• 开平市人民政府门户网站
  •   
  •  
    • 搜索
您当前的位置: 首页 > 赤坎镇人民政府 > 公共服务 > 公共服务
关于进一步推进人力资源社会保障信息安全等级保护工作的通知 (人社部函[2011]246号)
发布日期:2016-12-01 22:23:00
来源: 开平赤坎政务信息网
打印
【字体:

各省、自治区、直辖市人力资源社会保障厅(局),福建省公务员局,新疆生产建设兵团人事局、劳动保障局,部属各事业单位:

    信息安全等级保护是国家信息安全建设中的一项基础性、制度性、保障性的长期工作。近年来,各级人力资源社会保障部门按照国家信息安全等级保护制度的有关要求,认真开展等级保护工作,并以等级保护工作为抓手,全面开展网络和信息安全建设工作,初步建立了信息系统安全管理体系和技术防护体系。为进一步贯彻落实国家信息安全等级保护制度,深入推进人力资源社会保障信息安全等级保护工作,提高人力资源社会保障信息系统的安全保障能力和防护水平,现将有关事项通知如下:


一、工作目标

按照国家信息安全等级保护有关政策和标准规范,通过组织开展人力资源社会保障信息系统等级保护定级、备案、安全建设整改和等级测评工作,进一步完善信息安全管理体系和技术防护体系,显著提高信息系统整体安全保护能力。力争2013年底前,完成现有重要信息系统的等级保护安全整改和等级测评工作,确保信息系统安全保护能力达到等级保护要求,为人力资源社会保障信息化工作提供有效的安全保障。  


二、 责任分工

按照自主定级、自主保护的原则,各级人力资源社会保障信息系统主管部门作为信息安全等级保护的责任主体,应积极开展等级保护工作,具体工作由各级信息化综合管理机构承担。人力资源社会保障部信息中心具体承担部及直属单位等级保护工作的组织实施,协调公安部对全国人力资源社会保障信息安全等级保护工作的指导、督促和检查。省级人力资源社会保障信息化综合管理机构负责省本级等级保护工作的组织实施,协调公安机关对本级及所辖地区人力资源社会保障部门进行等级保护工作的指导、督促和检查。


对于全国统一联网实时运行的社会保险异地业务系统,由部信息中心统一确定安全保护等级,负责部端运行系统的备案、整改和测评工作,各地运行和应用的分支系统由当地进行备案、整改和测评。全省联网实时运行和大集中信息系统由省级人力资源社会保障部门统一确定安全保护等级,并进行备案、整改和测评。对于联网监测等全国统一联网非实时分布式系统,由各级人力资源社会保障部门结合上联系统定级建议自行确定本地运行系统的安全保护等级,落实整改和测评工作。本地运行和管理的信息系统,由各级人力资源社会保障部门自行进行等级保护定级、备案、整改和测评。


三、工作内容

目前,全国近1200个地市级以上人力资源社会保障重要信息系统的定级备案率达46%,整改完成率22%,测评完成率10%。下一步工作仍将继续围绕信息系统定级备案、建设整改和等级测评三个方面开展。

()     深化信息系统定级备案工作

1.依据和要求。

各单位按照公安部《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)、《信息系统安全等级保护定级指南》和《关于开展劳动保障重要信息系统安全等级保护定级工作的指导意见》(劳社信息函[2007]19号)等文件和标准规范要求,于2011年底前完成所有信息系统的定级备案工作,解决漏定级、漏备案和定级不准的情况。尚未定级的信息系统要尽快完成定级和备案,已定级尚未备案的信息系统要尽快到公安机关备案,定级不合理或系统整合后安全属性发生变化的信息系统应重新进行定级和备案,已定级备案但停止运行的信息系统应及时到公安机关进行备案变更。

2.定级范围。

人力资源社会保障定级范围主要包括支撑人力资源社会保障业务经办、管理和服务的各类核心业务系统、地市级以上部门的公共服务系统、门户网站和内部办公信息系统等,如就业服务业务类、社会保险业务类、人事人才业务类、监测决策业务类、公共服务类、门户网站类和办公管理类等重要信息系统。多个业务系统共用同一网络系统基础设施,可以将该网络系统作为一个独立的定级对象纳入定级范围。

3.定级步骤。

     系统定级备案工作遵循“摸底调查、自主定级、专家评审、属地备案”的步骤进行。首先应参照《关于填报重要信息系统安全等级保护情况的通知》(人社信息函[201049  号)要求,全面梳理本单位运行使用的所有信息系统等级保护情况,摸清信息系统的数量、责任部门、业务类型、应用服务范围和系统构成等基本情况,合理划分定级对象。然后,分别从信息系统的业务信息安全和系统服务安全两方面分析重要性和受破坏后的危害性,自主确定信息系统的安全保护等级。对于拟定保护等级为第二级(含)以上的信息系统,可聘请专家进行咨询评审,以评审意见作为自主定级的参考,并在定级后30日内,到所在地市级以上公安机关网络安全保卫部门办理备案手续。其中,跨地区联网运行并由主管部门统一定级的信息系统应向同级公安机关报备,其他信息系统应向所辖地区公安机关报备。

