公安网安信息安全等级保护工作(河南会议).doc

公安网安信息安全等级保护工作(河南会议) 公安网安信息安全等级保护工作培训教材 二O一一年二月 前 言 为便于各级公安机关网安部门全面了解和掌握开展信息安全等级保护工作的内容、方法和要求，切实加强管理，规范执法活动，公安部十一局根据信息安全等级保护有关政策文件和标准，结合近年来开展等级保护工作实际，编写了本教材。 目 录 一、信息安全等级保护工作概论3（一）信息安全等级保护制度的提出“3（二）信息安全等级保护的内涵4（三）信息安全等级保护制度的特点8（四）等级保护工作中的职责分工10（五）等级保护工作配套政策和标准体系12二、信息安全等级保护工作的总体目标和要求18（一）总体目标“18（二）主要内容18（三）基本方法20三、信息安全等级保护定级工作24（一）工作依据24（二）总体要求24（三）工作内容和方法241.指导信息系统运营使用单位确定定级对象252.指导信息系统运营使用单位确定定级对象的安全保护等级253.监督信息系统运营使用单位或丰管部门组织专家评审274.监督信息系统运营使用单位报主管部门审批275.监督信息系统运营使用单位或主管部门到公安机关备案286.监督管理31（四）工作要求“32四、信息安全等级保护测评体系建设和管理33（一）工作依据34（二）总体要求341.工作目标342.完成时限343.职责分工35（三）工作内容及方法351.申请受理352.机构初审353.测评机构能力评估384.专家审核385.推荐并公布396.监督检查“39（四）工作要求40五、信息安全等级保护测评工作的监督41（一）工作依据42 - 1 -（二）总体要求421工作目标422完成时限“43（三）工作内容及方法431.组织备案单位制定测评工作计划432指导备案单位选择测评机构433.指导备案单位合理选择测评工作开展时机444.监督第三级以上信息系统备案单位开展等级测评445.监督测评机构的测评活动446.引导测评机构为被测系统安全建设整改提供指导45（四）工作要求45六、信息安全等级保护安全建设整改工作的监督、检查和指导46（一）工作依据47（二）总体要求471.工作目标472.完成时限“47（三）工作内容及方法481.组织指导备案单位制定安全建设整改工作部482.指导、督促备案单位开展信息系统安全保护现状分析493.指导、监督信息安全等级保护安全管理制度建设494.指导、监督信息安全等级保护安全技术措施建设505.指导、监督等级测评后的整改工作50（四）工作要求50七、信息安全等级保护工作的检查监督51（一）工作依据52（二）总体要求521.工作目标522.检查周期523.检查范围“52（三）检查内容531.检查等级保护工作部署和组织实施情况532检查信息系统安全等级保护定级备案情况533.检查信息安全设施建设情况和信息安全整改情况544.检查信息安全管理制度建立和落实情况545.检查信息安全产品选择和使用情况“556.检查聘请测评机构开展技术测评工作情况557.检查定期自查情况56（四）检查方法561.督促备案单位开展定期自查562.督促行业主管部门开展督导检查563.公安机关定期开展监督检查574.及时查处违规行为“57（五）工作要求58 - 2 -公安网安信息安全等级保护工作培训教材 一、信息安全等级保护工作概论（一）信息安全等级保护制度的提出在1994年国务院第147号令中华人民共和国计算机信息系统安全保护条例第九条中，明确了“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”等具体制度、任务和职责分工，首次以国家行政法规形式确立了信息安全等级保护制度的法律地位。在2003年中办、国办转发的国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）中明确提出了“实行信息安全等级保护”，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”等意见。2003年8月，在上届国家网络与信息安全协调小组办公室制定的贯彻落实27号文件的工作安排中，明确将实行信息安全等级保护工作交由公安部牵头，并要求公安部会同有关部门研究提出实行信息安全等级保护的意见。