网络安全等级保护:一起看等级保护重要政策文件之公通字【2010】70号

admin 2022年12月28日12:19:16评论26 views字数 3175阅读10分35秒阅读模式

前面我在这个公众号中,发布了《一起看等级保护重要政策文件之公信安【2010】303号文》,303号文是为了进一步贯彻落实公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)精神,加快信息安全等级保护测评体系建设,提高测评机构能力,规范测评活动,确保信息安全等级保护安全建设整改工作顺利进行,满足信息安全等级保护工作的迫切需要而发布。

我们知道,中央企业作为国家社会经济的重要支撑,起着中流砥柱的作用。保护中央企业信息系统的安全稳定运行对于促进企业健康发展,维护国家经济安全和社会稳定具有重要意义。为全面落实国家信息安全等级保护制度,加强中央企业的信息安全工作,保障和促进中央企业的信息化发展,公安部 和国务院国有资产监督管理委员会联合发布了公通字【2010】70号即《关于进一步推进中央企业信息安全等级保护工作的通知》。

通知要求从五个方面着手:一、高度重视,切实将信息安全等级保护工作纳入企业信息化工作同步推进。二、明确职责,建立分工负责、协作配合的工作机制。三、全面梳理企业信息网络和系统,认真做好企业信息系统。四、开展信息安全等级保护安全建设整改和等级测评工作,完善重要信息系统安全防护体系。五、加强检查和考核,确保信息系统安全保护能力达到等级保护要求。

高度重视,切实将信息安全等级保护工作纳入企业信息化工作同步推进。央企全面推进信息化建设过程中,企业信息系统数量大幅增加,系统复杂程度大幅提高,业务依赖程度大幅增强,特别是企业的基础信息网络和重要信息系统已经成为支撑企业业务发展,提高企业核心竞争力的重要载体和主要手段,已成为国家关键基础设施。央企的信息系统收到各级公安机关、国资监管及有关行业主管(监管)部门高度重视。要求央企的信息安全等级保护工作,特别是各企业要将这项工作摆在重要位置,认真贯彻落实国家信息安全等级保护制度,将信息安全等级保护工作纳入企业信息化工作的整体布局中。要求将信息安全等级保护工作与信息化工作同步规划、同步实施、同步考核。在此,提出央企信息安全的等级保护工作的三同步。

明确职责,建立分工负责、协作配合的工作机制当时文件是由国资委负责部署中央企业信息安全等级保护工作,其中电力、军工、民航企业和电信运营商的信息安全等级保护工作由相关主管(监管)部门组织部署和落实。国资委和有关行业主管(监管)部门按照国家信息安全等级保护制度的总体要求和相关管理文件,组织中央企业开展信息安全等级保护各项工作,制定具体实施方案或细则,开展宣传、培训和先进经验推广工作,加强对中央企业信息安全等级保护工作的检查监督、指导和考核。中央企业要按照国家信息安全等级保护制度要求和有关部门的工作部署,切实加强对信息安全等级保护工作的组织领导,建立健全工作机制,及时开展信息系统定级备案、安全建设整改、等级测评和自查等各项工作,并利用等级保护综合管理系统使信息安全等级保护工作常态化。公安机关要加强对中央企业信息安全等级保护工作的监督、检查、指导,为中央企业开展信息安全等级保护工作提供服务和支持。

建立由公安部牵头国资委和有关行业主管(监管)部门共同参加的中央企业信息安全等级保护工作协调配合机制,按照各自职责分工,加强协调,密切配合,定期沟通和通报工作进展,及时交流备案数据、整改测评情况和检查结果等,共同组织推动中央企业信息安全等级保护工作的顺利开展。

全面梳理企业信息网络和系统,认真做好企业信息系统。所谓底数清,才能情况明。梳理排查清底数,是开展等级保护工作的重要抓手。中央企业全面梳理本企业信息系统和信息网络,摸清底数,根据《信息安全等级保护管理办法》等有关规定和《信息系统安全等级保护定级指南》等技术标准,准确确定信息系统安全保护等级。对尚未开展信息系统定级的企业,应按照“业自主

