交通部：進(jìn)一步開展交通運(yùn)輸行業(yè)信息安全等級(jí)保護(hù)工作

　　各省、自治區(qū)、直轄市、新疆生產(chǎn)建設(shè)兵團(tuán)交通運(yùn)輸廳(局、委)，天津市市政公路管理局，天津市、上海市交通運(yùn)輸和港口管理局，部屬各單位，部?jī)?nèi)各單位：

　　貫徹落實(shí)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》和《信息安全等級(jí)保護(hù)管理辦法》等法規(guī)要求，做好交通運(yùn)輸行業(yè)信息安全等級(jí)保護(hù)，對(duì)于提升行業(yè)信息安全防護(hù)能力和水平，維護(hù)公共利益、社會(huì)秩序和國(guó)家安全具有重要作用。為進(jìn)一步加強(qiáng)交通運(yùn)輸行業(yè)信息安全等級(jí)保護(hù)工作，按照公安部《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安〔2007〕861號(hào)）和《關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》（公信安〔2009〕1429號(hào)）等文件要求，結(jié)合交通運(yùn)輸行業(yè)實(shí)際，現(xiàn)就開展信息安全等級(jí)保護(hù)有關(guān)事宜通知如下：

　　一、指導(dǎo)思想

　　深入貫徹落實(shí)科學(xué)發(fā)展觀，遵照國(guó)家有關(guān)信息安全等級(jí)保護(hù)政策規(guī)定和技術(shù)標(biāo)準(zhǔn)規(guī)范，緊密結(jié)合交通運(yùn)輸行業(yè)信息化發(fā)展實(shí)際，按照準(zhǔn)確定級(jí)、科學(xué)評(píng)估、統(tǒng)籌考慮、突出重點(diǎn)、注重實(shí)效、完善機(jī)制的原則，推進(jìn)交通運(yùn)輸行業(yè)信息系統(tǒng)等級(jí)保護(hù)體系建設(shè)，完善信息安全管理制度，建立健全信息安全防控技術(shù)措施和手段，切實(shí)提高信息系統(tǒng)安全保護(hù)能力，保障和促進(jìn)交通運(yùn)輸行業(yè)信息化科學(xué)健康有序發(fā)展。

　　二、總體目標(biāo)

　　到2015年底前，基本建立交通運(yùn)輸行業(yè)信息安全等級(jí)保護(hù)常態(tài)化運(yùn)行和監(jiān)督檢查機(jī)制，完善管理制度和技防手段，切實(shí)提高交通運(yùn)輸行業(yè)信息安全防護(hù)能力、隱患發(fā)現(xiàn)能力、應(yīng)急處置能力，為交通運(yùn)輸行業(yè)信息化健康發(fā)展提供可靠保障。主要是：完成安全保護(hù)等級(jí)為第二級(jí)以上（含第二級(jí)）的已運(yùn)營(yíng)（運(yùn)行）信息系統(tǒng)的定級(jí)備案、安全建設(shè)整改和測(cè)評(píng)；新建、擴(kuò)建、升級(jí)改造的信息系統(tǒng)在規(guī)劃建設(shè)階段同步開展信息系統(tǒng)定級(jí)、備案、安全建設(shè)及測(cè)評(píng)；完善行業(yè)信息安全等級(jí)保護(hù)政策標(biāo)準(zhǔn)體系，建立行業(yè)信息安全等級(jí)保護(hù)工作情況動(dòng)態(tài)報(bào)送和監(jiān)督檢查機(jī)制。

　　三、主要依據(jù)

　?。ㄒ唬吨腥A人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院147號(hào)令）；

　　（二）《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字〔2004〕66號(hào)）；

　?。ㄈ缎畔踩燃?jí)保護(hù)管理辦法》（公通字〔2007〕43號(hào)）；

　?。ㄋ模蛾P(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公通字〔2007〕861號(hào)）；

　?。ㄎ澹缎畔踩燃?jí)保護(hù)備案實(shí)施細(xì)則》（公信安〔2007〕1360號(hào)）；

　?。蛾P(guān)于開展信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》（公信安〔2009〕1429號(hào)）；

　?。ㄆ撸蛾P(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》（發(fā)改高技〔2008〕2071號(hào)）；