2004年7月召开的国家网络与信息安全协调小组第三次会议上，原则同意了公安部提出的关于信息安全等级保护工作的实施意见，责成公安部商有关部门联合印发。2004年9月15日，公安部、国家保密局、国家- 3 -密码管理委员会办公室、国务院信息化工作办公室向各地有关部门联合下发了关于印发<关于信息安全等级保护工作的实施意见>的通知（公通字200466号）。此外。在2008年国务院“三定”方案中，规定了公安部十一局监督、检查、指导信息安全等级保护工作的职能。这些法规和政策性文件的制定，确立了信息安全等级保护制度的法律地位，明确了实行信息安全等级保护是我国信息安全保障工作中一项重要制度和措施，赋予了公安机关牵头负责信息安全等级保护工作监督管理的职责。（二）信息安全等级保护的内涵在信息安全等级保护制度从提出到实施近二十年时间里，随着世界科学技术的迅猛发展和信息技术的广泛应用，特别是随着我国国民经济和社会信息化进程的全面加快，网络与信息系统的基础性、全局性作用日益增强，国民经济和社会发展对基础信息网络和重要信息系统的依赖性越来越大，使我们对信息安全的认识不断深化，对等级保护制度概念的内涵和外延的认识也不断深入。1信息安全等级保护是世界各国普遍推行的信息安全保护基本做法。根据信息系统或大规模复杂信息系统中子系统的重要性和安全需求，化分为不同的保护等级，采取与之相适应的信息安全技术和管理策略，使信息安全的保护措施完整、适度，是发达国家在解决信息系统安全的基本做法。他们制定的一系列与等级有关的技术标准或规范，得到了世界各国的广泛认同和普遍采- 4 -用。2信息安全等级保护是我国吸收发达国家经验基础上的创新。自上个世纪八十年代以来，我国有关部门和专家、学者对信息安全等级保护制度进行了系统性研究。大家普遍认为，信息安全等级保护是信息安全领域的一项根本性制度，是市场经济条件下，国家组织动员单位、企业和个人共同维护信息安全的有效形式。从其他国家的多年实践看，这一制度是有效的、成功的。我国已经进入社会主义市场经济和信息化高速发展的新阶段，在信息安全方面应该借鉴其他国家的成功经验，实行等级保护的基本制度。同时，由于我国的国情和信息安全面临的特定形势，不能原封不动地照搬套用西方模式，必须有所改造、有所创新，走出有中国特色的信息安全等级保护道路，确保我国的信息安全。我国信息安全等级保护制度的探索和实践，是各职能部门、专家学者、研究机构、企业等全社会共同努力、勇于创新、开拓进取的结果，是在发展中解决安全问题的具体体现。3信息安全等级保护是目前我国最全面的信息安全保障政策体系。信息安全等级保护是根据国家秘密信息、公民、法人和其他组织的专有信息和公开信息以及存储、传输和处理这些信息的信息系统，在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素，分等级进行安全保护，对信息系统中使用的信息安全产品实- 5 -行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。该制度涵盖了公民、单位、国家的各类信息的安全保护，涵盖了信息安全、系统安全、应用安全等信息安全保护的全部内容，涵盖了信息系统安全设计、施工、建设、验收、使用等系统工程的全过程，涵盖了国家和政府、单位用户和个人用户、安全产品和安全服务企业或机构等社会各主体，是目前我国最完整的一项信息安全保障政策。4信息安全等级保护体现了我国加强信息安全保障工作的重要原则。信息安全等级保护制度针对信息化发展过程中存在的信息安全问题，提出了在现有发展水平基础上强化信息安全保护的工作思路，在互联互通、资源共享基础上提高信息安全保护水平的具体举措，体现了以发展求安全，以安全保发展的原则。实行信息安全等级保护，可以进一步理顺政府部门之间以及政府与社会的在信息安全保障工作中的关系，整合社会资源，发展先进、自主、可控的信息安全技术，带动我国信息安全产业的发展，体现了以改革开放求发展的新思路。实行信息安全等级保护，一手抓运营和使用单位自我管理和政府监督指导，一手抓信息安全等级保护技术创新，体现了管理与技术并重的原则。五个等级的确定，既突出了涉及国家安全、社会稳定和经济命脉的重要信息系统的安全，又兼顾到公民、法人和其他组织信息系统的安全保护；既考虑了信息系统的重要性和安全风险，又综合平衡了安全需求和建设成本，体现了统筹兼顾，突出重点的原则。