四、方法步骤
(一) 准备实施阶段(2007年6月底前)。一是做好宣传动员工作。《
浙江省信息安全等级保护管理办法》已于今年1月1日起实施,各地各部门要积极协同新闻媒体,集中力量、集中时间,充分运用专题、专栏、评论等形式,利用广播、电视、报纸、网络等媒体,多角度、全方位地开展国家信息安全等级保护制度的宣传,积极组织市政府门户网站和各子网站,建立和完善信息安全等级保护制度的宣传网页、专栏。组织开展对各部门、各单位的信息系统主管领导和安全员的信息安全等级保护专业培训,进一步提高对信息安全等级保护工作重要性和紧迫性的认识,掌握等级保护的基本业务知识,积极推动各有关单位做好信息安全等级保护工作的前期准备。二是做好基础调查工作。根据公安部、国务院信息化工作办公室《关于开展信息系统安全等级保护基础调查工作的通知》要求,由市公安机关负责指导全市各重要信息系统运营、使用单位开展基础数据调查工作,市信息办做好基础调查的协调工作。各级公安机关要落实专人负责,制订工作方案,明确调查对象,按规定做好调查和上报工作,确保调查工作取得实效。
(二)安全等级保护试点阶段(2007年11月底前)。根据行业、领域的不同,确定市电信、市建行、市财政三家单位为全市信息安全等级保护试点单位。试点单位要根据《信息系统安全等级保护定级指南》对本单位信息系统进行定级,在保护等级申报、审定和备案的具体细则出台的基础上,由市信息办组织专家审定信息系统的保护等级,定级在三、四级信息系统的运营、使用单位要到公安机关进行备案登记。公安机关要督促定级在三、四级信息系统的运营单位委托信息安全等级保护评测机构对技术状况、管理现状、综合分析进行安全评估,并取得评测报告。在测评基础上,三家试点单位根据安全评估报告,制定安全保护整改措施并抓好落实,直至信息系统安全状况达到标准。通过试点工作,总结摸索出一套由组织建设、制度建设、评估、检测、备案、整改等环节组成的完整的流程和模式,为下步工作打下基础。
(三)重点实行阶段(2008年6月底前)。在试点的基础上,在全市重要信息系统单位推行安全等级保护制度。一是建立等级保护组织保障体系。为了保障信息安全等级保护工作的顺利开展,各基础信息网络和重要信息系统所属单位要分别建立等级保护领导小组,确定专门人员,按照国家有关标准和《
浙江省信息安全等级保护管理办法》的有关要求,在市信息安全等级保护领导小组办公室的指导下,扎实抓好本单位的信息安全等级保护工作。二是建立等级保护工作规范。各信息系统运营及使用单位、信息安全等级保护测试评估机构要按照国家和省级信息安全等级保护办法的要求,在基础调查、等级评定、备案归档、安全评测、安全建设等方面建立工作规范,特别是信息办、公安机关、保密部门、密码管理部门都要建立工作档案,规范工作制度。各信息系统安全主管单位要充分履行管理职能,建立健全机房管理、人员管理、密码管理、数据备份管理、定期检测等信息安全等级保护规章制度,制定信息安全等级保护管理目标考核责任制。通过各方的共同努力,使我市信息安
