对于安全保护等级为二级(含第二级)的系统,各单位应按照《信息安全等级保护备案实施细则》要求,到相应公安机关备案。
2012年9月底前,各单位要开展已运营(运行)和新建、扩建、升级改造的信息系统的定级,并履行备案手续,定级备案结果同时报部科技司。
(三)等级保护安全建设整改。
各单位应对照《信息安全技术信息系统安全等级保护基本要求》等标准规范,开展已建信息系统安全保护现状评估,分析查找存在的安全隐患和差距,制定信息系统安全等级保护建设整改方案并组织实施。
新建、扩建和升级改造信息系统要在项目立项及规划设计阶段,同步规划等级保护总体设计方案,并在项目建设过程中同步完成信息安全等级保护建设工作。信息系统正式运行后,要继续做好安全运行维护管理,在制度、人员、资金等方面给予保障,形成常态化的信息安全保障机制。
2012年12月底前,完成第三级以上(含第三级)已定级信息系统的安全建设和整改工作。2013年12月底,完成第二级以上(含第二级)已定级信息系统的安全建设和整改工作。
(四)等级保护测评。
系统建设整改工作完成后,应当按照《
信息安全等级保护管理办法》要求,从全国信息安全等级保护测评机构推荐目录(见www.djbh.net)中选择取得《信息安全等级保护测评机构推荐证书》的测评机构,开展等级测评。第四级信息系统应当每半年至少进行一次等级测评;第三级信息系统应当每年至少进行一次等级测评;第二级信息系统可参照第三级信息系统的要求进行等级测评。
(五)等级保护工作监督检查。
各单位应定期开展等级保护自查,重点检查信息安全责任落实情况、安全管理制度的落实情况、重要信息系统的安全防护状况、建设整改情况、信息安全等级测评情况、检查中发现问题整改情况,并编写年度信息安全等级保护工作报告,于每年11月底前报部科技司。
部信息化主管部门将组织建立信息安全等级保护联络员队伍,定期组织开展信息安全等级保护工作督导检查。
五、职责分工
按照“谁主管、谁负责”、“谁运维、谁负责”的原则,信息系统的主管部门及运营、使用单位按照等级保护的管理规范和技术标准进行信息安全建设和管理。
部科技司负责交通运输行业信息安全等级保护工作的指导、监督和检查,组织研究制订有关政策文件和标准规范。
各地方交通运输主管部门负责本地区交通运输行业系统信息安全等级保护工作的组织实施和监督检查。
