47．市公安局、市经济信息化委、市国家保密局、市密码管理局 关于印发 《北京市开展信息安全等级保护安全建设整改工作实施方案》 的通知 （京公网安字〔2010〕1179 号） 市公安局属各单位，各区县信息化工作主管部门，各区县国家保密局，各区县密码工作 领导小组办公室： 现将《北京市关于开展信息安全等级保护安全建设整改工作的实施方案》印发给你 们，请认真遵照执行。 附件：信息安全等级保护安全建设整改工作情况统计表 二〇一〇年九月二十日 北京市关于开展信息安全等级保护安全建设整改工作 的实施方案 为深入贯彻落实公安部、国家保密局、国家密码管理局和原国信办《关于信息安全 等级保护工作的实施意见》 （公通字〔2004〕66 号）、 《信息安全等级保护管理办法》 （公 通字〔2007〕43 号）（以下简称《管理办法》）、公安部《关于开展信息安全等级保护安 全建设整改工作的指导意见》 （公信安〔2009〕1429 号）、国家密码管理局《信息安全等 级保护商用密码管理办法》（国密局发〔2007〕11 号）等文件精神，按照《北京市信息 化促进条例》、《北京市公共服务网络与信息系统安全管理规定》（市政府第 163 号令） 和市公安局、市国家保密局、原市国密办、原市信息办《北京市关于开展信息安全等级 保护工作的实施方案》 （京公网监字〔2007〕788 号）等法规文件规定，在开展信息安全 等级保护定级备案工作的基础上，指导全市各行业、各部门、各单位开展已定级信息系 统安全建设整改工作，特制定如下实施方案： 一、指导思想 1 深入贯彻党的十七大和十七届四中全会精神，以科学发展观为统领，紧紧围绕“平 安北京”和“世界城市”建设，充分借鉴 2008 年北京奥运会和国庆 60 周年庆祝活动信息 安全保障工作成功经验，按照建首善、创一流的工作标准，以信息安全等级保护工作为 抓手，以保障全市重点领域重要信息系统安全为目标，加快推进首都社会管理创新，不 断规范、完善信息安全等级保护制度和工作机制，为维护首都政治稳定和社会安定、促 进本市经济建设全面、协调、可持续发展奠定坚实基础。 二、工作任务及目标 依据国家和本市等级保护有关政策和技术标准，按照“突出重点，分步实施”工作原 则，计划对安全保护等级为二级（含）以上，涉及国计民生的电子政务、电力、银行、 证券、保险、民航、电信、广电、海关、交通、教育、司法、卫生、公共服务等行业的 基础信息网络与重要信息系统及其他领域信息系统，分几个阶段重点开展安全建设整改 工作。通过监督、指导各行业、各部门、各运营单位开展等级保护安全管理制度建设、 技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明 显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障我市信息化 健康发展。力争在党的十八大召开之前完成已定级信息系统安全建设整改工作。 三、组织领导与职责分工 我市信息安全等级保护安全建设整改工作，是在市网络与信息安全协调小组领导 下，在北京市信息安全等级保护办公室统筹规划和组织下，由市公安局牵头，会同市经 济信息化委、市国家保密局、市密码管理局等职能部门以及各相关行业主管部门按照各 自职责，共同参与、协作、配合开展。 市信息安全等级保护办公室负责监督、指导和协调各相关职能部门和行业主管部门 开展等级保护安全建设整改工作；协调信息安全专家对安全建设整改工作进行咨询、指 导；组织、指导全市等级保护安全建设整改工作的宣传教育和培训；制定下发相关工作 通知和规范要求，上报工作情况和报告，编制工作简报。 市公安局负责监督、检查和指导除涉及国家秘密信息系统以外，我市其他领域信息 系统的等级保护安全建设整改工作；具体受理信息系统运营使用单位或其主管部门安全 建设整改相关材料备案；分阶段汇总安全建设整改工作情况，报市信息安全等级保护办 公室。 2 市经济信息化委负责组织、指导市属政务信息系统的等级保护安全建设整改工作； 组织、指导市属政务信息系统等级保护安全建设整改工作的宣传教育和培训；分阶段汇 总市属政务信息系统等级保护安全建设整改工作情况，报市信息安全等级保护办公室。 市国家保密局负责依据国家有关保密法律法规和规章，监督、检查和指导我市涉及 国家秘密信息系统的等级保护安全建设整改工作；具体受理我市涉密信息系统运营使用 单位安全建设整改相关材料备案；组织、指导涉密信息系统等级保护安全建设整改工作 的宣传教育和培训；分阶段汇总安全建设整改工作情况，报市信息安全等级保护办公室。 市密码管理局负责依据国家有关密码使用管理规定，监督、检查和指导我市重要信 息系统等级保护安全建设整改工作中密码的装备、使用和管理；分阶段汇总安全建设整 改工作情况，报市信息安全等级保护办公室。 各行业主管部门按照“谁主管谁负责，谁运营谁负责”的原则，充分发挥行业主管或 上级主管优势，组织、指导所管辖信息系统运营使用单位开展等级保护安全建设整改工 作；组织制定本行业开展信息安全等级保护工作的规范标准；组织、指导本行业、本部 门信息系统等级保护安全建设整改工作的宣传教育和培训；配合相关职能部门建立健全 信息安全等级保护协调机制，定期通报等级保护工作开展情况；配合协助相关职能部门 开展信息安全等级保护工作指导和监督检查。 