27．北京市信息化工作领导小组 关于印发《关于加强北京市重要政务信息系统 信息安全管理的意见》的通知 （京信发〔2007〕7 号） 各区县信息化工作领导小组，市委、市政府各部委办局，各有关单位： 《关于加强北京市重要政务信息系统信息安全管理的意见》已经北京市信息 化工作领导小组、北京市网络与信息安全协调小组主要领导同志批准，现印发给 你们，请认真贯彻落实。 二〇〇七年七月二十七日 关于加强北京市重要政务信息系统信息安全管理的意见 随着我市电子政务的快速发展，涉及国家安全、经济建设、社会保障和城市 管理的安全等级为三级（含三级）以上的重要政务信息系统（以下简称重要系统） 已成为城市建设、运行、管理、服务、保障、应急的重要基础。为加强我市重要 系统的安全管理，确保重要系统的安全稳定运行，依据《北京市公务服务网络与 信息系统安全管理规定》（市政府令第 163 号）、《北京市政务与公共服务信息化 工程建设管理办法》（市政府令第 67 号）等规定，提出如下意见。 一、总体要求和工作目标 （一）总体要求。按照“积极防御、综合防范”的方针，以应用安全需求为导 向，坚持管理与技术并重，统筹兼顾，突出重点，做好重要系统安全保障工作。 （二）工作目标。通过落实信息安全等级保护制度，加强全生命周期的安全 管理，完善信息安全管理体系和技术体系，提高信息安全应急处置能力，确保我 市重要系统安全稳定运行。 二、主要任务 1 （一）落实信息安全等级保护制度，定期发布《北京市重要政务信息系统 目录》。 各部门应按照《关于印发〈信息安全等级保护管理办法〉的通知》（公通字 〔2007〕43 号）和《关于开展全国重要信息系统安全等级保护定级工作的通知》 （公信安〔2007〕861 号）的要求认真做好信息安全等级保护的各项工作，对于 安全等级二级以上（含二级）的政务信息系统应根据有关规定向市信息办备案。 市信息办会同市国家保密局根据信息系统安全等级等要素，确定并定期发布 《北京市重要政务信息系统目录》 （以下简称《目录》）。 《目录》中的信息系统情 况发生变化时，其主管部门应及时通报市信息办，市信息办会同市国家保密局根 据实际情况对《目录》进行修订。 （二）加强重要系统全生命周期管理，建立信息安全方案专项审查制度、 信息安全测评制度。 各部门应切实加强重要系统全生命周期的安全管理。在项目立项阶段应做好 系统安全定级、制定安全方案等工作；在项目实施阶段应做好项目实施方的资质 审查、项目的安全监理、保密管理等工作；在项目运维阶段应做好信息安全风险 管理工作，通过风险评估、安全加固、应急演练等措施控制信息系统的安全风险。 重要系统实行信息安全方案专项审查制度。各部门重要系统的信息安全方案 应经市信息办审查通过后方可实施。 重要系统实行信息安全测评制度。各部门重要系统未经信息安全测评，不得 进行验收，不得投入运行；已处于运维阶段的重要系统应及时进行补充测评。各 部门应对安全测评中发现的问题和隐患，认真做好整改、复查工作。 （三）落实信息安全责任制，推进和建立信息安全管理体系。 各部门应建立健全信息安全管理体系，明确重要系统的主管领导与责任机 构，按照“谁主管谁负责、谁运营谁负责”的要求，逐级建立并认真落实信息安全 责任制，各重要系统应设置信息安全管理员岗位，对本系统的信息安全状况进行 监督管理。 市信息办会同相关部门组织制定《北京市电子政务信息安全管理体系实施指 南》，推动各部门信息安全管理的标准化、规范化。 （四）建立和完善信息安全技术体系。 各部门应根据等级保护有关工作要求和相关国家、北京市标准规范，进一步 2 建立完善重要系统的信息安全技术体系。在全面分析重要系统所面临的安全威胁 及风险的基础上，加强系统的整体安全设计，特别是加强业务应用系统的安全功 能设计及安全隐患排查、整改工作。 重要系统的信息安全产品政府采购应按照《关于北京市市级政府采购安全产 品协议供货实行网上采购有关问题的函》 （京财文〔2007〕533 号）的要求办理。 （五）依托我市信息基础设施进行建设和管理。 充分利用我市电子政务网络。根据《北京市信息化工作领导小组关于推进北 京市电子政务网络建设的意见》（京信发〔2007〕1 号）的要求，各部门承载重 要系统的网络，凡不宜通过互联网实现的，必须依托全市统一的电子政务网络。 统筹规划容灾备份工作。各部门应按照《关于印发〈关于加强我市电子政务 信息系统灾难恢复工作的意见〉的通知》（京信安协〔2006〕3 号）的要求，开 展重要系统的容灾备份需求分析，制定容灾备份方案，推动容灾备份系统建设。 市容灾备份中心为各重要系统的容灾备份提供统一的基础设施服务，在投入使用 前，各部门应根据自身业务需求，做好重要系统的数据备份工作。 统一政务数字证书服务。市信息办会同市国密办、市国家保密局继续完善我 市政务数字证书服务体系。各部门应使用我市统一的政务数字证书实现重要系统 的身份认证、授权管理和责任认定。 （六）提高信息安全应急处置能力。 市信息办牵头建立政务信息安全监控平台，重点监控重要系统的安全状况， 对信息安全事件进行主动预警和响应，并向相关部门进行通报。 重要系统信息安全事件实行零报告制度，各部门应每季度向同级信息化主管 部门报告信息安全事件情况。 各部门应针对重要系统的特点，建立信息安全应急预案，并适时组织演练。 当发生信息安全事件时，各部门应启动相关预案，采取有效措施降低损害程度， 保存相关记录。 市信息办牵头组建政务信息安全应急救援队伍，为各部门信息安全事件的处 置提供统一的应急救援服务。（应急救援服务电话：51209186，13439075558） 三、保障措施 （一）加强人员培训和管理。 3 市信息办、市国家保密局会同有关部门组织信息安全和保密培训，逐步推行 信息安全工作人员的岗位资格制度。 （二）建立完善监督考评机制。 市信息办负责将重要系统安全考评纳入全市电子政务绩效考核中，对出现重 大信息安全事件，造成重大影响的，在电子政务绩效考核中实行一票否决。 （三）加大安全检查工作力度。 市网络与信息安全协调小组办公室组织开展重要系统的信息安全检查，对存 在问题的，将予以通报批评，对情节严重的，将追究主管领导和责任人的责任。 市网络与信息安全协调小组办公室组织开展重要系统安全风险的检查评估 工作，全面掌握我市重要系统的安全状况，并督促相关单位进行安全整改。 （四）加强组织协作和资金保障。 各级发展改革、财政部门要重点保证重要系统的信息安全资金投入。由市财 政局会同市信息办提出并建立重要系统运维的信息安全保障费用标准，审查重要 系统运维费用。各部门应做好重要系统的等级保护、风险评估、安全测评、安全 管理体系建设、安全技术体系建设、容灾备份系统建设等工作的组织与协调，并 将工作经费纳入部门预算。 附件：北京市重要政务信息系统目录（第一批）（略） 4