各处室、各直属单位:
为进一步加强我委信息化安全管理,建立、健全信息安全保障体系,依据《中华人民共和国计算机信息系统安全保护条例》有关要求,参照《信息安全等级保护管理办法》、《北京市党政机关计算机网络与信息安全管理办法》、《北京市公共服务网络与信息系统安全管理规定》等相关标准,根据委领导要求,现将有关工作要求通知如下。
一、统一领导,各负其责,全面加强信息化安全管理工作
市科委信息化领导小组统筹规划、全面负责全委信息化安全工作。
市科委办公室负责制定信息化安全管理工作计划,组织开展信息化安全检查、督导,协调落实信息化领导小组各项管理要求。
北京市科技信息中心负责我委主要信息化系统的日常安全管理及运行保障工作;根据信息化安全管理工作计划,联合北京软件产品质量检测中心或其他第三方机构进行信息系统安全检查。
按照谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,各处室、各直属中心要明确信息系统安全管理责任人,建立健
全信息安全责任制,将系统信息安全责任逐一落实到具体部门、岗位和人员,切实加强系统信息安全管理。
二、全面实施,分级保护,开展信息安全等级测评工作
新建和升级改造系统要按照“自主定级、专家评审、主管部门审定”的原则,根据国家信息安全管理规范和技术标准,科学准确开展系统的定级,并履行备案手续。 (一)自主评估,申报等级。相关处室及直属中心要综合评估信息系统承载信息的重要性、业务处理对系统的依赖性等因素,填写系统所处理的主要业务(包括各项业务的主要数据项),确定业务信息受到破坏后所侵害的客体及受侵害程度,按照国家有关标准,自主评估,申报信息化系统安全等级,报市科委办公室。
(二)专家评审,科学定级。市科委办公室、北京市科技信息中心根据相关处室和直属中心的申报材料,结合我委信息化安全等级保护整体规划,组织有关方面专家,对各部门提供的系统情况、自行申报的安全等级进行评审,出具评审意见,协调、确定信息系统申报等级并报信息化领导小组审定。
涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准具体实施。
(三)等级测评,评估风险。根据各信息系统安全等级,由信息化领导小组确定的安全测评机构进行测评,测评机构依据《信息系统安全等级保护测评要求》等技术标准,对信息系统安全等级状况开展测评,检测安全漏洞,评估安全风险,出具安全测评报告,明确整改要求。
三、完善制度,分类指导,不断规范各系统安全管理
信息化专项项目、委其他专项信息化项目应结合安全等级,严格按照信息系统安全管理规范及制度进行管理。各直属单位自有经费支持的信息化项目可参照执行。
(一)完善工作制度。参照国家相关部门关于信息安全保护等级有关标准,相关处室和直属中心要结合信息化系统实际情况,完善各自系统的安全管理规章制度,制定系统安全运行及管理方案,明确人员管理、系统软硬件建设、数据及备份管理等相关标准、程序。
(二)强化工作落实。各业务系统相关处室和直属中心要针对安全检测报告明确的相关要求,及时完成整改工作;要参照信息化系统安全等级保护的管理规范及标准,使用能够满足安全保护等级需求的信息技术产品,指定专人对网络和主机进行恶意代码检测并做好记录,加强防恶意代码软件授权使用、密码保护、恶意代码库升级等管理;要定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查,对网络与信息安全进行实时检测与监控,严格记录每天系统运行情况,发现问题及时向北京市科技信息中心报告并采取处理措施、存档留查。
(三)签订保密协议。相关处室和直属中心要与系统建设和运维的软件开发商、系统集成商和运维服务商签订《保密协议(单位)》,并与参与项目的工作人员签署《保密协议(个人)》,强化安全保密和风险控制。委托安全测评机构开展技术测评,应与检测机构及参与检测的人员签订安全保密协议,明确安全保密责任和义务。
(四)实施资料报备。新建与升级改造系统投入运行后,应在三个月之内将信息系统基本情况、安全管理工作方案以及保密协议等材料报送市科委办公室备案。
四、加强监督,定期检查,确保信息化系统安全运行
市科委办公室根据全市信息安全工作部署和我委信息化领导小组相关要求,结合重大活动和节假日,组织开展信息系统安全检查和风险评估工作;加强全员信息化安全培训,不断增强员工信息化安全防范意识;委托第三方或软件产品质量检验检测中心,对二级及二级以上的信息化系统进行安全风险评估,对一级信息化系统进行抽测,通过分析风险提出安全检测报告及风险处置建议。
北京市科技信息中心要采用相应的技术手段,定期监控和检查服务器、路由器、防火墙等网络部件的安全运行状态,加强对信息网络运行状况的监测和报警;及时发现、响应和处置与安全有关的事件,并对各种事件和处理结果进行详细的记录和档案化管理;向信息化领导小组报告重大信息安全事件,办理有关备案手续。
五、健全机制,制定预案,不断提高应急管理水平
全委信息安全突发事件应急处理工作由信息化领导小组统一领导。办公室按照信息化领导小组的整体部署,督促相关部门协同配合、具体实施,完善应急工作体系和预警预防机制,保证应急机制的迅速启动和指挥顺畅。
北京市科技信息中心负责信息安全突发事件的日常监测与预警,按照“防范为主,加强监控”的原则,制定全委信息安全应急预案、应急处理程序和技术方案。安排专人,对信息安
全突发事件进行防范、监测、预警、报告、响应,逐步实现发现、预警、处置、通报等多个环节、不同网络、系统、部门之间应急处理的联动机制,及时收集并向市科委办公室报送业务系统突发事件情况。
相关处室和直属中心要按照“谁主管、谁负责,谁运营、谁负责”的原则,研究制定各自系统的应急响应预案,建立应急处置队伍,做好系统文件、数据库等灾难备份,做到快速觉察、快速反应、及时处理、及时恢复。一旦发生信息安全事件,要立即启动应急预案,采取应急处置措施并将相关情况报送至北京市科技信息中心。
有关信息系统安全管理的文件资料,请联系市科委办公室,联系人:李佳璇,联系电话:66153395。
市科委办公室