四、基本流程 信息安全等级保护安全建设整改工作，参照《信息安全等级保护安全建设整改工作 指南》指引，可以分以下五步进行： 第一步：按照“谁主管、谁负责，谁运营、谁负责”的原则，落实负责安全建设整改 工作的责任领导和责任部门。由责任部门牵头制定本行业、本部门和本单位信息系统安 全建设整改工作规划，对安全建设整改工作进行总体部署和组织实施。 第二步：开展信息系统安全保护现状分析，从管理和技术两个方面确定信息系统安 全建设整改需求。可以依据等级保护相关技术标准，采取对照检查、风险评估、等级测 评等方法，分析判断目前所采取的安全保护措施与等级保护标准要求之间的差距，分析 系统已发生的事件或事故，分析在安全保护方面存在的问题，形成并论证安全建设整改 需求。不同行业在满足信息系统安全等级保护基本要求基础上，可以结合行业特点和信 息系统安全保护的特殊要求，提出特殊安全需求。 第三步：确定安全保护策略，制定信息系统安全建设整改方案。在安全需求分析的 3 基础上，进行信息系统安全建设整改方案设计，包括总体设计和详细设计，制定工程预 算和工程实施计划等，为后续安全建设整改工程实施提供依据。三级（含）以上信息系 统安全建设整改方案须经专家评审论证后，报相关职能部门备案。各相关职能部门监督 检查备案单位安全建设整改方案的具体实施。 第四步：按照信息系统安全建设整改方案，实施安全建设整改工程。主要依据《管 理办法》、《信息系统安全等级保护基本要求》（GB／T22239-2008）（以下简称：《基本 要求》），参照《信息系统安全通用技术要求》（GB／T2027/2006）、《信息系统安全工程 管理要求》（GB／T2028 2-2006）、《信息系统等级保护安全设计技术要求》（信安秘字 〔2009〕059 号）、 《 〈信息安全等级保护商用密码管理办法〉实施意见》 （国密局发〔2009〕 10 号）等标准规范（各单位可登录北京市信息安全等级保护服务中心网站，域名：WWW． bjdjbh．com，查询、下载相关政策和技术标准），重点做好以下几方面工作：一是落实 信息安全责任制，明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安 全责任；二是建立并落实人员安全管理、系统建设管理、系统运维管理等各项制度规范， 形成完善的安全管理体系；三是结合行业特点和安全需求，制定符合相应等级要求的信 息系统安全技术建设整改方案，开展信息安全等级保护安全技术措施建设，落实相应的 物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施，建立并完 善信息系统综合防护体系。 第五步：开展安全自查和等级测评。各行业、各部门、各单位要通过自查，及时发 现信息系统中存在的安全隐患和问题，进一步开展安全整改工作。要及时选择符合国家 和本市有关政策、标准要求的信息安全等级保护测评机构（以下简称：测评机构），依 据《信息系统安全等级保护测评要求》等标准，对三级（含）以上信息系统开展等级测 评，向受理备案的职能部门提交等级测评报告。测评机构对照相应等级安全保护要求进 行差距分析，排查系统安全漏洞和隐患并分析其风险，提出改进建议，按照公安部制订 的测评报告格式编制等级测评报告。经测评未达到安全保护要求的，要根据测评报告中 的改进建议，制定整改方案并进一步进行整改。二级信息系统运营使用单位参照三级信 息系统规范要求开展测评，达到相应等级标准要求。 五、阶段划分 按照国家等级保护整体工作部署，在完成信息系统等级保护定级、备案工作的基础 上，依据等级保护相应级别规范和技术标准，对二级（含）以上重要信息系统开展安全 4 建设整改工作，切实落实信息安全等级保护制度。结合我市实际情况和信息安全保障工 作重点，计划按时间将等级保护安全建设整改工作分为以下三个阶段： 第一阶段：从现在起至 2010 年年底 一是进一步梳理、明确开展安全建设整改工作信息系统底数。各行业、各部门、各 单位要在前期全市开展信息系统等级保护定级备案工作的基础上，继续深入开展定级备 案，对未开展定级备案的，要立即开展系统定级，及时报相关职能部门备案；对备案系 统发生变更的，要及时办理备案变更；对新建信息系统要同步开展安全建设工作。同时， 要明确把二级（含）以上信息系统纳入安全建设整改工作范围。 二是按照国家等级保护安全建设整改工作部署要求，年底前，各行业、各部门、各 单位要完成 40％信息系统的安全建设整改工作，落实各项安全管理制度和技术保护措 施，规范开展等级测评。 第二阶段：从 2011 年初至 2011 年年底 按照国家等级保护安全建设整改工作部署要求，到 2011 年年底，各行业、各部门、 各单位要完成 80％信息系统的安全建设整改工作和所有三级（含）以上信息系统的等级 测评。 第三阶段：从 2012 年初至党的十八大之前 各行业、各部门、各单位要完成所有二级（含）以上信息系统的安全建设整改工作， 建立并完善信息安全等级保护制度，落实安全管理制度建设、安全技术措施建设和等级 测评工作，定期开展安全自查，形成以等级保护为基础的信息系统安全防范长效工作机 制。对确因特殊原因未能按时完成的，要落实各项应急保障措施，确保十八大期间重要 网络系统安全，要制定等级保护工作计划书，确定时间安排，保证按期完成。 涉及国家秘密信息系统的安全建设整改和等级测评工作，按照国家保密工作部门涉 密信息系统分级保护的管理规定和技术标准，结合系统实际情况实施。 在各个阶段，受理备案的各职能部门要依法对备案单位