定级、聘请专家评审、主管部门审批、公安机关监督”的原则,开展信息系统定级备案工作,国资委或行业主管(监管)部门要对所负责的中央企业信息系统安全保护等级进行审批。在这里,我们清楚原来叫做“自主定级”。各企业在系统定级之后要及时向公安机关备案,备案工作则以公安机关发布的有关要求开展。公安机关会及时受理备案,对符合要求的颁发备案证明。

网络安全等级保护:一起看等级保护重要政策文件之公通字【2010】70号

开展信息安全等级保护安全建设整改和等级测评工作,完善重要信息系统安全防护体系。央企在信息系统定级备案工作基础上,按照开展信息安全等级保护安全建设整改工作的有关要求,组织开展等级保护安全建设整改工作。对照《信息系统安全等级保护基本要求》等有关标准,通过开展等级测评、风险评估等方式,确定信息系统安全建设整改需求,对信息系统进行加固改造和完善,落实安全保护技术措施和安全管理制度,建立信息系统综合防护体系,提
高网络和信息系统的整体保护能力。各企业要根据企业特点,从《全国信息安全等级保护测评机构推荐目录》中择优选择测评机构,对本企业第三级(含)以上信息系统定期开展等级测评,查找发现信息系统的安全问题、漏洞和安全隐患并及时整改。当年的等级保护机构,人才积累尚在起步阶段,如今等级保护机构全国共199家,全国高级测评师518人、中级测评师1787人、初级测评师3408人,共计5713名测评师。企业信息系统测评后,各企业要及时将等级测评报告向公安机关备案。
加强检查和考核,确保信息系统安全保护能力达到等级保护要求。各企业应定期对信息系统安全保护状况、安全保护制度及技术措施的落实情况进行自查,及时发现系统中存在的安全问题并整改;国资委或行业主管(监管)部门定期督导、检查企业信息安全等级保护制度落实情况,指导企业开展信息安全等级保护各项工作;公安机关会同国资委、行业主管(监管)部门定期对中央企业开展信息安全等级保护工作情况进行监督检查,推动中央企业重要信息系统安全保护能力逐步达到信息安全等级保护要求。国资委将把中央企业开展信息安全等级保护工作情况纳入信息化水平评价考核体系,制定等级保护工作具体评价指标并进行量化考核。各中央企业要按照有关要求,向国资委报送开展信息安全等级保护工作的有关情况和数据。各企业要认真总结开展信息安全等级保护工作的经验,进一步加强和改进等级保护工作,每年应对等级保护工作情况进行总结,填写《中央企业信息安全等级保护工作情况统计表》(见附件)报国资委或相关行业主管(监管)部门和受理备案的公安机关。国资委和行业主管(监管)部门应每年对所属中央企业开展信息安全等级保护工作情况进行总结并报公安部。

网络安全等级保护:一起看等级保护重要政策文件之公通字【2010】70号

行业主管(监管)部门对所属行业中央企业等级保护工作已做过部署的,所属中央企业按照原计划和要求执行,其他企业按照本通知要求执行。

国资委发文央企开展等级保护测评,起到了带头模范作用。同时,也加强了央企的信息安全防护能力,提升了防护水平。每一个政策文件,都有他的独到之处,有他的发力点。总归,我国信息安全发展,等级保护制度在其中发挥着非常重要的作用。以等级保护为抓手,提升企业自身信息安全水准,提高全社会信息安全水准,乃至逐步提升整个国家信息安全水准。到今天,等级保护为维护我国网络空间安全再提升,依然发挥着极其重要的作用。等级保护制度延伸或拓展的行业,是巨量的。带动的产业也是巨量的,在夯实我国网络空间安全的同时,也提振了我国网络安全产业,先后涌现了一大批优秀的网络安全企业,为我国网络空间安全筑牢了坚实防护盾。

微软从10月15日开始在Office 365中淘汰TLS 1.0 / 1.1
一起看等级保护重要政策文件之公信安【2010】303号文
等级保护重要政策文件等级保护基础调查工作
等保重要政策文件66号文明确四个责任
等级保护重要政策文件27号文确立等级保护为基本制度

原文始发于微信公众号(河南等级保护测评):网络安全等级保护:一起看等级保护重要政策文件之公通字【2010】70号

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月28日12:19:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全等级保护:一起看等级保护重要政策文件之公通字【2010】70号https://cn-sec.com/archives/1483683.html

发表评论

匿名网友 填写信息