　?。ò耍队?jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859）；

　?。ň牛缎畔踩夹g(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T22240-2008)；

　?。ㄊ缎畔踩夹g(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GB/T25058-2010)；

　?。ㄊ唬缎畔踩夹g(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)。

　　以上政策文件和標(biāo)準(zhǔn)規(guī)范均可從中國(guó)信息安全等級(jí)保護(hù)網(wǎng)（https://www.djbh.net)查詢下載。

　　四、主要任務(wù)及工作安排

　?。ㄒ唬┬畔⑾到y(tǒng)摸底調(diào)查。

　　組織開展對(duì)本單位信息系統(tǒng)的摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，確定定級(jí)對(duì)象。

　　2012年7月底前，各單位應(yīng)完成信息系統(tǒng)情況摸底調(diào)查，并填寫《信息系統(tǒng)信息安全等級(jí)保護(hù)情況統(tǒng)計(jì)表》（見附件），蓋章后報(bào)部科技司。已經(jīng)完成定級(jí)備案手續(xù)的系統(tǒng)，應(yīng)將該系統(tǒng)《信息系統(tǒng)安全等級(jí)保護(hù)備案表》和公安機(jī)關(guān)出具的《信息系統(tǒng)安全等級(jí)保護(hù)備案證明》報(bào)部科技司。

　?。ǘ┬畔⑾到y(tǒng)定級(jí)備案。

　　按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，認(rèn)真分析信息系統(tǒng)業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，科學(xué)準(zhǔn)確開展系統(tǒng)的定級(jí)。已運(yùn)營(yíng)（運(yùn)行）、但尚未定級(jí)的重要信息系統(tǒng)要進(jìn)行補(bǔ)充定級(jí)，新建、擴(kuò)建和升級(jí)改造信息系統(tǒng)在規(guī)劃設(shè)計(jì)階段要同步完成系統(tǒng)定級(jí)工作。

　　對(duì)于安全保護(hù)等級(jí)為二級(jí)（含第二級(jí)）的系統(tǒng)，各單位應(yīng)按照《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》要求，到相應(yīng)公安機(jī)關(guān)備案。

　　2012年9月底前，各單位要開展已運(yùn)營(yíng)（運(yùn)行）和新建、擴(kuò)建、升級(jí)改造的信息系統(tǒng)的定級(jí)，并履行備案手續(xù)，定級(jí)備案結(jié)果同時(shí)報(bào)部科技司。

　　（三）等級(jí)保護(hù)安全建設(shè)整改。

　　各單位應(yīng)對(duì)照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等標(biāo)準(zhǔn)規(guī)范，開展已建信息系統(tǒng)安全保護(hù)現(xiàn)狀評(píng)估，分析查找存在的安全隱患和差距，制定信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)整改方案并組織實(shí)施。

　　新建、擴(kuò)建和升級(jí)改造信息系統(tǒng)要在項(xiàng)目立項(xiàng)及規(guī)劃設(shè)計(jì)階段，同步規(guī)劃等級(jí)保護(hù)總體設(shè)計(jì)方案，并在項(xiàng)目建設(shè)過程中同步完成信息安全等級(jí)保護(hù)建設(shè)工作。信息系統(tǒng)正式運(yùn)行后，要繼續(xù)做好安全運(yùn)行維護(hù)管理，在制度、人員、資金等方面給予保障，形成常態(tài)化的信息安全保障機(jī)制。

　　2012年12月底前，完成第三級(jí)以上（含第三級(jí)）已定級(jí)信息系統(tǒng)的安全建設(shè)和整改工作。2013年12月底，完成第二級(jí)以上（含第二級(jí)）已定級(jí)信息系統(tǒng)的安全建設(shè)和整改工作。

　　（四）等級(jí)保護(hù)測(cè)評(píng)。

　　系統(tǒng)建設(shè)整改工作完成后，應(yīng)當(dāng)按照《信息安全等級(jí)保護(hù)管理辦法》要求，從全國(guó)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄（見www.djbh.net）中選擇取得《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書》的測(cè)評(píng)機(jī)構(gòu)，開展等級(jí)測(cè)評(píng)。第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)；第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)；第二級(jí)信息系統(tǒng)可參照第三級(jí)信息系統(tǒng)的要求進(jìn)行等級(jí)測(cè)評(píng)。

　　（五）等級(jí)保護(hù)工作監(jiān)督檢查。

　　各單位應(yīng)定期開展等級(jí)保護(hù)自查，重點(diǎn)檢查信息安全責(zé)任落實(shí)情況、安全管理制度的落實(shí)情況、重要信息系統(tǒng)的安全防護(hù)狀況、建設(shè)整改情況、信息安全等級(jí)測(cè)評(píng)情況、檢查中發(fā)現(xiàn)問題整改情況，并編寫年度信息安全等級(jí)保護(hù)工作報(bào)告,于每年11月底前報(bào)部科技司。

