46．北京市公安局、北京市信息化工作办公室、 北京市国家保密局、北京市国家密码管理委员会办公室 关于印发《北京市关于开展信息安全等级保护工作 的实施方案》的通知 （京公网监字〔2007〕788 号） 北京市公安局局属各单位，各区县信息化工作主管部门，各区县国家保密局，各区县密 码工作领导小组办公室： 现将《北京市关于开展信息安全等级保护工作的实施方案》印发给你们，请认真遵 照执行。 附件：1．《信息系统安全等级保护定级报告》（模板） 2．信息系统安全等级保护备案表 3．涉及国家秘密的信息系统分级保护备案表 二〇〇七年八月二十四日 北京市关于开展信息安全等级保护工作的实施方案 为进一步贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公 室《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66 号）、《信息安全等级 保护管理办法》 （公通字〔2007〕43 号，以下简称《管理办法》）、 《关于开展全国重要信 息系统安全等级保护定级工作的通知》 （公信安〔2007〕861 号）和北京市《北京市公共 服务网络与信息系统安全管理规定》（市政府第 163 号令）精神，按照《奥运会前北京 市网络与信息安全保障工作要点》 （京信安协〔2007〕3 号）总体工作要求，全面推进我 市信息安全等级保护工作，切实提高信息安全保障能力和水平，确保我市各重点领域重 要信息系统的安全，特制定北京市关于开展信息安全等级保护工作实施方案如下： 一、指导思想 1 深入贯彻党的十六大和十六届六中全会精神，以科学发展观为统领，紧紧围绕构建 社会主义和谐社会首善之区，以保障北京市重点领域重要信息系统的安全为目标，进一 步规范信息安全等级保护管理，完善北京市信息安全等级保护工作机制，全面提高重要 信息系统的安全防护能力和应急水平，最大限度减少信息安全事件及其造成的损失和危 害，确保奥运会期间信息和网络安全，促进本市经济建设全面、协调、可持续发展，维 护国家安全和社会稳定。 二、工作任务及目标 为顺利推进等级保护工作，确保奥运期间需重点保障的我市重要信息系统安全，计 划按照“突出重点，分步实施”工作原则，对遭受破坏后将对奥运会的顺利举行有直接或 间接影响的公安、电力、银行、民航、电信、广电、公共服务、证券、税务、保险等基 础信息网络和信息系统分几个阶段重点开展等级保护工作，通过系统定级、评估整改、 等级测评、备案和监督检查等工作流程，全面落实信息安全等级保护制度，且务必于奥 运会召开之前全部完成；对其他领域信息系统，所属部门或单位也要正式启动信息安全 等级保护工作，各相关职能部门要按照职责分工，对其工作进行监督、检查和指导。 三、组织领导与职责分工 我市信息安全等级保护工作，是在市网络与信息安全协调小组领导下，北京市信息 安全等级保护办公室统筹规划和组织下，市公安局牵头，市信息办、市国家保密局、市 国密办以及相关领域重要信息系统主管部门参与、配合，协作开展工作。 北京市信息安全等级保护办公室负责监督、指导和协调各相关职能部门和重要信息 系统主管部门开展等级保护工作；对上报的等级保护备案信息进行分析、汇总；制定下 发我市等级保护相关工作通知和规范要求，上报工作情况和分析报告，编制工作简报。 市公安局负责牵头组织北京市信息安全等级保护办公室日常工作，负责监督、检查 和指导除北京市政务信息系统和涉及国家秘密信息系统以外，我市其他领域信息系统的 信息安全等级保护工作；具体受理信息系统运营使用单位的安全保护等级备案，开展监 督检查工作；分阶段汇总工作情况，报市信息安全等级保护办公室。 市信息化工作办公室负责监督、检查和指导北京市政务信息系统的信息安全等级保 护工作；具体受理北京市政务信息系统运营使用单位的安全保护等级备案，开展监督检 查工作；分阶段汇总等级保护工作实施情况，报市信息安全等级保护办公室。 2 市国家保密局负责依据国家有关保密工作管理规定，监督、检查和指导我市涉及国 家秘密信息系统的信息安全等级保护工作；具体受理北京市涉密信息系统运营使用单位 的安全保护等级备案，开展监督检查工作；对开展等级保护工作中的泄密事件依法进行 查处；分阶段汇总等级保护工作实施情况，报市信息安全等级保护办公室。 市国家密码管理委员会办公室负责依据国家有关密码使用管理规定，监督、检查和 指导我市重点领域重要信息系统信息安全等级保护工作中密码的配备、使用和管理；对 违反密码管理规定或者未达到密码相关标准要求的依法进行处置；分阶段汇总等级保护 工作实施情况，报市信息安全等级保护办公室。 各重要信息系统主管部门按照“谁主管谁负责，谁运营谁负责”原则，依据信息安全 等级保护工作相关法律法规和技术标准要求，充分发挥行业主管或上级主管优势，指导 所管辖信息系统运营使用单位开展等级保护工作；建立健全信息安全事件分等级应急响 应、处置机制，制定信息安全事件应急预案；接受等级保护工作主管部门对本行业、本 单位信息安全等级保护工作的监督管理，积极配合开展各项检查。 四、工作流程 各基础信息网络和重要信息系统，按照“准确定级、严格审批、及时备案、认真整 改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。各信息安全等 级保护主管部门要依据相关法规和制度，认真受理备案，开展监督检查，确保此项工作 按时完成。 （一）系统定级。