您当前所在的位置:首页>政策法规>省级省级

关于印发《浙江省信息安全等级评审实施细则》的通知
发表日期:2007-08-07 16:20:27 阅读次数:5954 来源:宁波经信委

浙信信〔2007〕145号  

 

省级各部门、各市信息办:  

根据《浙江省信息安全等级保护管理办法》(省政府令223号),我厅制定了《浙江省信息安全等级评审实施细则》,现印发给你们,请认真贯彻落实。  

 

二OO七年六月十五日  

 

浙江省信息安全等级评审实施细则  

 

第一条 为加强信息安全等级保护定级工作的组织实施和监督指导,科学合理地评审、确定信息系统等级,促进等级保护管理工作规范化、制度化,根据《浙江省信息安全等级保护管理办法》(省政府令223号)规定,制定本细则。  

第二条 基础信息网络和重要信息系统保护等级,实行专家评审制度。  

基础信息网络和重要信息系统是根据其在国家安全、经济建设、社会生活中的重要程度及实际安全需要,遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及公民、法人和其他组织的合法权益的危害程度来确定的。  

基础信息网络主要包括公用通信网、广播电视传输网等。  

重要信息系统主要包括:  

1、党政事务处理信息系统;  

2、金融、财税、海关业务信息系统;  

3、铁路、机场、交通(港口)等业务信息系统;  

4、医疗、社(医)保、供水、电力、燃气等业务信息系统;  

5、国家和省规定的其他重要信息系统。  

第三条 省、设区的市信息化行政主管部门分别建立省、市信息系统保护等级专家评审组。专家评审组成员由信息安全专家以及政治、经济、法律和技术等领域信息化方面的专家组成。专家评审组组长、副组长由信息化行政主管部门从评审组成员中确定。评审时可以邀请相关行业的专家参加。  

第四条 省信息化行政主管部门负责对全省信息系统安全等级的定级审定及相关的指导、服务、协调和管理工作。其主要职责是:  

(一)组织指导、协调、管理全省信息系统安全等级定级评审工作;  

(二)组织建立省信息系统安全保护等级专家评审组;  

(三)审核各市信息系统安全等级保护专家评审组方案;  

(四)受理设区的市信息化行政主管部门的定级备案,对有重大异议的,组织复审;  

(五)受理省级单位信息系统安全等级定级、等级变更的评审申请,并审定专家组评审意见;  

(六)受理三、四级信息系统安全等级定级、等级变更的评审申请,并审定三、四级专家组评审意见;  

(七)通报全省信息系统安全等级审定结果;  

(八)信息系统安全等级定级的其他相关工作。  

第五条  设区的市信息化行政主管部门负责管理本行政区域内的信息系统安全等级定级及相关的指导、服务、协调和管理工作。其主要职责是:  

(一)组织指导、协调、管理信息系统安全等级定级评审工作;  

(二)组织拟定信息系统安全保护等级专家评审组方案,报经省信息化行政主管部门审核后实施;  

(三)受理二级信息系统安全等级定级、等级变更的评审申请,并审定本市专家组评审意见;  

(四)对三、四级信息系统安全等级定级、等级变更的申请提出初审意见,并报省信息化行政主管部门审定;  

(五)通报二级信息系统安全等级审定结果并向省信息化行政主管部门报备;  

(六)信息系统安全等级定级的其他相关工作。  

第六条 信息系统保护等级专家评审组职责:  

(一)根据国家和省有关规定,开展信息系统安全等级保护的咨询工作;  

(二)受信息化行政主管部门委托,对信息系统安全等级进行评审,并提出评审意见;  

(三)对信息系统安全等级保护工作提出意见和建议;  

(四)承办信息化行政主管部门委托的其他事项。  

第七条 基础信息网络和重要信息系统的运营、使用单位,应当按照等级保护的管理规定和技术标准制订(或完善)本行业、本系统的等级划分具体细则。    

第八条  对于包含多个子系统的信息系统运营、使用单位,在保障信息系统安全互联和有效信息共享的前提下,应当根据等级保护的管理规定、技术标准和信息系统内各子系统的重要程度,分别确定各子系统的安全保护等级。  

第九条 申报审定的单位,应当向信息化行政主管部门提交下列资料:  

(一)申报单位基本情况:单位名称、法定代表人、通信地址、联络方式等基本信息。  

(二)信息系统基本信息:  

1、信息系统的行业特征、主管机构、地理位置、业务范围、业务种类和特性等基本情况;  

2、信息系统管理框架,主要包括组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责、用户范围和用户类型等基本内容;  

3、信息系统的网络及设备部署,主要包括信息系统的物理环境、网络拓扑结构、网络边界描述和硬件设备的部署等情况。      

(三)信息系统划分资料:  

1、划分原则和方法;  

2、信息系统列表  

3、每个信息系统的概述  

4、每个信息系统支撑的业务应用的列表;  

5、每个业务应用处理的信息资产类型;  

6、每个业务应用的服务范围和用户类型  

7、每个业务应用的其他特性。  

(四)信息系统安全保护等级确定资料:  

1、安全需求分析(安全需求分析报告、等级保护基本要求);  

2、总体安全设计规划(总体安全策略、总体安全方案、安全技术防护措施、安全保护管理制度、信息安全应急预案等);  

3、信息系统安全自评估报告;  

4、安全保护等级自定级报告。  

第十条 受理申请的信息化行政主管部门,应当自受理之日起20个工作日内,委托专家组进行评审。信息化行政主管部门应当自评审之日起45个工作日内审定专家组提出评审意见并书面通报。  

第十一条 对审定结果有异议的,应当自收到该审定结果之日起60日内,可以向省信息化行政主管部门提出复审申请。  

第十二条  信息系统运营、使用单位需要变更安全等级的,应当向原审定的信息化行政主管部门提出等级变更申请。受理申请的信息化行政主管部门按照本细则第十条规定重新组织审定。  

第十三条 申报审定的单位按照本细则规定提供的资料,应当真实、全面和及时;对提供的资料不实、弄虚作假和故意拖延的,信息化行政主管部门可以给予通报批评。  

第十四条  本细则由省信息产业厅负责解释。  

 

分享到:
关于我们|网站地图|版权声明|隐私声明|联系我们