| |
“北京市党政机关信息安全等级保护备案(审查)办理流程”
|
| [文章作者:zhujia] [发布日期:2007-11-20] [发布单位:服务中心] [信息来源:服务中心] |
| 各基础信息网络和重要信息系统,按照"准确定级、严格审批、及时备案、认真整改、科学测评"的要求完成等级保护的定级、备案、整改、测评等工作。各信息安全等级保护主管部门要依据相关法规和制度,认真受理备案,开展监督检查,确保此项工作按时完成。
(一)系统定级。一是各信息系统主管部门或运营使用单位要认真组织开展对所属信息系统的摸底调查,全面掌握信息系统的基本情况,按照《信息安全等级保护管理办法》(以下简称《管理办法》)和《信息系统安全等级保护定级指南》(以下简称《定级指南》)要求,自主确定系统等级。对新建信息系统在系统建设的同时,主管部门要同步确定系统的安全保护等级,按照具体等级同步规划建设安全设施。
二是各信息系统主管部门或运营使用单位初步确定定级对象的安全保护等级后,可以聘请专家对定级情况进行评审,并出具评审意见。主管部门或运营使用单位参照评审意见最后确定信息系统安全保护等级,形成定级报告(报告模版详见附件1,各单位可登录北京市信息安全等级保护服务中心网站或北京市信息化工作办公室网站下载 域名:www.bjdjbh.com;www.beijingit.gov.cn)。涉密信息系统的等级确定按照国家和市保密局的有关规定和标准执行。
(二)备案。一是信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门填写《信息系统安全等级保护备案表》(详见附件2),持备案表和利用辅助备案工具(备案表和辅助工具可到北京市信息安全等级保护服务中心网站或北京市信息化工作办公室网站下载 域名:www.bjdjbh.com;www.beijingit.gov.cn)生成的备案电子数据,到等级保护工作主管部门办理备案手续,提交有关备案材料及电子数据文件。其中,市级党政机关到市信息办备案,区县级党政机关到区县信息办备案。区县信息办备案汇总后报市信息办。对涉及国家秘密信息系统运营使用单位依据《管理办法》和国家保密局的有关规定,填写《涉及国家秘密的信息系统分级保护备案表》(详见附件3)报市和区县国家保密工作部门。其他领域信息系统运营使用单位到公安机关办理备案手续。
二是信息系统备案后,受理备案单位应当对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有关标准要求的,应当通知备案单位予以纠正。发现定级不准的,应当通知运营使用单位或其主管部门重新确定。
(三)评估和整改建设。一是系统定级完成后,运营使用单位应依据《管理办法》和有关技术标准,对本单位的网络与信息系统进行评估和现状检测(可请评估或检测机构协助开展),查找安全漏洞和隐患,编制检测评估情况报告。
二是依据信息安全等级保护管理规范和相关技术标准要求,制定系统整改方案,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作,建设符合等级要求的信息安全设施,制定本单位应急响应与处置工作预案,制定并落实信息安全等级保护管理制度。
(四)等级测评。信息系统整改建设完成后,运营使用单位应当选择符合信息安全保护等级管理规范和相关部门文件要求的测评机构,依据信息系统安全等级保护测评等技术标准对信息系统安全等级状况开展技术测评,并出具测评报告。第三级以上信息系统运营使用单位应当按照《管理办法》要求选择测评机构开展等级测评,出具测评报告。完成后上报等级保护工作主管部门。
(五)监督检查。在各阶段工作中,相关职能部门要加大对信息安全等级保护工作的监督检查力度,通过检查督促其落实等级保护各项安全管理制度和技术保护措施。在检查过程中,发现定级不准确、未按要求开展系统整改、未及时申请测评备案等问题要责令其限期整改,发现各类违法违规情况,要依法严肃处理。各信息系统主管部门和运营使用单位也要按要求开展对本行业、本单位信息系统等级保护工作的自查,在自查工作中,发现存在的不足,及时予以改正。
|
|