5信息安全等级保护有针对性地解决了不同安全需要下的- 6 -安全保护问题。信息安全等级保护所提出的根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定安全保护等级；信息系统运营、使用单位对信息系统进行分等级保护；国家有关信息安全监管部门对其信息安全等级保护工作分等级进行监督管理的信息系统安全保护分级模型，对保障国家安全，维护社会稳定，促进经济发展，确保国家基础信息网络和重要信息系统的安全具有十分重要的意义。6信息安全等级保护体现了当前信息安全建设和管理模式的重大变革。信息安全保护虽然事关国家安全、经济命脉和社会稳定，但政府不能包打天下，需要国家、政府、企事业单位和个人的共同参与。信息安全等级保护体现了社会主义市场经济环境下政府职能的转变。首先，信息安全等级保护体现了“谁主管、谁负责，谁使用、谁负责，谁运营、谁负责”的信息安全责任制，信息和信息系统的主管部门及运营、使用单位按照等级保护的管理规范和技术标准，根据信息和信息系统安全需求，“自主定级”、“自行建设”、“自主保护”。第二，发挥了政府职能部门运用政策、法规、标准等制度的作用，通过备案、指导、检查、督促整改等行政管理方式，符合行政许可法的基本精神。第三，信息安全等级保护使公安机关、国家保密工作部门、国家密码管理部门以及其他职能部门在信息安全工作中的权利和责任更加统一，职责更加明确。- 7 -7信息安全等级保护是在发展中逐步完善和发展的政策体系。各信息系统的安全设施建设要按照国家规范和标准，与信息化建设同步进行，不能先建设后保护。随着信息技术的发展和实际情况的变化，信息系统的安全保护措施以及管理规范和技术标准也要适时调整，适应形势的变化，跟上信息化和信息技术发展的步伐。（三）信息安全等级保护制度的特点1紧迫性针对当前我国信息安全意识和安全防范能力薄弱，信息安全滞后于信息化发展；信息系统安全建设和管理的目标不明确；信息安全保障工作的重点不突出；信息安全监督管理缺乏依据和标准，监管措施有待到位，监管体系尚待完善等突出问题，实施信息安全等级保护，能够有效地提高我国信息和信息系统安全建设的整体水平，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本；有利于优化信息安全资源的配置，对信息系统分级实施保护，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全；有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理；有利于推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式。2全面性- 8 -信息安全等级保护制度内容涉及广泛，保护的对象包括国家秘密信息，公民、法人和其他组织的专有信息和公开信息，以及存储、传输和处理这些信息的信息系统；保护的内容包括信息安全责任、人员安全、系统建设、系统运维等安全管理制度和物理安全、网络安全、主机安全、应用安全、数据安全等安全保护技术措施；保护的客体包括国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益；责任的主体包括信息安全职能部门、行业主管部门、运营使用单位、安全产品企业、安全服务机构等；工作内容包括定级、备案、安全建设整改、等级测评、监督检查等主要工作环节。3基础性信息安全等级保护制度是国家信息安全保障工作的基本制度、基本国策，是开展信息安全保障工作的主要抓手，是落实国家信息化领导小组关于加强信息安全保障工作的意见提出的网络信任体系、安全监控体系、应急处理、风险评估、灾难备份、技术开发和产业发展等其他信息安全保障工作的基础。4强制性国家将监督、检查、指导信息安全等级保护制度落实的职责赋予了公安机关，特别是对安全保护等级第三级以上的信息系统采取监督、强制监督和专控等措施，这些信息系统的运营使用单位及其主管部门必须履行安全保护应尽的义务，最大限度地维护国家安全、社会秩序和公共利益。因此，实行信息安全等级保护，是在信息安全保障工作中国家意志的体现，具有明显的强制性。