信息安全等级保护工作简报第30期
信息安全等级保护工作简报
(第30期)
来自:国家信息安全等级保护工作协调小组办公室 时间:2007-12-17
福建省信息安全等级保护定级工作进入指导整改阶段
为全面贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合下发的《信息安全等级保护管理办法》和全国重要信息系统安全等级保护定级工作电视电话会议的精神,福建省公安机关网监部门积极部署,全面开展了重要信息系统安全等级保护定级工作。自重要信息系统等级定级备案工作结束以来,福建省公安厅网监总队及时总结工作中存在的主要问题,有针对性地进行指导,提出行之有效的整改意见,积极推动福建省信息安全等级保护工作深入开展。
一、严格审核备案材料,积极总结定级工作中存在的主要问题
自10月份重要信息系统等级定级备案工作结束以来,针对来自省级49家重点单位和各设区市备案单位提交的定级备案数据材
料,福建省公安厅网监总队对报送的备案材料进行了严格审核。同时,林乐坚副总队长亲自带队赴宁德、莆田等地调研信息系统安全等级保护定级工作的具体实施情况,听取地市公安机关等级保护工作的开展情况以及遇到的困难和问题。在审核备案材料和调研过程中,发现定级工作存在以下几个方面的问题:一是部分单位信息系统定级不合理、定级偏低现象,特别是地市重要行业、单位的信息系统安全保护等级偏低;二是有些部门对本行业下级单位定级工作指导不力,定级工作开展不及时,部分下级单位由于等待上级主管部门定级意见延误备案,给公安机关整体工作推动造成影响;三是少数部门领导对国家实行信息安全等级保护制度认识不足、重视不够,定级不主动,单纯依靠单位内部信息主管部门进行定级,忽视其他业务单位的参与,造成定级不准确。针对以上问题,福建省公安厅网监总队采取措施,抓住时机不断加大宣传力度,主动上门协调,积极指导各单位进行有效整改。
二、举办首期信息安全国家标准宣传贯彻培训会议,推动等级保护规范化开展
为全面深入开展重要信息系统安全等级保护定级工作,12月5日至7日,福建省公安厅、网络与信息安全协调小组办公室与国家信息安全标准化委员会联合举办了首期信息安全国家标准宣传贯
彻培训会议,来自福建省省直机关、地市信息安全负责人、49个重要信息系统信息安全主管及技术人员近200人参加了此次会议。会议专门邀请了全国信息安全标准化领域的知名专家和学者作了专题讲座,特别就我国信息安全等级保护工作的需求,讲解了“十一五”期间国家重点开展的包括信息安全等级保护模型、基本要求、定级指南、实施指南、基本配置、技术要求、管理要求、工程管理、产品分级使用等相关标准的研究制定工作。国务院信息化工作办公室网络与信息安全组副组长、全国信息安全标准化技术委员会副主任委员赵泽良同志和福建省网络与信息安全协调小组副组长、公安厅副厅长王小洪出席会议并做重要讲话。赵司长指出,信息安全标准是我国信息安全保障体系的重要组成部分,是政府进行宏观管理的重要手段,重视信息安全标准的研究、制定、推广和实施,充分发挥标准的基础性、规范性作用对于促进信息安全产业发展,推动国家信息化建设,维护国家信息安全具有重要意义。王小洪副厅长在讲话中强调要发挥好福建省网络与信息安全测评中心的作用,依据等级保护相关配套标准,推动各信息系统建设、使用单位依据信息系统确定的安全保护等级,分类、分级别进行信息系统安全建设,确保福建省重点单位的网络与信息系统安全。
三、借助“信息安全与构建和谐海西”CIO 高峰论坛,深入指导定级工作
11月21日、12月8日福建省网络与信息安全协调小组办公室、信息协会、网监总队举办了“信息安全与构建和谐海西”CIO 高峰论坛,福建省信息安全等级保护重点单位、政务信息网省直各接入单位、各设区市和县(市、区)政务网主节点管理单位信息化部门负责人及技术骨干,各有关企事业单位、行业用户信息主管(CIO )等代表参加了论坛。福建省公安厅网监总队就如何积极推进国家信息安全等级保护制度做了专题介绍,并强调了信息系统等级定级中普遍存在的主要问题及其将引发的严重后果,同时明确指出,对备案审核过程中发现信息系统定级不合理、定级偏低的单位要退回重新定级、整改后重新备案登记。对于不符合填写规范的备案材料予以退回重填,福建省网络与信息安全测评中心对第三级以上信息系统要按规定择期开展评估。
四、以查处违规行为促进等级保护工作的深入持续开展
针对信息系统安全保护等级定级工作问题突出的某些单位,福建省公安厅网监总队通过查处政务信息网违规外联、互联网站被黑客攻击等发生在信息系统重点单位的典型案件,用案件促进等级保护工作的深入持续开展。11月以来,网监总队重点走访了工商银行福建省分行、省总工会、莆田市经贸委等15家政务网违规外联的
单位,与单位领导开展座谈,向其讲解信息安全等级保护工作的重要性、紧迫性和必要性,使其对信息系统等级保护定级工作有更进一步的了解,认识到通过信息系统等级保护促进本单位信息安全管理、建设工作的重要性。通过走访调查,各单位对信息系统安全等级保护定级工作提高了认识,能够及时向公安机关反馈整改情况,对本单位定级不准、定级偏低的信息系统积极开展重新调整级别工作。