中央和国家机关有关部门信息安全等级保护工作经验摘编
发布时间:2011-10-13   作者:佚名

水利部高度重视信息安全等级保护工作,按照国家信息安全等级保护制度的有关要求,将落实信息安全等级保护各项工作措施作为深入推进水利信息化的重要保障,结合水利信息化工作实际和特点,组织编制了《水利网络与信息安全体系基本技术要求》,提出了“两网三区四级”的水利网络与信息安全体系框架和分区分域防护的安全策略,并在此基础上研究制定了信息系统安全建设整改工作方案,明确了具体实施步骤,从不断完善信息安全体系、强化网络安全手段和提高安全管理水平等三个方面,全面提高水利网络与信息系统的安全保护能力。

 

总结水利信息安全等级保护工作的成功经验,主要体现在以下四个方面。一是领导重视是关键。水利部高度重视信息安全工作,陈雷部长指出“要切实加强水利信息安全与保障体系建设。坚持积极防御、综合防范、软硬结合、科学管理的原则,把技术手段、日常管理和制度建设结合起来,依靠技术、管理、人才、制度等多种手段,增强信息安全的防护能力。”鄂竟平副部长、胡四一副部长也多次对加强水利信息安全工作做出批示。水利部还专门成立了等级保护工作领导小组,为等级保护各项工作的开展提供了组织保障。二是科学定级是基础。为保证水利系统定级准确,水利部及时与公安部等有关部门沟通定级情况,在各单位自主定级的基础上,召开水利部信息系统安全等级保护定级专家评审会,对各单位提交的定级报告进行评审,对定级过高、过低情况进行纠正,同时下发了水利行业信息系统定级指导意见,对水利行业主要业务系统的系统划分、安全级别提出建议。三是结合实际是根本。水利部在指导全国水利信息化发展过程中,结合信息化和信息安全实际需要,将落实等级保护制度纳入水利信息化综合体系、保障和促进水利行业信息化的发展,创新信息系统安全管理工作模式,建立了水利网络安全保障信息系统。四是加强交流是途径。水利部在组织开展等级保护工作中,及时与公安部和相关部委沟通交流,互相学习,取长补短,共同推动。同时,注重发挥等级保护专家和系统内专家的作用,对系统定级、安全建设整改等工作提供支持。


铁道部按照国家信息安全等级保护制度要求,不断加强信息安全管理制度建设和技术措施建设,认真组织开展行业培训和检查,使铁路网络和信息系统的安全防范能力不断增强,有效保障了铁路运输生产安全。一是高度重视等级保护工作,与铁路信息化工作同步推进。铁道部成立了由胡亚东副部长任组长的铁路信息安全等级保护工作协调领导小组,多次组织会议研究具体工作,并每年将等级保护工作列入全国铁路信息化工作要点,提出明确要求,重点督促落实。二是以行业规章形式,明确要求铁路系统落实等级保护制度。在铁道部新修订的《铁路技术管理规程》中规定铁路信息系统实行等级保护。在即将印发的《铁路电子支付管理暂行办法》、《铁路信息系统技术审查管理规定》等规章中明确提出落实等级保护要求。三是深入研究铁路网络与信息系统技术方案,加强技术措施建设。铁道部将铁路网络与信息安全等级保护技术方案研究作为部里的重点科研项目,多次组织专家进行评审。同时,对新建、改建信息系统严格把关,确保等级保护与信息系统的建设同步实施,并要求新建重要信息系统上线前开展安全性测试,确定系统安全稳定后再上线运行。四是开展行业检查,加强应急演练。铁道部每年在全路开展一次全面的网络与信息安全大检查,在铁路春运、暑运和重要节假日、重要活动前,组织对运输生产相关的信息系统开展专项安全检查。同时,铁道部每年组织有关专家结合信息系统运行情况,对应急预案进行修订,并组织不定期的应急演练,有力地促进了铁路网络与信息系统安全。

 

