山西省经济和信息化委员会
中共山西省委网络安全和信息化领导小组办公室
关于加强信息化工程安全建设和管理的意见
晋经信信安字〔2017〕245号
各市经信委,各市委网信办,省直各党政机关,各有关单位:
为应对日趋严峻复杂的信息安全形势,牢固树立“以安全保发展、以发展促安全”的理念,强化信息安全保障基础,严格风险管控,切实维护我省信息安全,根据《中华人民共和国网络安全法》、《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)、《山西省信息化促进条例》和《山西省计算机信息系统安全保护条例》精神,结合我省实际,现就全省信息化工程安全建设和管理工作提出如下意见。
一、充分认识加强信息化工程安全建设和管理的重要性和必要性
近年来,随着网络信息技术快速发展应用,网络安全形势日趋复杂严峻,风险隐患交织联动,网络安全面临严重威胁挑战。主要表现是,关键信息基础设施整体防御能力薄弱,安全、自主、可信的核心关键设备缺乏,对有组织、高强度的网络攻击有效应对不足;重要数据和个人信息安全问题突出;信息安全建设不同步,网络安全标准落实不到位,信息技术服务外包管理不规范;网络暴力恐怖和违法犯罪猖獗。为此,我们要认真学习习近平总书记关于网络安全和信息化工作的重要讲话精神,用网络强国的战略思想武装头脑,树立正确的网络安全观,增强风险意识、忧患意识、责任意识,加强顶层设计和源头治理,推进信息化工程安全建设和管理工作标准化、规范化,切实提升网络安全保障水平。
二、明确信息化工程安全建设和管理的基本要求
网络安全事关国家安全和国家发展,事关广大人民群众工作生活的重大战略问题,省辖区域内的各级机关、事业单位、重要领域信息化工程建设机构要全面贯彻落实《中华人民共和国网络安全法》、《山西省信息化促进条例》等法律法规和标准制度。要按照“谁运营、谁负责,谁主管、谁负责,谁使用、谁负责”的原则,切实肩负起信息安全管理的主体责任,厘清信息化工程信息安全全生命周期各阶段利益关系方的安全职责。加强顶层设计和源头治理,做到信息安全系统与信息化工程同时设计、同时施工、同时投入使用,所需经费列入工程预算。强化过程安全管理,把风险管控贯穿信息化工程规划、设计、实施、运维、废弃各阶段始终,建立健全信息化工程档案。按照国家网络安全等级保护制度规定,做好信息系统定级、备案、等级测评和安全整改等工作。
涉及公共服务、公共利益、公共安全等关键信息基础设施类建设,要重点研判保障单位职能的安全履行和满足业务特性的安全需求等情况,将规划的安全目标、设计的信息安全体系结构和制定的安全方案等内容纳入项目可行性研究报告和初步设计方案,按照中央和国家规定的网络安全目标、任务和要求,采购依法通过网络安全审查的自主可控、安全可信的网络产品和服务,确保信息系统从源头上具备防攻击、防篡改、防病毒、防瘫痪和防窃密能力。
三、做好信息化工程安全建设和管理工作
新建和改扩建的信息化工程以及已建成或正在运行的信息系统的安全建设,要参照《信息化工程安全建设和管理规范》(DB14/T 1252-2016)要求,重点做好以下工作:
(一)规划安全目标。要将分析信息安全需求作为信息化工程安全建设的起点,新建和改扩建的信息化工程要在建设之前确定信息安全保护等级,同步规划安全保护措施,结合本单位的职能或业务特性,分析信息安全威胁及可能造成的影响,梳理信息安全需求,定义信息系统的信息安全功能与性能要求。
(二)设计安全方案。针对不同等级的信息系统信息安全要求,设计信息安全体系结构,形成相应的安全方案,制定信息安全管理制度,明确系统内各类信息安全组件、安全服务及实现机制,并进行安全风险评估。
(三)开发、采购和安全集成。定制或采购产品时,要重点考虑开发商、厂商的技术实力、信誉、资质和产品依法认证情况等因素,对产品进行安全功能和性能测试,对开发和采购过程进行有效性评估;开发完成定制产品并采购现货产品后,要在信息系统集成过程中同步集成信息安全产品,并进行有效性评估。
(四)竣工验收。信息安全工程要与信息化工程同步验收,要将规划的安全目标、信息安全需求梳理过程、信息系统的安全功能和性能要求以及安全方案等材料作为信息化工程项目竣工验收的重要内容。验收时,提交非涉密信息系统安全保护等级备案证明,召开信息安全专家评审会,重点依据整体信息安全自评估和聘请第三方信息安全测评机构的风险评估等情况,对信息安全系统进行综合评审,验证信息系统的安全功能和性能要求,以及安全方案的可行性及其支撑保障作用。评审通过后,信息系统方可投入运行。
四、严格信息技术服务外包的安全管理
信息技术服务外包是信息化工程安全建设和管理工作的重要环节,涉及信息化工程信息安全全生命周期各阶段,影响整个信息化工程的持续性安全,事关信息化工程建设机构和外包服务商。信息化工程建设机构在实施信息技术服务外包过程中,要严格信息技术服务外包的安全管理,切实落实《信息技术服务外包安全要求》(DB14/T 1251-2016),遵守“安全管理责任不变、数据归属关系不变、安全管理标准不变、敏感数据不出境”的原则,根据信息系统的重要程度、安全等级等因素,选择一般级、中级或增强级要求,同具备相关安全资质的外包服务建立信任关系,签订服务合同或协议。合同和协议要充分体现信息安全管理要求,明确合同双方的信息安全责任义务,监督服务商加强安全防护管理,实施相应的信息安全保障措施,切实保障信息技术服务外包信息安全。
五、强化运行和废弃监管,维护信息安全
各单位要建立信息安全警示、宣传教育等管理制度,明确信息安全管理人员。加强信息系统运行监管,建立和完善信息安全监测系统并进行持续安全监测、预警,定期开展信息安全风险评估,检验信息系统对安全环境变化的适应性及安全措施的有效性,保障信息系统的安全可靠。按要求制定信息安全应急预案,定期实施应急演练,对出现的信息安全事件及时进行处理。在信息系统废弃前,要开展风险评估,以防止敏感信息泄露,重要信息系统废弃要向同级信息安全监管部门报备。
六、加强对信息化工程信息安全的监督管理
各级信息安全监管部门负责所辖区域的信息化工程信息安全监督管理工作,要按照“属地化管理”原则,将辖区内各级机关、事业单位、重要领域的信息化工程项目安全建设和管理工作作为信息安全监督检查的必查内容,发现问题,及时督促整改。
各部门、各有关单位,特别是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,要按照国家信息安全检查有关规定,开展信息安全自查和风险评估并进行整改。发生信息安全事件时,按国家规定的时间及要求逐级向信息安全监管部门报告,并积极配合开展调查处置工作。
对于涉及国家秘密的信息化工程安全建设和管理工作,应按照国家有关保密规定执行。
山西省经济和信息化委员会
中共山西省委网络安全和信息化领导小组办公室
2017年8月1日
晋公网安备 14010002001550号 