北京市信息化工作领导小组关于加强信息安全保障工作的实施意见
为贯彻落实《中共中央办公厅国务院办公厅转发〈国家信息化领导小组关于加强信息安全保障工作的意见〉的通知》(中办发[2003]27号)精神,加强本市信息安全保障工作,现提出如下实施意见。
一、本市各级党政机关的网络与信息系统实行安全等级保护制度
本市各级党政机关要综合考虑其网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,按照有关政策法规及技术标准,确定其网络与信息系统的安全保护等级,并落实安全管理责任。
(一)各级党政机关要对其网络与信息系统进行风险评估和确定安全保护等级,并将风险评估和确定的安全保护等级结果报同级信息化主管部门备案。
(二)由市信息办组织有资质的信息安全测评机构对本市党政机关的重要信息系统统一进行安全等级测评,未达到相应安全保护等级要求的,应限期整改。今后凡新建网络与信息系统,必须在立项前进行风险分析并确定安全保护等级,报同级信息化主管部门审查,正式运行前必须进行安全测评,未达到安全保护等级要求的不得运行。
(三)通过安全保护等级测评的网络与信息系统,投入运行后要按照等级保护的原则,定期进行安全性评估。具体评估办法由市信息办制定。
(四)涉及国家秘密的信息系统,要按照党和国家有关保密规定进行保护,具体实施计划由市保密局会同有关部门制定。
二、加强以密码技术为基础的信息保护和网络信任体系建设
充分发挥密码在保障全市电子政务、电子商务安全和保护公民个人信息等方面的重要作用。在北京市密码管理委员会的统一领导下,按照满足需求、方便使用、加强管理的原则,加快密码基础设施建设,建立健全适合全市信息化发展的密码管理体制和科学的密钥管理体系。
统筹规划本市网络信任体系,建立全市网络信任的协调管理机制,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设。
推动全市数字证书的应用工作,并积极探索政务数字证书和公共服务数字证书之间互通互用的机制。在本市重大信息化项目中,也要推行数字证书的应用。
访问涉密信息所需的数字证书问题,由市委办公厅机要局、市保密局、市信息办等部门另行研究。
三、(略)
四、启动信息安全应急保障体系建设
加强信息安全应急处理工作的组织协调,研究制定全市的信息安全应急处置预案。鼓励社会力量参与灾难备份设施建设和提供技术服务,提高信息安全应急响应能力。进一步完善北京市信息安全应急工作体系的方案,经市信息化工作领导小组批准后实施。
加强信息安全应急基础设施的建设。统筹规划全市的容灾备份体系,建设一个区域性的、同城异地的信息安全容灾备份中心,为全市党政机关提供集中、统一的容灾备份服务。由市信息办提出容灾备份中心建设的方案,报市信息化领导小组批准后实施。
建立健全信息安全通报制度。各基础信息网络和重要信息系统的建设要充分考虑抗毁性与灾难恢复,制定并不断完善信息安全应急处置预案。
五、加强信息安全技术科研和产业发展工作
加强信息安全关键技术和相关核心技术的研究开发,提高自主创新能力,促进信息安全技术转化,加快产业化进程。由市科委牵头,会同有关部门组织研究开发密码、安全隔离与审计、病毒防范、网络监控、检测与应急处理、信息安全测试与评估等信息安全关键技术和核心技术,加大对自主知识产权关键安全技术的研发投入。
使用财政资金建设的信息化项目要按照有关规定进行政府采购,市财政局会同市信息办等有关部门要将信息安全软件、设备和服务列入政府采购目录。
六、进一步完善信息安全法规政策和标准体系
坚持依法保障和促进信息化健康发展,进一步完善信息安全法规政策体系,明确保障信息安全的责任和义务。尽快制定涉及政务与公共服务信息安全管理、信息安全等级保护、数字证书管理、信息安全应急管理、促进信息安全产业等方面的法规和政策。
进一步加强信息安全标准化工作。针对全市信息安全产业及信息化建设的需求,研究制定地方标准,逐步构建起由国家、行业、地方标准组成的全市信息安全标准体系。由市信息办负责,尽快研究制定信息系统安全定级指南、电子政务专网安全技术要求、电子政务内网(涉密)安全技术要求、电子政务信息安全保障技术框架等相关技术标准。
在市信息化领导小组的统一领导下,加强对全市信息安全的监督和管理,保证信息安全相关法规政策和技术标准得到贯彻和执行。
七、加快信息安全人才培养和队伍建设
加强信息安全保障工作,必须建设一支政治可靠、技术过硬的信息安全专业队伍。将信息安全相关内容的培训纳入全市信息化与电子政务人才培训计划中,特别要加强对党政机关信息安全管理和技术人员的培训工作;教育部门要采取措施加强对信息安全专业人才的培养;逐步推行信息安全工作人员的资格岗位制度。
八、加强信息安全宣传教育工作
有针对性、有重点、有计划地组织开展各种宣传活动,大力普及信息安全的基础知识和基本技能,特别是加强对青少年的信息安全教育和法律法规教育,不断增强全民信息安全意识。
九、保证信息安全资金
由市信息办会同有关部门制定与信息系统安全等级相对应的资金投入标准。各级发展改革、财政、科技、信息化等部门要调整信息化建设资金使用结构和支出方向,保证信息安全基本建设、运行维护和关键技术研发等资金的投入。本着资源共享、功能互补、节约投资的原则,集中力量,重点支持信息安全测评实验室、信息安全应急响应与异地容灾备份中心、计算机犯罪勘察鉴定中心等信息安全基础设施建设。
十、加强对信息安全保障工作的领导,建立健全信息安全责任制
各级党委和政府要充分认识加强信息安全保障工作的重要性和紧迫性,以高度的政治责任感,切实加强对信息安全保障工作的领导。在推进信息化过程中,要始终坚持一手抓信息化发展,一手抓信息安全保障工作。
各单位要建立健全信息安全领导责任制,落实信息安全保障工作的机构和人员。全市的信息安全工作在市信息化工作领导小组的领导下,由市网络与信息安全协调小组统筹规划、统一指挥协调。协调小组各成员单位之间应加强联系和沟通,理顺工作机制,形成合力,推动全市信息安全保障工作。