- 9 -5规范性信息安全等级保护制度不仅包含了定级、备案、安全建设整改、等级测评、监督检查等各工作环节的工作文件，还包含了安全保护等级划分准则、实施指南、定级指南、基本要求、通用技术要求、安全管理要求、安全工程管理要求、安全设计技术要求、测评要求、测评过程指南等一整套50余个技术标准，技术性强。这些工作要求和技术标准体现了等级保护工作规范化、标准化、制度化等特点。（四）等级保护工作中的职责分工1各级信息安全等级保护工作协调（领导）小组各级信息安全等级保护工作协调（领导）小组负责信息安全等级保护工作组织领导，制定本地区、本行业开展信息安全等级保护的工作部署和实施方案，并督促有关单位落实，研究、协调、解决等级保护工作中的重要工作事项，及时通报或报告等级保护实施工作的相关情况。2信息安全职能部门在信息安全等级保护工作中，公安机关、国家保密工作部门、国家密码管理部门、工业和信息化部门是信息安全职能部门。按照“分工负责、密切配合”的原则，公安机关负责信息安全等级保护工作的监督、检查、指导，是等级保护工作的牵头部门。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。公安机关和国家保密工作部门职责划分以信息系统是否涉及国家秘密为边界，涉及国家秘密的信息系统分级保护由国- 10 -家保密工作部门负责，非涉及国家秘密的信息系统等级保护工作由公安机关负责。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。工业和信息化及地方信息化领导小组办事机构负责等级保护工作的部门间协调。3信息系统运营使用单位及其主管部门信息和信息系统运营、使用单位按照等级保护的管理规范和技术标准，开展信息系统定级、备案、安全建设整改、等级测评、自查等工作，并接受公安机关、保密部门、国家密码管理部门对信息安全等级保护工作的监督、指导。有主管部门的，主管部门要督促、检查、指导本行业、本部门信息系统运营使用单位开展信息安全等级保护工作。4安全服务机构信息安全企业，信息系统安全集成商、等级测评机构等安全服务机构，依据国家有关管理规定和技术标准，开展技术支持、服务等工作，并接受监管部门的监督管理。5专家组信息安全和信息化等领域的专家、研究机构和企业组成专家组，承担以下职责：配合公安机关宣传信息安全等级保护安全相关政策，根据等级保护工作总体部署，指导备案单位研究拟定信息安全等级保护贯彻实施意见和建设规划；宣传国家信息安全等级保护相关技术标准，并结合行业特点，研究、指导备案单位等- 11 -级保护相关技术标准的行业应用，指导备案单位研究拟定行业技术标准规范；参与备案单位信息安全等级保护定级和安全建设整改方案的论证、评审，指导备案单位信息安全等级保护工作；了解掌握并研究探索行业开展信息安全等级保护工作中安全管理、安全技术和工程建设、工程管理等最佳实践，总结成功经验，树立典型并提出推广意见；跟踪国内外信息安全技术最新发展，组织和引导信息安全研究机构和企业开展信息安全等级保护共性技术和关键技术专题研究，推动等级保护技术研究工作，促进信息安全产业发展；研究提出完善国家信息安全等级保护政策体系和技术体系的意见和建议。（五）等级保护工作配套政策和标准体系1政策体系为保证信息安全等级保护工作顺利开展，公安部会同国家保密局、国家密码管理局、原国务院信息办和发改委等部门出台了一系列信息安全等级保护工作配套政策，公安部十一局还就具体工作出台了相关指导意见和规范。这些文件涵盖了等级保护制度、定级、备案、等级测评、安全建设整改、监督检查等工作的各个环节，构成了比较完备政策体系。如图1所示。(1)公安部、国家保密局、国家密码管理局、原国务院信息办等四部门联合印发的关于信息安全等级保护工作的实施意见（公通字200466号）、信息安全等级保护管理办法（公通字200743号）、关于开展全国重要信息系统安全等级保护定级工作的通知（公通字2007861号），明确了等级保护制度- 12 -的主要内容、职责分工、实施计划、工作要求等，以及信息系统定级这一关键基础工作的主要内容和要求。(2)国家发改委、公安部、国家保密局联合印发的关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号），明确了非涉密国家电子政务项目开展等级测评和信息安全风险评估的相关要求。