　　部信息化主管部門將組織建立信息安全等級(jí)保護(hù)聯(lián)絡(luò)員隊(duì)伍，定期組織開展信息安全等級(jí)保護(hù)工作督導(dǎo)檢查。

　　五、職責(zé)分工

　　按照“誰主管、誰負(fù)責(zé)”、“誰運(yùn)維、誰負(fù)責(zé)”的原則，信息系統(tǒng)的主管部門及運(yùn)營(yíng)、使用單位按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行信息安全建設(shè)和管理。

　　部科技司負(fù)責(zé)交通運(yùn)輸行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)、監(jiān)督和檢查，組織研究制訂有關(guān)政策文件和標(biāo)準(zhǔn)規(guī)范。

　　各地方交通運(yùn)輸主管部門負(fù)責(zé)本地區(qū)交通運(yùn)輸行業(yè)系統(tǒng)信息安全等級(jí)保護(hù)工作的組織實(shí)施和監(jiān)督檢查。

　　六、工作要求

　?。ㄒ唬┘訌?qiáng)領(lǐng)導(dǎo)，明確責(zé)任。各單位要進(jìn)一步提高對(duì)信息安全等級(jí)保護(hù)工作重要性和緊迫性的認(rèn)識(shí)，切實(shí)加強(qiáng)對(duì)等級(jí)保護(hù)工作的組織領(lǐng)導(dǎo)，確立安全管理機(jī)構(gòu)及其職責(zé)，落實(shí)信息安全等級(jí)保護(hù)管理崗位和人員，明確相關(guān)部門的安全責(zé)任，確保各項(xiàng)要求落實(shí)到位。

　?。ǘ┍Ｕ辖?jīng)費(fèi)，加強(qiáng)監(jiān)管。各單位要建立穩(wěn)定的信息安全等級(jí)保護(hù)經(jīng)費(fèi)投入機(jī)制，將信息安全等級(jí)保護(hù)建設(shè)整改、等級(jí)測(cè)評(píng)、信息安全服務(wù)、技術(shù)培訓(xùn)等費(fèi)用納入信息化建設(shè)經(jīng)費(fèi)預(yù)算，保障等級(jí)保護(hù)工作的有效開展，并加強(qiáng)對(duì)資金使用的監(jiān)管。

　　（三）突出重點(diǎn)，同步建設(shè)。各單位要根據(jù)自身實(shí)際情況，對(duì)等級(jí)保護(hù)體系建設(shè)進(jìn)行統(tǒng)籌規(guī)劃，找準(zhǔn)存在的薄弱環(huán)節(jié)和突出問題，優(yōu)先抓好重要信息系統(tǒng)的測(cè)評(píng)整改建設(shè)。對(duì)新建、擴(kuò)建、升級(jí)改造的信息系統(tǒng)要確保等級(jí)保護(hù)措施的同步規(guī)劃、同步設(shè)計(jì)和同步實(shí)施。

　?。ㄋ模┘訌?qiáng)培訓(xùn)，建設(shè)隊(duì)伍。各單位要加強(qiáng)安全建設(shè)管理、安全運(yùn)維和應(yīng)急保障隊(duì)伍建設(shè)，積極組織開展相關(guān)人員進(jìn)行安全管理政策制度和技術(shù)技能培訓(xùn)，為信息安全等級(jí)保護(hù)工作開展提供有效的人員隊(duì)伍保障。

　?。ㄎ澹﹨f(xié)調(diào)推進(jìn)，強(qiáng)化監(jiān)督。要注重等級(jí)保護(hù)工作的統(tǒng)籌協(xié)調(diào)推進(jìn)，建立健全等級(jí)保護(hù)工作情況報(bào)送匯總、督促檢查、工作交流機(jī)制，組建行業(yè)信息安全聯(lián)絡(luò)員隊(duì)伍。部根據(jù)情況定期組織開展信息安全等級(jí)保護(hù)工作監(jiān)督檢查。

　　附件：信息系統(tǒng)信息安全等級(jí)保護(hù)情況統(tǒng)計(jì)表 　　

中華人民共和國(guó)交通運(yùn)輸部辦公廳（章）

　　二〇一二年五月二十一日