作者: | 日期:2008-02-01 | 来自: | 浏览:
全国重要信息系统安全等级保护定级工作取得重大成效
为了保障党的“十七大”胜利召开和北京奥运会的顺利举办,按照《国家网络与信息安全协调小组关于确保党的十七大信息安全的意见》和《国家网络与信息安全协调小组2007年工作要点》安排,公安部会同国家保密局、国家密码管理局、国务院信息办于2007年7月份开始,在全国范围内部署开展了重要信息系统安全等级保护定级工作(以下简称“定级工作”)。几个月来,各级公安、保密、密码、信息办密切配合,周密部署,广泛宣传,加强指导,各重要信息系统运营使用单位及其主管部门认真组织,积极落实,定级备案工作取得重大成效,基本完成了全国重要信息系统的定级工作任务。
一、定级工作明确重点、突出重点,有力地推动了国家信息安全保障工作
此次定级的范围和对象主要是电信、广电行业的公用通信网、广播电视传输网等基础信息网络;涉及国计民生的重要行业中生产、调度、指挥、控制、管理、办公等重要信息系统;国有大型骨干企业的重要信息系统;市(地)级以上党政机关的重要网站、管理系统和办公系统;涉及国家秘密的信息系统。定级工作覆盖了国家重要领域、重要部门,明确了重点、突出了重点。绝大多数备案信息系统定级准确、备案及时,为深入开展信息安全等级保护工作,全面落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),提高国家基础网络和重要信息系统安全保护能力奠定了坚实基础。
二、各地区、各部门高度重视,狠抓落实
(一)及时成立等级保护工作领导机构,为定级工作的顺利开展提供了组织保证。
(二)各地区、各部门认真贯彻定级工作会议和通知精神,认真抓好落实。各省(区、市)和各部(委、局)根据全国定级工作电视电话会议和四部委通知精神,结合本地区、本行业实际,研究制定下发定级工作指导意见或实施方案,确定技术支持单位,组建专家组,认真开展定级工作。铁道部、人民银行、海关总署、国税总局、证监会、电监会、国防科工委、民航总局、农业部、商务部、国家统计局、质检总局、水利部、文化部、科技部、国家体育总局、国资委、国家民委、国土资源部、国家地震局、国家海洋局、国家外汇管理局、中国进出口银行等40多个部(委、局)以及国家电网公司、中石油集团、中石化集团、中材集团、建筑设计院等中央骨干企业还召开了专门会议,部署定级工作或开展集中培训。通过培训,各单位、各部门准确理解等级保护政策和标准,定级工作趋于规范化。人民银行、劳动和社会保障部、国家体育总局、水利部、发改委、商务部、卫生部、证监会、新华社等30多个部(委、局)请专家对定级系统进行了评审。通过开展定级工作,各单位、各部门提高了对国家信息安全保障工作重要性的认识,加深了对信息安全等级保护制度的理解,同时,培养和锻炼了信息安全队伍。
三、各级公安、保密、密码、信息办密切配合,认真组织,确保定级工作顺利实施
公安机关与保密部门、密码部门、信息办密切配合,按照全国重要信息系统安全等级保护定级工作电视电话会议精神和部署,积极组织各行各业开展定级工作。主要措施是:
(一)及时举办了定级工作培训班。
(二)召开了全国公安机关信息安全等级保护工作会议。
(三)开展了对信息系统主管部门和运营使用单位定级工作的监督、检查和指导。一是组织召开了十部委定级工作汇报交流会。
(四)及时出台备案、监督检查等工作规范,使定级备案、监督检查工作法制化。各级公安机关精心组织受理备案和备案材料的审核工作,严格把关。公安部及时出台《信息安全等级保护备案实施细则》,确保了定级备案工作的顺利进行,正在研究制定《公安机关信息安全等级保护监督检查规范》,为下一步开展监督检查工作打下良好基础。
四、分析定级备案数据,进一步明确等级保护工作重点
全国重要信息系统定级工作是等级保护工作的首要环节和关键环节,这项工作的基本完成,标志着我国信息安全保障工作步入科学化、规范化、标准化阶段,对我国信息安全保障工作将会起到巨大的推动作用。根据此次定级备案的情况,对反映出的国家信息安全状况作初步分析:
(一)高依赖度的信息系统所占比例大、数量多,反映出我国信息化发展迅猛,社会进步、经济发展对重要信息系统具有强依赖性。根据备案数据统计,银行、铁路、民航、税务、海关、电力、证券等重要领域的生产、调度、管理、控制、指挥等重要业务完全依赖或较强依赖的信息系统占备案总数的较大比例。说明这些重要业务均已实现了信息化,并对信息系统具有很强的依赖性,这些系统一旦瘫痪,重要领域、部门的生产、调度、办公等重要业务工作将完全停顿或受到严重影响。因此,在定级备案后,各部门、各单位应及时按标准开展安全建设整改和等级测评工作,解决随时可能发生的安全事件和事故,堵塞漏洞和安全隐患。
(二)重要信息系统集中在广电、银行等重要行业,需要尽快落实安全措施重点保护。根据备案数据统计,第三级以上的重要信息系统主要分布在电信、广电、银行、铁道、海关、税务、民航、证券、电力、公安、财政、教育、科技、国防、交通、文化、工商、劳动保障、水利、卫生、统计等涉及经济命脉、社会发展的重点行业、重点领域。全国范围服务的特大型信息系统占有较大比重。因此必须重点维护和保障这些重要行业信息系统,特别是涉及全国范围的特大型信息系统的安全,从根本上提升国家基础信息网络和重要信息系统整体安全保护水平。
(三)有些部门信息安全责任、安全措施和安全制度不落实,信息系统存在严重的安全隐患和问题。公安机关在督促、检查、指导有关单位定级工作中发现,一些重要信息系统的安全状况十分令人担忧,以至发生严重的信息安全事件,直接威胁国家安全和北京奥运会的顺利举办。信息系统主管部门和运营使用单位必须通过实施等级保护,突出重点,严格进行安全建设、整改,落实安全责任,建设安全设施,落实安全措施,从根本上解决重要信息系统存在的严重问题,扭转信息安全面临的被动局面。
(四)加快开展信息系统安全建设整改和等级测评工作,全面落实国家信息安全等级保护制度。重要信息系统定级备案情况表明,我国基础信息网络和重要信息系统业已成为国家关键基础设施,在国家经济发展、社会进步中的基础性、关键性、全局性作用日益增强,全面加快和推进国家信息安全等级保护工作,有效保护基础信息网络和重要信息系统安全至关重要。2008年北京奥运会日益临近,奥运网络以及为奥运提供服务保障的基础网络和重要信息系统的安全直接影响奥运会的顺利举办。虽然全国重要信息系统的定级备案工作基本完成,但国家信息安全等级保护工作才刚刚开始,因此,各部门、各单位要在定级备案工作的基础上,选择技术支撑力量,制定安全建设整改规划和方案,按照《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》等规范标准,加快对三级以上信息系统开展安全建设整改、等级测评、自查等工作,并配合公安机关、国家保密部门和国家密码工作部门开展监督、检查。各级财政和发展改革部门应对重要信息系统安全建设整改和等级测评工作给予支持,以确保国家信息安全等级保护制度的有效贯彻和实施。