关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知
公信安[2010]303号
各省、自治区、直辖市公安厅、局网络安全保卫(公共信息网络安全监察、网络警察)总队(处)、新疆生产建设兵团公安局公共信息网络安全监察处:
为进一步贯彻落实公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)精神,加快信息安全等级保护测评体系建设,提高测评机构能力,规范测评活动,确保信息安全等级保护安全建设整改工作顺利进行,满足信息安全等级保护工作的迫切需要,我局决定在全国部署开展信息安全等级保护测评体系建设和等级测评工作。现将有关事项通知如下:
一、工作目标
(一)通过广泛宣传和正确引导,鼓励更多的有关企事业单位从事信息安全等级保护测评工作,满足信息安全等级保护测评工作的迫切需要。
(二)通过对测评机构进行统一的能力评估和严格审核,保证测评机构的水平和能力达到有关标准规范要求。
(三)加强对测评机构的安全监督,规范其测评活动,保证为备案单位提供客观、公正和安全的测评服务。
(四)督促备案单位开展等级测评工作,为开展等级保护安全建设整改工作奠定基础,使信息系统安全保护状况逐步达到等级保护要求。
二、工作内容
各地要按照《关于开展信息安全等级保护安全建设整改工作的指导意见》要求,结合本地实际组织开展以下工作:
(一)统筹规划,正确引导,积极稳妥地推动等级测评机构建设。结合本地已定级备案信息系统数量和分布情况,从满足等级测评工作的实际需要出发,统筹规划、合理布局测评机构的规模和数量,积极引导本地符合规定条件、有良好信誉的企事业单位从事等级测评工作,按照成熟一个发展一个的原则,有计划、积极稳妥地推动测评机构建设。
(二)规范流程,严格把关,确保测评机构的水平和能力符合测评工作要求。依据《信息安全等级保护测评工作管理规范(试行)》(见附件一),对申请成为测评机构的单位严格把关,按照申请受理、测评能力评估、审核、推荐的流程,认真开展测评机构评审和推荐工作。同时,要加强对等级测评机构的监督管理和指导,确保测评机构的水平和能力符合要求以及测评活动客观、公正和安全。
(三)督促备案单位开展信息系统等级测评工作,确保安全建设整改工作的顺利开展。督促信息系统备案单位尽快委托测评机构开展等级测评,2010年底前完成测评体系建设,并完成30%第三级(含)以上信息系统的测评工作,2011年底前完成第三级(含)以上信息系统的测评工作,2012年底之前完成第三级(含)以上信息系统的安全建设整改工作。
三、工作要求
(一)高度重视,落实责任。要充分认识开展等级测评体系建设和等级测评工作的重要性,加强组织领导,落实责任。确定主管领导,落实专门管理人员,负责受理申请、审核、监督管理以及其他日常对测评机构、测评人员的管理工作。
(二)制定计划,加强监督。要尽快确定本地等级测评体系建设和测评工作的计划,制定贯彻实施意见和方案。要督促、检查本地测评机构依据有关标准开展等级测评活动,按照《信息系统安全等级测评报告模版(试行)》(公信安[2009]1487号)编制测评报告。
(三)加强指导,积极宣传。要加强对本地备案单位和测评机构等级测评工作的指导,指导测评机构对测评人员开展教育培训,不断提高测评人员的安全意识和业务能力。要充分利用会议、网站和其他媒体,加大对等级测评工作有关政策和相关标准的宣传力度,推动等级测评工作的顺利开展。
各地开展等级保护测评体系建设和测评工作的情况要及时上报。工作中有何问题,请及时报我局。
附:1、《信息安全等级保护测评工作管理规范(试行)》
2、信息安全等级保护测评体系建设常见问题解答
3、等级测评机构管理流程图
二〇一〇年三月十二日