(3)公安部根据职责制定并印发的关于开展信息系统等级保护安全建设整改工作的指导意见（公信安20091429号），明确了非涉及国家秘密信息系统开展安全建设整改工作的目标、内容、流程和要求等。(4)公安部十一局根据职责制定并印发的信息安全等级保护备案实施细则（公信安20071360号）、关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安2010303号）、关于印发<信息系统安全等级测评报告模版（试行）>的通知（公信安20091487号）、公安机关信息安全等级保护检查工作规范（试行）（公信安2008736号）等，分别就信息系统备案、测评机构及其测评活动管理、公安机关监督检查等工作明确了具体内容和要求。 - 13 - 2标准体系十多年来，公安部组织国内有关专家、研究机构、企业先后制订了信息安全等级保护工作需要的一整套国家标准和公安行业标准，形成了比较完备的信息安全等级保护标准体系，为开展- 14 -信息安全等级保护工作提供了标准保障。该标准体系大致可以分为四类：基础类、应用类、产品类和其他类。(1)基础类标准。此类标准在等级保护中起基础支撑作用和全局性作用。包括计算机信息系统安全保护等级划分准则（GB17859-1999，以下简称划分准则）、信息系统安全等级保护基本要求（GB/T22239-2008，以下简称基本要求）两个标准。划分准则及在其基础上制定的信息系统安全通用技术要求等技术类标准、信息系统安全管理要求等管理类标准和操作系统安全技术要求等产品类标准等等级保护配套标准，是基本要求的基础。基本要求以上述标准为基础，根据现有技术发展水平，从技术和管理两方面提出并确定了不同安全保护等级信息系统的最低保护要求，即基线要求，是信息系统安全建设整改的具体依据。行业主管部门可以依据基本要求，结合行业特点和信息系统实际，制定不低于基本要求的行业规范和细则。(2)应用类标准。此类标准在等级保护各项具体工作中使用。主要包括：一是定级工作依据的标准信息系统安全保护等级定级指南（GB/T22240-2008）；二是指导等级保护工作实施依据的标准信息系统安全等级保护实施指南；三是信息系统安全建设依据的标准信息系统安全通用技术要求、信息系统等级保护安全设计技术要求、信息系统安全管理要求、信息系统安全工程管理要求、信息系统物理安全技术要求、网络基础安全技术要求；四是等级测评依据的标准信息系统安全等级保- 15 -护测评要求、信息系统安全等级保护测评过程指南等。(3)产品类标准。此类标准用于等级保护所需产品应具备的技术要求和产品检测。主要包括操作系统、数据库、网络设备、网关、服务器、公钥基础设施、入侵检测、防火墙、路由器、交换机、终端、审计、生物特征识别、虚拟专网、应用软件系统、网络脆弱性扫描等产品的技术要求或测评准则。(4)其他类标准。主要包括等级保护相关工作依据的标准，如信息安全风险评估规范、信息安全事件管理指南、信息安全事件分类分级指南、信息系统灾难恢复规范等标准。 围绕信息安全等级保护安全建设整改工作对有关标准说明如图2所示。 - 16 - - 17 -二、信息安全等级保护工作的总体目标和要求（一）总体目标201 0年底前完成等级测评体系建设，并完成30%第三级以上信息系统的等级测评和安全建设整改，2011年底前完成第三级以上信息系统的等级测评，并完成80%第三级以上信息系统安全建设整改，2012年底之前完成第三级以上信息系统安全建设整改。（二）主要内容信息安全等级保护工作主要分为定级备案、安全建设整改、等级测评、监督检查等主要环节的内容。1定级备案信息系统安全保护定级工作按照自主定级、专家评审、主管部门审批、公安机关监督的流程进行。信息系统运营使用单位按照信息安全等级保护管理办法（公通字200743号，以下简称管理办法）和信息系统安全等级保护定级指南 （GB/T22240-2008，以下简称定级指南），自主确定信息系统的安全保护等级。为保证信息系统定级准确，可以组织专家进行评审。有上级主管部门的，应当经上级主管部门审批，跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。