建立由公安部牵头、国资委和有关行业主管(监管)部门共同参加的中央企业信息安全等级保护工作协调配合机制,按照各自职责分工,加强协调,密切配合,定期沟通和通报工作进展,及时交流备案数据、整改测评情况和检查结果等,共同组织推动中央企业信息安全等级保护工作的顺利开展。
三、全面梳理企业信息网络和系统,认真做好企业信息系统安全等级保护定级、备案工作
中央企业要全面梳理本企业信息系统和信息网络,摸清底数,根据《
信息安全等级保护管理办法》等有关规定和《信息系统安全等级保护定级指南》等技术标准,准确确定信息系统安全保护等级。对尚未开展信息系统定级的企业,应按照“企业自主定级、聘请专家评审、主管部门审批、公安机关监督”的原则,开展信息系统定级备案工作,国资委或行业主管(监管)部门要对所负责的中央企业信息系统安全保护等级进行审批。各企业在系统定级之后要及时向公安机关备案,中央企业跨省或者全国统一联网运行的第二级(含)以上信息系统,向公安部网络安全保卫局备案,其他信息系统向当地公安厅(局)网安部门备案。对于已定级的信息系统由于定级不准、需求变更或撤销的,应重新开展定级备案。新建系统要在规划设计阶段确定系统安全保护等级,并在等级确定后30日内到公安机关备案。公安机关要及时受理备案,对符合要求的颁发备案证明。
四、开展信息安全等级保护安全建设整改和等级测评工作,完善重要信息系统安全防护体系
中央企业要在信息系统定级备案工作基础上,按照开展信息安全等级保护安全建设整改工作的有关要求,组织开展等级保护安全建设整改工作。对照《信息系统安全等级保护基本要求》等有关标准,通过开展等级测评、风险评估等方式,确定信息系统安全建设整改需求,对信息系统进行加固改造和完善,落实安全保护技术措施和安全管理制度,建立信息系统综合防护体系,提高网络和信息系统的整体保护能力。各企业要根据企业特点,从《全国信息安全等级保护测评机构推荐目录》中择优选择测评机构,对本企业第三级(含)以上信息系统定期开展等级测评,查找发现信息系统的安全问题、漏洞和安全隐患并及时整改。信息系统测评后,各企业要及时将等级测评报告向公安机关备案。