4.定级策略。

     人力资源社会保障信息系统等级保护级别要结合系统集中层级、业务覆盖面、业务依赖性、信息敏感度、服务对象范围和数量等因素综合分析,地市级以上人力资源社会保障重要信息系统安全保护等级应主要为三级或二级。部本级运行管理的社会保险异地业务、基金监管和联网监测等跨地区人力资源社会保障应用系统,部门户网站,面向全国范围的公共服务系统均确定保护等级为三级,其他如部省视频会议系统和劳动用工备案管理信息系统等应用系统安全等级为二级;对于省级大集中的人力资源社会保障核心业务类、公共服务类和监测决策类应用系统,安全保护等级建议确定为三级,省本级及地市级集中的人力资源社会保障核心业务类、公共服务类等重要信息系统安全保护等级建议确定为三级或二级,省市人力资源社会保障部门内部办公使用的非涉密信息系统(如综合办公管理信息系统)安全保护等级建议确定为二级。部省市重要信息系统安全等级保护定级参考见附件2

()     加快推进信息系统安全建设整改工作

1.依据和要求。

各单位按照公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)、《信息安全等级保护基本要求》(GB/T  22239-2008)等文件和标准规范要求,力争在2012年底前完成所有三级(含)以上信息系统的安全整改工作,20137月前,完成所有已定级系统的安全整改工作。

2.安全建设整改内容。

各单位要将已备案的第二级(含)以上信息系统纳入安全建设整改的范围;尚未开展定级备案的信息系统,要先定级备案,再开展安全建设整改;新建系统要在规划设计时进行系统定级备案,按等级保护标准规范同步进行安全建设和等级保护测评工作。安全建设整改工作要坚持管理和技术并重的原则,管理方面要落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等工作,建立并落实监督检查机制;技术方面要落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。

3.安全建设整改步骤。

安全建设整改工作可遵循“安全现状分析、标准差异分析、安全策略制定、安全整改实施、安全检查评估”的步骤进行。首先,采取对照检查、风险评估和等级测评等方法,从管理和技术两个方面,分析信息系统安全保护现状,以及信息系统现有安全防护措施与等级保护标准要求之间的差距,确定安全建设整改的需求,进行信息系统安全建设整改方案设计,方案应经专家评审论证,其内容既可以是针对安全现状分析发现的问题进行补充加固改造,缺什么补什么,也可进行整体的安全防护体系设计规划和建设。然后,按照整改方案,实施安全建设整改工程,建立并落实安全管理制度,建设安全设施。最后,通过开展安全自查和风险评估,及时发现信息系统中存在的安全隐患和问题,进一步开展安全整改工作。

()     及时开展信息系统等级测评工作

各单位应从《全国信息安全等级保护测评机构推荐目录》(附件3)中择优选择测评机构,机构选择可不受地域限制。定期组织对三级重要信息系统和二级核心业务类信息系统的安全等级保护状况进行检测和评估,其中三级信息系统应当每年至少进行一次等级测评。测评工作可以在信息系统安全建设整改之前进行,目的是通过全面分析信息系统安全保护现状、排查安全隐患和薄弱环节,明确安全建设整改需求和方案,有针对性地进行安全建设整改;也可以在信息系统安全建设整改后进行,目的是为了检验安全建设整改成效,衡量信息系统的安全保护管理措施和技术措施与等级保护基本要求的符合度。如未达到要求,需要根据改进建议,制定整改方案并进一步进行整改。测评工作应结合安全建设整改工作进度适时安排,力争在2013年底前,完成所有已整改信息系统的测评工作,测评工作完成后,应及时向受理备案的公安机关提交等级测评报告。


四、工作要求

()   高度重视,加强领导  

     开展等级保护工作是国家信息安全的制度要求,政策和技术性强,任务艰巨,责任重大。按照“指导监督,重点保护”的信息安全等级保护制度原则,社会保障领域重要信息系统已纳入国家重点保护范围,各单位要高度重视,充分认识围绕等级保护工作开展人力资源社会保障信息安全体系建设的重要意义。要按照“谁主管谁负责,谁运行谁负责”的原则,加强组织领导,完善工作机制,积极协调,落实责任部门、责任人员,以及等级保护整改建设、测评和培训经费,切实做好相关工作。

()   准确定级,科学保护

     按照国家有关信息安全等级保护的管理规范和技术标准,进行系统合理分类、准确确定等级和实施科学保护。结合信息系统安全的实际需求,进行差异化分析和安全建设整改,保障信息安全与信息化建设相适应,等级保护工作和金保工程安全建设相适应,系统等级与防护能力相适应。

()   循序渐进,分步实施

     各单位应按照定级、备案、建设整改和等级测评的工作环节和顺序,结合人力资源社会保障等级保护总体安排,以及信息系统的重要性、规模、数量和等级情况,制定实施方案,循序渐进,分步实施信息安全等级保护工作,提高重要信息系统的综合保护能力。

()   突出重点,务求成效

各单位要以信息安全等级保护制度落实为开展信息安全工作抓手,以全面完成信息系统定级为首要任务和工作起点,以完成重要信息系统等级保护整改建设为工作重点,以全面完成等级保护测评为目标,积极推进等级保护工作,着力解决信息安全突出问题,进行一次全面的信息安全建设工作的梳理、规范和完善,务求取得成效。

()   督促检查,加强培训

各单位应建立督促检查机制,定期对等级保护工作开展情况进行检查,督促落实等级保护各项任务。应积极组织开展培训工作,学习领会信息安全等级保护有关政策、标准和技术。

各省级人力资源社会保障部门及部属事业单位请于20111015日前,将等级保护工作责任部门和联络人情况,报部信息中心,部里将适时进行等级保护工作的指导、督促和检查。

 

 

   

                  ○一一年八月十八日

 


相关附件:

 
联系我们 网站帮助 网站地图 服务申明
 版权所有:开平市人民政府    主办:开平市人民政府办公室 
备案编号: 粤ICP备05079694号  网站标识码:4407830003  粤公网安备; 44078302000116
开平发布政务微博
开平发布政务微信