公安机关要对整个定级工作进行监督，确保定级工作顺利进行和定级准确性。第二级以上信息系统，由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续。公安机关按照信息安全等级保护备案实施细则- 18 -（公信安20071360号）要求，对备案材料进行审核，定级准确、材料符合要求的颁发由公安部统一监制的备案证明。2安全建设整改信息系统安全保护等级确定后，运营使用单位按照管理办法、关于开展信息系统等级保护安全建设整改工作的指导意见（公信安20091429号）等有关管理规范和技术标准，选择管理办法要求的信息安全产品，制定并落实安全管理制度。落实安全责任，建设安全设施，落实安全技术措施。3等级测评信息系统建设整改完成后，运营使用单位选择符合要求的测评机构，依据管理办法和信息系统安全等级保护测评要求和信息系统安全等级保护测评过程指南标准，对信息系统安全保护状况开展等级测评，按照信息系统安全等级测评报告模版（试行）（公信安20091487号）编写等级测评报告。4监督检查公安机关依据管理办法和公安机关信息安全等级保护检查工作规范（试行）（公信安2008736号），监督检查运营使用单位开展等级保护工作，定期对第三级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。需要说明的是，关于信息安全等级保护工作的实施意见（公通字200466号）文件中，还规定了等级保护工作中国家对信息安全产品的使用实行分等级管理和信息安全事件实行分- 19 -等级响应、处置的制度两项具体制度，但在管理办法中未对这两个制度做出具体规定，采取了其他处理方式。对于国家对信息安全产品的使用实行分等级管理问题，公安部十一局通过发布的关于调整更新计算机信息系统安全专用产品检测执行标准规范的公告（公信安20091157号），对已有分级标准的29类信息安全产品开展分级检测工作，检测并审核通过的产品，产品销售许可证书标注产品分级信息，便于用户选择使用。对于信息安全事件实行分等级响应、处置的制度，已由国务院应急办制定了信息安全专项应急预案，等级保护制度中不再作具体规定。（三）基本方法为推动等级保护工作深入扎实开展，要督促各行业、各部门依据有关标准，进行安全分析，排查系统安全隐患和薄弱环节，进行安全建设、加固等工作。针对已定级系统数量多、规模大、安全建设周期长等实际情况，需要在下一步工作中进一步明确行业主管部门的责任，加强组织领导和协调配合，突出工作重点，加强指导督促，确保取得实效。要抓好以下几项工作。1充分发挥各级等级保护工作协调（领导）小组的作用，加强组织协调国家、省、地市要成立等级保护工作协调（领导）小组，充分发挥等级保护工作协调（领导）小组的作用，健全协调小组各项制度，定期召开会议，通报等级保护工作开展情况，研究协调等级保护的重要事项，推进重要系统的等级保护工作。为了充分发挥重要系统主管部门的积极性和组织、领导作用，加强部门间- 20 -的协调配合，可将一些系统数量多、级别高的重要单位、部门纳入等级保护工作协调（领导）机构内，健全工作机制，将等级保护工作的责任真正落实到行业主管部门头上。定期组织召开会议，研究讨论等级保护工作中的重大事项，协调处理工作中存在的问题，切实发挥组织领导作用。2严格落实运营使用单位及其行业主管部门的责任，明确工作任务公安机关要按照“谁主管、谁负责，谁运营、谁负责”的原则，充分发挥运营使用单位及其行业主管部门的作用，严格落实工作责任制。要明确各行业主管部门对本系统的信息安全等级保护工作负责，并要求逐层逐级落实责任。要了解行业主管（监管）部门对本行业的要求，与各行业主管（监管）部门建立密切配合的工作机制，对口联系，相互配合，共同督促、指导备案单位开展等级保护工作。要会同各行业主管部门共同研究确定下一步工作任务，行业主管部门要组织备案单位制定并落实工作方案。各行业主管部门要将工作方案和进展情况及时报同级等级保护工作协调小组。要加强督促检查工作，将等级保护工作任务真正落实到各行业主管部门和运营使用单位头上。指导各行业主管部门和运营使用单位将等级保护工作与业务工作、信息化建设工作有机结合，利用信息安全等级保护综合工作平台，使等级保护工作常态化。