48．北京市公安局、北京市人民政府国有资产监督管理委员会 关于进一步推进市属国有企业信息安全等级保护工作的通知 （京公网安字〔2012〕1117 号） 市公安局内保局、各分县局，市国资委各企（事）业单位: 保护市属国有企业信息系统的安全稳定运行对于促进企业健康发展，维护我市经济 安全和社会稳定具有重要意义。为全面落实国家信息安全等级保护制度，进一步加强市 属国有企业的信息安全工作，保障和促进企业的信息化发展，按照《关于印发北京市开 展信息安全等级保护工作的实施方案的通知》 （京公网监字〔2007〕788 号，以下简称《实 施方案》)、 《关于印发北京市开展信息安全等级保护安全建设整改工作实施方案的通知》 （京公网安字〔2010〕1179 号）要求，参照公安部、国务院国资委《关于进一步推行中 央企业信息安全等级保护工作的通知》（公通字〔2010〕70 号）精神，现就加快推进市 属国有企业信息安全等级保护工作的有关要求通知如下： 一、高度重视，切实将信息安全等级保护工作纳入市属国有企业 信息化工作同步推进 近年来，市属国有企业全面推进信息化建设，企业信息系统数量大幅增加，系统复 杂程度大幅提高，业务依赖程度大幅增强，企业的基础信息网络和重要信息系统已经成 为支撑企业业务发展，提高企业核心竞争力的重要载体和主要手段，已成为我市关键基 础设施。各级公安机关、市国资委及有关行业主管（监管）部门要高度重视市属国有企 业的信息安全等级保护工作，特别是各企业要将这项工作摆在重要位置，认真贯彻落实 国家信息安全等级保护制度，将信息安全等级保护工作纳入企业信息化工作的整体布局 中，与信息化工作同步规划、同步实施、同步考核。 二、明确职责，建立分工负责、协作配合的工作机制 市国资委负责部署市属国有企业信息安全等级保护工作，其中银行、交通行业企业 的信息安全等级保护工作由相关主管(监管)部门组织部署和落实。市国资委和有关行业 主管（监管）部门按照国家信息安全等级保护制度的总体要求和相关管理文件，组织市 属国有企业开展信息安全等级保护各项工作，制定具体实施方案或细则，开展宣传、培 1 训和先进经验推广工作，加强对企业信息安全等级保护工作的检查监督、指导和考核。 各企业要按照国家信息安全等级保护制度要求和有关部门的工作部署，切实加强对信息 安全等级保护工作的组织领导，建立健全工作机制，及时开展信息系统定级备案、安全 建设整改、等级测评和自查等各项工作，并利用等级保护综合管理系统使信息安全等级 保护工作常态化。各级公安机关要加强对市属国有企业信息安全等级保护工作的监督、 检查、指导，为企业开展信息安全等级保护工作提供服务和支持。 为确保此项工作的顺利开展，市级层面建立由市公安局、市国资委和有关行业主管 （监管）部门共同参加的市属国有企业信息安全等级保护工作协调配合机制。各部门按 照各自职责分工，加强协调，密切配合，定期沟通和通报工作进展，及时交流备案数据、 整改测评情况和检查结果等，共同组织推动企业信息安全等级保护工作的顺利开展。 三、全面梳理，认真做好市属国有企业信息系统安全等级保护定 级、备案工作 目前，绝大多数市属国有企业在各级公安机关、市国资委和有关行业主管（监管） 部门推动下，全面梳理本企业信息系统和网络，并根据《信息安全等级保护管理办法》 （公通字〔2007〕43 号）、 《实施方案》等有关规定和《信息系统安全保护等级定级指南》 等技术标准，开展了摸底、定级和备案工作。下一步，尚未开展信息系统定级的企业， 应当按照“企业自主定级、专家定级评审、主管部门审批、公安机关监督”的原则，抓 紧开展信息系统定级备案工作。对于已定级的信息系统由于定级不准、需求变更或撤销 的，要重新开展定级备案工作。市国资委要对所负责的市属国有企业信息系统安全保护 等级进行审批。各企业要在今年 8 月底前完成定级和变更工作，并将定级材料报公安机 关备案。其中，系统运营单位保卫关系属于市公安局内保局的由内保局负责受理备案； 系统运营单位保卫关系属于属地公安分局的由属地公安分局负责受理备案。