一是各信息系统主管部门或运营使用单位要认真组织开展对所属 信息系统的摸底调查，全面掌握信息系统的基本情况，按照《管理办法》和《信息系统 安全等级保护定级指南》 （以下简称《定级指南》）要求，自主确定系统等级。对新建信 息系统在系统建设的同时，主管部门要同步确定系统的安全保护等级，按照具体等级同 步规划建设安全设施。 二是各信息系统主管部门或运营使用单位初步确定定级对象的安全保护等级后，可 以聘请专家对定级情况进行评审，并出具评审意见。主管部门或运营使用单位参照评审 意见最后确定信息系统安全保护等级，形成定级报告（报告模版详见附件 1，各单位可 登录北京市信息安全等级保护服务中心网站或北京市信息化工作办公室网站下载域名： www.bjdjbh.com；www.beijingit.gov.cn）。涉密信息系统的等级确定按照国家和市保密局 的有关规定和标准执行。 3 （二）备案。一是信息系统安全保护等级为第二级以上的信息系统运营使用单位或 主管部门填写《信息系统安全等级保护备案表》（详见附件 2），持备案表和利用辅助备 案工具（备案表和辅助工具可到北京市信息安全等级保护服务中心网站或北京市信息化 工作办公室网站下载域名：www.bjdjbh.com；www.beijingit.gov.cn）生成的备案电子数 据，到等级保护工作主管部门办理备案手续，提交有关备案材料及电子数据文件。其中， 市级党政机关到市信息办备案，区县级党政机关到区县信息办备案。区县信息办备案汇 总后报市信息办。对涉及国家秘密信息系统运营使用单位依据《管理办法》和国家保密 局的有关规定，填写《涉及国家秘密的信息系统分级保护备案表》 （详见附件 3）报市和 区县国家保密工作部门。其他领域信息系统运营使用单位到公安机关办理备案手续。 二是信息系统备案后，受理备案单位应当对信息系统的备案情况进行审核，对符合 等级保护要求的，颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有 关标准要求的，应当通知备案单位予以纠正。发现定级不准的，应当通知运营使用单位 或其主管部门重新确定。 （三）评估和整改建设。一是系统定级完成后，运营使用单位应依据《管理办法》 和有关技术标准，对本单位的网络与信息系统进行评估和现状检测（可请评估或检测机 构协助开展），查找安全漏洞和隐患，编制检测评估情况报告。 二是依据信息安全等级保护管理规范和相关技术标准要求，制定系统整改方案，使 用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统 安全建设或者改建工作，建设符合等级要求的信息安全设施，制定本单位应急响应与处 置工作预案，制定并落实信息安全等级保护管理制度。 （四）等级测评。信息系统整改建设完成后，运营使用单位应当选择符合信息安全 保护等级管理规范和相关部门文件要求的测评机构，依据信息系统安全等级保护测评等 技术标准对信息系统安全等级状况开展技术测评，并出具测评报告。第三级以上信息系 统运营使用单位应当按照《管理办法》要求选择测评机构开展等级测评，出具测评报告。 完成后上报等级保护工作主管部门。 （五）监督检查。在各阶段工作中，相关职能部门要加大对信息安全等级保护工作 的监督检查力度，通过检查督促其落实等级保护各项安全管理制度和技术保护措施。在 检查过程中，发现定级不准确、未按要求开展系统整改、未及时申请测评备案等问题要 责令其限期整改，发现各类违法违规情况，要依法严肃处理。各信息系统主管部门和运 4 营使用单位也要按要求开展对本行业、本单位信息系统等级保护工作的自查，在自查工 作中，发现存在的不足，及时予以改正。 五、阶段划分 按照公安部、国家保密局、国家密码管理局和国务院信息化工作办公室联合签发的 《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861 号） 和《奥运会前北京市网络与信息安全保障工作要点》（京信安协〔2007〕3 号）要求，结 合当前奥运信息安全保卫的工作重点，我市的信息安全等级保护工作计划按时间分为以 下三个阶段： 第一阶段：从现在起至 2007 年 9 月底 完成信息安全等级保护定级、备案工作。重点完成以下行业重要信息系统的定级、 备案工作：电信、广电等行业的基础信息网络，经营性公众互联网信息服务单位、互联 网接入服务单位、数据中心等单位的重要信息系统；公安、银行、海关、税务、民航、 电力、证券、保险、外交、科技、发展改革、国防科技、人事劳动和社会保障、财政、 审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政 等行业、部门的生产、调度、管理、办公等重要信息系统；市、区县党政机关的政务网 站和政务信息系统；涉及国家秘密的信息系统（以下简称“涉密信息系统”）。 各信息系统主管部门和运营使用单位要积极开展系统情况摸底，明确具体工作对 象，理顺工作关系，通过等级自评、评审、备案等工作环节，完成所辖系统的等级保护 定级、备案工作。 第二阶段：从 2007 年 9 月底至 2007 年年底 完成为 2008 年奥运会提供基础性保障信息系统的安全等级保护工作。重点完成公 安、电力、银行、民航、海关、税务、证券、保险、交通、自来水、排水、天然气、燃 气等行业和电信、广电等基础信息网络和重要信息系统的安全等级保护工作。 通过系统建设整改，测评、评估等技术手段和措施，从管理和技术两方面全面提升 这些领域重要信息系统的安全防