3重点抓好三级以上重要信息系统等级保护工作，突出工作重点- 21 -为突出工作重点，尽快取得成效，拟将分布在电信、广电、银行、铁道、海关、税务、民航、证券、电力、公安、社会保障等行业的三级以上重要系统为重点，部署开展下一步等级保护工作。行业主管部门重点督促备案单位开展技术测评和风险分析，排查、发现系统安全隐患和安全漏洞，并根据等级测评和风险评估结果，有针对性地开展系统安全加固，落实安全措施和管理制度；督促备案单位开展自查，达到重点督促，以点带面的目的。力争尽快完成重要系统的等级保护工作任务，使重要信息系统的安全防范能力和应急处置能力明显提高，安全隐患和重大安全事件明显减少，抵御威胁能力明显增强。4规范公安网安部门等级保护工作业务建设和队伍建设，提高工作水平各级公安机关网安部门特别是一把手要重视等级保护工作，将等级保护工作列入议事日程，定期研究等级保护工作，切实加强组织领导。有条件的单位要成立等级保护专门机构，条件不具备的，要有能够满足工作需要的专门力量。要加强自身等级保护相关知识的学习和培训，提高工作技能。要尽快建设和使用公安部十一局组织开发的重要信息系统安全监察管理系统，提高工作效率。要探索和改进高效、便捷的工作模式，简化工作手续，减轻用户负担，使管理工作不断上新台阶。5加强等级保护工作的宣传、培训和指导，以服务促管理 要通过网站、报刊、新闻媒体、论坛等多种形式，积极宣传信息安全等级保护制度的内容和重要意义以及工作流程、方法和- 22 -要求，不断提高社会各界的认识，增强从业人员的责任感和使命感。要及时掌握各单位工作情况，及时总结，查找问题和薄弱环节，有针对性地开展工作。要加强调研，发现和树立先进典型，推广先进经验。要树立服务理念，寓管理于服务，主动为所辖单位提供政策和技术咨询、安全预警、国内外动态、工作经验交流等多种形式服务。6发动社会力量，形成全社会广泛参与等级保护工作的良好局面要充分调动企业参与信息安全等级保护工作的积极性和创造性，加大面向企业的等级保护政策、标准的宣传力度，引导企业在等级保护相关产品研发和推广、等级测评、安全建设整改方案制定和工程实施等方面积极参与，使等级保护成为推动信息安全产业发展的又一动力，增强企业参与等级保护工作的自觉性。要充分发挥等级测评机构的作用，使测评机构不仅从事等级测评工作，由于测评机构对等级保护政策、标准理解和掌握比较深入，而且对被测单位信息系统及其安全状况甚至整个行业的情况有所了解，可以在被测单位安全方案设计、安全咨询和培训等方面发挥重要作用。要充分发挥专家队伍的作用，除信息安全专家外，还要将在信息化建设方面具有丰富经验的专家吸收进来，扩大专家覆盖面。要为专家开展工作积极创造条件，多组织专家到一线单位实际考察和调研，掌握实际情况，努力为用户提供高水平的技术咨询和指导。各地要还可以选择技术实力强、可信可靠的信息安全企事业单位作为等级保护技术支持单位，为等级保护工作- 23 -开展提供技术保障。三、信息安全等级保护定级工作信息系统定级是等级保护工作的首要环节和关键环节，是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。（一）工作依据管理办法、关于开展全国重要信息系统安全等级保护定级工作的通知等规范性文件和定级指南等技术标准。 一些行业主管部门依据上述文件和标准，结合行业实际，在公安部的指导下，制定了更加具体的定级实施细则，用于指导全行业开展定级工作，这些实施细则可以作为该行业定级工作的依据。（二）总体要求信息系统安全等级保护定级工作要坚持自主定级的原则，采取“自主定级、专家评审、主管部门审批、公安机关监督”的方法开展工作。（三）工作内容和方法公安网安部门要组织信息系统运营使用单位确定定级对象及其安全保护等级，指导、监督其对已初步确定安全保护等级的信息系统进行专家评审、主管部门审批、备案等工作，公安网安部门要做好备案受理和备案管理工作，并对定级工作全过程进行指导、监督和检查。 - 24 -1指导信息系统运营使用单位确定定级对象信息系统运营使用单位确定定级对象，是定级工作的主要环节。公安网安部门要指导信息系统运营使用单位确定定级对象。定级对象，即等级保护的对象，是信息安全等级保护工作直接作用的信息和信息系统。从政策层面，根据管理办法第六条的精神，定级对象应当是在国家安全、经济建设和社会生活中，涉及国家安全、