各企业新建 系统要在规划设计阶段确定系统安全保护等级，并在等级确定后 30 日内到公安机关备 案。公安机关要及时受理备案，对符合备案要求的出具备案接收回执。 四、加强测评整改，完善重要信息系统安全防护体系 各企业要在信息系统定级备案工作基础上，按照开展信息安全等级保护安全建设整 改工作的有关要求，组织开展等级保护安全建设整改工作。对照《信息系统安全等级保 护基本要求》 （GB/T 22239—2008）、 《信息系统等级保护安全设计技术要求》 （GB/T 24856 2 —2009）等有关标准，通过开展等级测评、风险评估等方式，确定信息系统安全建设整 改需求，对信息系统进行加固改造和完善，落实安全保护技术措施和安全管理制度，建 立信息系统综合防护体系，提高网络和信息系统的整体保护能力。各企业要根据自身特 点，从《北京市信息安全等级保护测评机构推荐目录》中择优选择测评机构，对本企业 信息系统开展等级测评，第三级以上（含）的信息系统要定期开展等级测评,查找发现信 息系统的安全问题、漏洞和安全隐患并及时整改。信息系统测评后，各企业要及时将等 级测评报告和安全整改建设方案向备案公安机关报备。各企业应当在党的“十八大”召 开前完成本单位第三级以上（含）信息系统的安全建设整改和等级测评工作，于 2013 年 7 月 31 日前完成其它信息系统安全建设整改和等级测评工作。 五、强化考核，确保信息系统安全保护能力达到等级保护要求 各企业应当定期对信息系统安全保护状况、安全保护制度及技术措施的落实情况进 行自查，及时发现系统中存在的安全问题并整改；市国资委或行业主管（监管）部门要 定期督导、检查企业信息安全等级保护制度落实情况，指导企业开展信息安全等级保护 各项工作；各级公安机关要会同市国资委、行业主管（监管）部门定期对企业开展信息 安全等级保护工作情况进行监督检查，推动企业重要信息系统安全保护能力逐步达到信 息安全等级保护要求。 各企业要按照有关要求，向市国资委报送开展信息安全等级保护工作的有关情况和 数据。各企业要认真总结开展信息安全等级保护工作的经验，进一步加强和改进等级保 护工作，每年应对等级保护工作情况进行总结并填写《北京市属国有企业信息安全等级 保护工作情况统计表》（见附件），于 12 月 31 日前报市国资委或相关行业主管（监管） 部门和受理备案的公安机关。市国资委和行业主管（监管）部门应每年对所属企业开展 信息安全等级保护工作情况进行总结，并报北京市公安局。 行业主管（监管）部门对所属行业国有企业等级保护工作已做过部署的，所属企业 按照原计划和要求执行，其他企业按照本通知要求执行。 附件：北京市属国有企业信息安全等级保护工作情况统计表 二〇一二年八月十三日 3 附件： 北京市属国有企业信息安全等级保护工作情况统计表 01 企业名称 02 企业地址 03 企业负责人 04 企业联系人 姓 名 职务/职称 办公电话 姓 名 职务/职称 办公电话 移动电话 06 未定级备案信息系统数 05 信息系统总数 量 07 已定级备案信息 第二级系统 第三级系统 系统数量 第四级系统 合 计 （1）是否明确主管领导、责任部门和具体负责人员 08 信 息 □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 （5）是否组织开展信息系统安全建设整改和等级测评工作 □是 □ 否 （6）是否组织开展信息系统安全自查工作 □是 □ 否 （2）是否对信息系统安全建设整改和等级测评工作进行总体 部署 系统安 （3）是否对信息系统进行安全保护现状分析 全建设 （4）是否制定信息系统安全建设整改方案 整改工 作情况 09 已 开 展 安全建设整改 第二级系统 第三级系统 的信息系统数量 第四级系统 合 10 已 开 展 等级测评的信 第二级系统 第三级系统 息系统数量 第四级系统 合 11 信 息 系 统发生安全事 第二级系统 第三级系统 件、事故数量 第四级系统 合 12 已 达 到 等级保护要求 第二级系统 第三级系统 的信息系统数量 第四级系统 合 填表人： 审核人： 填表时间： 4 计 计 计 计 年 月 日