证监会将信息安全等级保护工作作为推动行业信息安全工作的重要抓手,全面加强行业的信息安全等级保护工作,不断提升行业信息系统安全保障的整体水平,同时,打防结合,积极协调配合公安机关打击针对证券期货业的网络违法犯罪,各项工作取得了明显的成效。一是领导高度重视,组织机构健全。建立了统一领导的信息安全组织保障体系,成立了行业信息化工作领导小组和专家委员会,组建了422名专家组成的应急处置技术专家队伍。二是建立了证监部门与公安机关的分级协调配合机制。证监会证信办与公安部十一局,各地证监局与省级公安机关网安部门建立了对口联系机制。通过加强沟通,联合发文等形式,使证券系统的垂直监管体制与公安部门的属地管理体制有机融合。三是有序开展等级保护各项工作。制定下发了《关于进一步做好证券期货业重要信息系统安全等级保护定级备案工作的通知》,明确了定级标准、定级范围和审核流程,确保了全行业系统定级工作的顺利开展。根据国家标准,制定了《证券期货业信息系统安全等级保护基本要求》,研究起草了行业开展等级保护安全建设整改工作的指导意见,对行业开展等级测评和安全建设整改工作提出了明确要求。四是成效显著,行业信息安全保障水平显著提高。不断加大信息安全经费和人员投入,以开展等级保护工作为抓手,全方位的开展行业信息安全工作,使全行业的信息安全保障能力明显增强,信息安全事件(事故)数量显著下降。同时,与有关部门密切配合全力打击证券期货市场的网络违法犯罪行为,不断加强网络漏洞扫描与监测,使投资者的网上交易安全得到了较好的保障。

 

海关总署将信息安全等级保护工作作为保障海关信息系统安全与信息化建设同步发展的必要手段和优化信息安全资源配置、保障海关核心系统运行安全的重大举措,采取了一系列措施推动全国海关贯彻落实等级保护制度。一是设立了领导机构,明确了责任部门。海关总署成立了由主管副署长任组长,办公厅、监管司、科技发展司、信息中心、数据中心负责同志组成的等级保护工作领导小组,明确了科技发展司负责组织开展海关系统的等级保护工作。二是立足全局,制定全国海关系统等级保护安全建设整改工作规划。海关总署根据等级保护的相关政策和标准,在海关系统内部下发了《海关总署关于做好全国海关信息安全等级保护安全建设整改工作的通知》,确定了全国海关等级保护整改工作的时间阶段划分和具体工作内容。三是分析比对,剖析全国海关系统安全保护状况。海关总署依托测评机构和行业专家,根据等级保护相关标准和海关系统的特殊需求,确定了海关二级系统测评适用项目174项,三级测评适用项目213项,并通过开展等级测评,了解掌握了海关信息系统的安全保护状况,进一步完善了全国海关信息系统安全防御体系,制定了《全国海关信息系统安全等级保护整改建设指导方案》。四是完善海关等级保护体系,形成长效机制。按照“突出核心、纵深防御;区域隔离、等级保护;统一管理、两级运维”的总体策略,根据等级保护相关政策和标准,从管理和技术两方面对海关运行网、管理网、电子口岸数据中心进行整改。同时,加强等级保护相关政策和标准的宣传、培训,定期开展行业自查,形成等级保护工作长效机制。


税务总局依据信息安全等级保护相关政策和标准,结合税务系统实际情况,在税务系统安全防护体系一、二、三期建设的基础上,统一组织、规划了税务系统各单位的等级保护工作,逐步将等级保护制度落实到税务信息系统生命周期的各个环节中,使税务系统的信息安全工作按照等级保护的规范化要求健康、持续推进。在组织开展税务系统安全建设整改工作中,税务总局按照“统一组织、分步开展、试点先行、经验推广”的工作策略,根据上海市税务局国地税合一、应用系统齐全、信息化发展水平高等特点,选定上海市税务局作为税务系统等级保护安全建设整改工作的第一家试点单位,江苏地税做为第二个试点单位。通过试点工作,进一步检验了税务系统等级测评和安全建设整改的工作思路和流程,完善了税务系统信息安全等级保护系列标准和规范,积累了经验,锻炼了队伍,为整体实施税务系统的等级保护安全建设整改工作奠定了坚实的基础。下一步,税务总局将依照《税务系统信息安全等级保护工作规划》安排,在总结试点经验后,完善具有税务系统自身特色的等级保护测评和安全建设整改工作流程、思路和方法,全面启动税务系统的等级测评和安全建设整改工作,部署各省按照试点确定的工作流程和方法分批实施,确保2012年底前完成已定级系统的安全建设整改工作,切实提高税务系统的安全保护能力。

文章来源:中国信息安全等级保护网
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号