輸行業(yè)信息安全等級保護常態(tài)化運行和監(jiān)督檢查機制，完善管理制度和技防手段，切實提高交通運輸行業(yè)信息安全防護能力、隱患發(fā)現(xiàn)能力、應急處置能力，為交通運輸行業(yè)信息化健康發(fā)展提供可靠保障。主要是：完成安全保護等級為第二級以上（含第二級）的已運營（運行）信息系統(tǒng)的定級備案、安全建設整改和測評；新建、擴建、升級改造的信息系統(tǒng)在規(guī)劃建設階段同步開展信息系統(tǒng)定級、備案、安全建設及測評；完善行業(yè)信息安全等級保護政策標準體系，建立行業(yè)信息安全等級保護工作情況動態(tài)報送和監(jiān)督檢查機制。
 三、主要依據(jù)
（一）《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院147號令）；

（二）《關于信息安全等級保護工作的實施意見》（公通字〔2004〕66號）；
（三）《信息安全等級保護管理辦法》（公通字〔2007〕43號）；（四）《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公通字〔2007〕861號）；
（五）《信息安全等級保護備案實施細則》（公信安〔2007〕1360號）；
（六）《關于開展信息系統(tǒng)等級保護安全建設整改工作的指導意見》（公信安〔2009〕1429號）；
（七）《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》（發(fā)改高技〔2008〕2071號）；
（八）《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859）；
（九） 《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》(GB/T22240-2008)；
（十） 《信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南》(GB/T25058-2010)；
（十一）《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》(GB/T22239-2008)。
 以上政策文件和標準規(guī)范均可從中國信息安全等級保護網(wǎng)（http://www.djbh.net)查詢下載。

 四、主要任務及工作安排
（一）信息系統(tǒng)摸底調(diào)查。
組織開展對本單位信息系統(tǒng)的摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務類型、應用或服務范圍、系統(tǒng)結(jié)構(gòu)等基本情況，確定定級對象。
2012年7月底前，各單位應完成信息系統(tǒng)情況摸底調(diào)查，并填寫《信息系統(tǒng)信息安全等級保護情況統(tǒng)計表》，蓋章后報部科技司。已經(jīng)完成定級備案手續(xù)的系統(tǒng)，應將該系統(tǒng)《信息系統(tǒng)安全等級保護備案表》和公安機關出具的《信息系統(tǒng)安全等級保護備案證明》報部科技司。
（二）信息系統(tǒng)定級備案。
 按照《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》，認真分析信息系統(tǒng)業(yè)務信息安全和系統(tǒng)服務安全，科學準確開展系統(tǒng)的定級。已運營（運行）、但尚未定級的重要信息系統(tǒng)要進行補充定級，新建、擴建和升級改造信息系統(tǒng)在規(guī)劃設計階段要同步完成系統(tǒng)定級工作。
 對于安全保護等級為二級（含第二級）的系統(tǒng)，各單位應按照《信息安全等級保護備案實施細則》要求，到相應公安機關備案。
 2012年9月底前，各單位要開展已運營（運行）和新建、擴建、升級改造的信息系統(tǒng)的定級，并履行備案手續(xù)，定級備案結(jié)果同時報部科技司。
（三）等級保護安全建設整改。
 各單位應對照《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》等標準規(guī)范，開展已建信息系統(tǒng)安全保護現(xiàn)狀評估，分析查找存在的安全隱患和差距，制定信息系統(tǒng)安全等級保護建設整改方案并組織實施。
 新建、擴建和升級改造信息系統(tǒng)要在項目立項及規(guī)劃設計階段，同步規(guī)劃等級保護總體設計方案，并在項目建設過程中同步完成信息安全等級保護建設工作。信息系統(tǒng)正式運行后，要繼續(xù)做好安全運行維護管理，在制度、人員、資金等方面給予保障，形成常態(tài)化的信息安全保障機制。
 2012年12月底前，完成第三級以上（含第三級）已定級信息系統(tǒng)的安全建設和整改工作。2013年12月底，完成第二級以上（含第二級）已定級信息系統(tǒng)的安全建設和整改工作。
（四）等級保護測評。
系統(tǒng)建設整改工作完成后，應當按照《信息安全等級保護管理辦法》要求，從全國信息安全等級保護測評機構(gòu)推薦目錄（見www.djbh.net）中選擇取得《信息安全等級保護測評機構(gòu)推薦證書》的測評機構(gòu)，開展等級測評。第四級信息系統(tǒng)應當每半年至少進行一次等級測評；第三級信息系統(tǒng)應當每年至少進行一次等級測評；第二級信息系統(tǒng)可參照第三級信息系統(tǒng)的要求進行等級測評。
（五）等級保護工作監(jiān)督檢查。
各單位應定期開展等級保護自查，重點檢查信息安全責任落實情況、安全管理制度的落實情況、重要信息系統(tǒng)的安全防護狀況、建設整改情況、信息安全等級測評情況、檢查中發(fā)現(xiàn)問題整改情況，并編寫年度信息安全等級保護工作報告,于每年11月底前報部科技司。
部信息化主管部門將組織建立信息安全等級保護聯(lián)絡員隊伍，定期組織開展信息安全等級保護工作督導檢查。
五、職責分工
 按照“誰主管、誰負責”、“誰運維、誰負責”的原則，信息系統(tǒng)的主管部門及運營、使用單位按照等級保護的管理規(guī)范和技術(shù)標準進行信息安全建設和管理。
 部科技司負責交通運輸行業(yè)信息安全等級保護工作的指導、監(jiān)督和檢查，組織研究制訂有關政策文件和標準規(guī)范。
 各地方交通運輸主管部門負責本地區(qū)交通運輸行業(yè)系統(tǒng)信息安全等級保護工作的組織實施和監(jiān)督檢查。
六、工作要求
（一）加強領導，明確責任。各單位要進一步提高對信息安全等級保護工作重要性和緊迫性的認識，切實加強對等級保護工作的組織領導，確立安全管理機構(gòu)及其職責，落實信息安全等級保護管理崗位和人員，明確相關部門的安全責任，確保各項要求落實到位。
（二）保障經(jīng)費，加強監(jiān)管。各單位要建立穩(wěn)定的信息安全等級保護經(jīng)費投入機制，將信息安全等級保護建設整改、等級測評、信息安全服務、技術(shù)培訓等費用納入信息化建設經(jīng)費預算，保障等級保護工作的有效開展，并加強對資金使用的監(jiān)管。
（三）突出重點，同步建設。各單位要根據(jù)自身實際情況，對等級保護體系建設進行統(tǒng)籌規(guī)劃，找準存在的薄弱環(huán)節(jié)和突出問題，優(yōu)先抓好重要信息系統(tǒng)的測評整改建設。對新建、擴建、升級改造的信息系統(tǒng)要確保等級保護措施的同步規(guī)劃、同步設計和同步實施。
（四）加強培訓，建設隊伍。各單位要加強安全建設管理、安全運維和應急保障隊伍建設，積極組織開展相關人員進行安全管理政策制度和技術(shù)技能培訓，為信息安全等級保護工作開展提供有效的人員隊伍保障。
（五）協(xié)調(diào)推進，強化監(jiān)督。要注重等級保護工作的統(tǒng)籌協(xié)調(diào)推進，建立健全等級保護工作情況報送匯總、督促檢查、工作交流機制，組建行業(yè)信息安全聯(lián)絡員隊伍。部根據(jù)情況定期組織開展信息安全等級保護工作監(jiān)督檢查。