各省、自治區、直轄市、新疆生産建設兵團交通運輸廳(局、委)，天津市市政公路管理局，天津市、上海市交通運輸和港口管理局，部屬各單位，部內各單位：

    貫徹落實《中華人民共和國電腦資訊系統安全保護條例》和《資訊安全等級保護管理辦法》等法規要求，做好交通運輸行業資訊安全等級保護，對於提升行業資訊安全防護能力和水準，維護公共利益、社會秩序和國家安全具有重要作用。為進一步加強交通運輸行業資訊安全等級保護工作，按照公安部《關於開展全國重要資訊系統安全等級保護定級工作的通知》（公信安〔2007〕861號）和《關於開展資訊安全等級保護安全建設整改工作的指導意見》（公信安〔2009〕1429號）等文件要求，結合交通運輸行業實際，現就開展資訊安全等級保護有關事宜通知如下：

    一、指導思想
    深入貫徹落實科學發展觀，遵照國家有關資訊安全等級保護政策規定和技術標準規範，緊密結合交通運輸行業資訊化發展實際，按照准確定級、科學評估、統籌考慮、突出重點、注重實效、完善機制的原則，推進交通運輸行業資訊系統等級保護體系建設，完善資訊安全管理制度，建立健全資訊安全防控技術措施和手段，切實提高資訊系統安全保護能力，保障和促進交通運輸行業資訊化科學健康有序發展。

    二、總體目標
    到2015年底前，基本建立交通運輸行業資訊安全等級保護常態化運作和監督檢查機制，完善管理制度和技防手段，切實提高交通運輸行業資訊安全防護能力、隱患發現能力、應急處置能力，為交通運輸行業資訊化健康發展提供可靠保障。主要是：完成安全保護等級為第二級以上（含第二級）的已運營（運作）資訊系統的定級備案、安全建設整改和測評；新建、擴建、升級改造的資訊系統在規劃建設階段同步開展資訊系統定級、備案、安全建設及測評；完善行業資訊安全等級保護政策標準體系，建立行業資訊安全等級保護工作情況動態報送和監督檢查機制。

    三、主要依據
    （一）《中華人民共和國電腦資訊系統安全保護條例》（國務院147號令）；
    （二）《關於資訊安全等級保護工作的實施意見》（公通字〔2004〕66號）；
    （三）《資訊安全等級保護管理辦法》（公通字〔2007〕43號）；
    （四）《關於開展全國重要資訊系統安全等級保護定級工作的通知》（公通字〔2007〕861號）；
    （五）《資訊安全等級保護備案實施細則》（公信安〔2007〕1360號）；
    （六）《關於開展資訊系統等級保護安全建設整改工作的指導意見》（公信安〔2009〕1429號）；
    （七）《關於加強國家電子政務工程建設項目資訊安全風險評估工作的通知》（發改高技〔2008〕2071號）；
    （八）《電腦資訊系統安全保護等級劃分準則》（GB17859）；
    （九）《資訊安全技術 資訊系統安全等級保護定級指南》(GB/T22240-2008)；
    （十）《資訊安全技術 資訊系統安全等級保護實施指南》(GB/T25058-2010)；
    （十一）《資訊安全技術 資訊系統安全等級保護基本要求》(GB/T22239-2008)。
    以上政策文件和標準規範均可從中國資訊安全等級保護網（http://www.djbh.net)查詢下載。

    四、主要任務及工作安排
    （一）資訊系統摸底調查。
    組織開展對本單位資訊系統的摸底調查，全面掌握資訊系統的數量、分佈、業務類型、應用或服務範圍、系統結構等基本情況，確定定級對象。
    2012年7月底前，各單位應完成資訊系統情況摸底調查，並填寫《資訊系統資訊安全等級保護情況統計表》（見附件），蓋章後報部科技司。已經完成定級備案手續的系統，應將該系統《資訊系統安全等級保護備案表》和公安機關出具的《資訊系統安全等級保護備案證明》報部科技司。
    （二）資訊系統定級備案。
    按照《資訊安全技術資訊系統安全等級保護定級指南》，認真分析資訊系統業務資訊安全和系統服務安全，科學準確開展系統的定級。已運營（運作）、但尚未定級的重要資訊系統要進行補充定級，新建、擴建和升級改造資訊系統在規劃設計階段要同步完成系統定級工作。
    對於安全保護等級為二級（含第二級）的系統，各單位應按照《資訊安全等級保護備案實施細則》要求，到相應公安機關備案。
    2012年9月底前，各單位要開展已運營（運作）和新建、擴建、升級改造的資訊系統的定級，並履行備案手續，定級備案結果同時報部科技司。
    （三）等級保護安全建設整改。
    各單位應對照《資訊安全技術資訊系統安全等級保護基本要求》等標準規範，開展已建資訊系統安全保護現狀評估，分析搜尋存在的安全隱患和差距，制定資訊系統安全等級保護建設整改方案並組織實施。
    新建、擴建和升級改造資訊系統要在項目立項及規劃設計階段，同步規劃等級保護總體設計方案，並在項目建設過程中同步完成資訊安全等級保護建設工作。資訊系統正式運作後，要繼續做好安全運作維護管理，在制度、人員、資金等方面給予保障，形成常態化的資訊安全保障機制。
    2012年12月底前，完成第三級以上（含第三級）已定級資訊系統的安全建設和整改工作。2013年12月底，完成第二級以上（含第二級）已定級資訊系統的安全建設和整改工作。
    （四）等級保護測評。
    系統建設整改工作完成後，應當按照《資訊安全等級保護管理辦法》要求，從全國資訊安全等級保護測評機構推薦目錄（見www.djbh.net）中選擇取得《資訊安全等級保護測評機構推薦證書》的測評機構，開展等級測評。第四級資訊系統應當每半年至少進行一次等級測評；第三級資訊系統應當每年至少進行一次等級測評；第二級資訊系統可參照第三級資訊系統的要求進行等級測評。
    （五）等級保護工作監督檢查。
    各單位應定期開展等級保護自查，重點檢查資訊安全責任落實情況、安全管理制度的落實情況、重要資訊系統的安全防護狀況、建設整改情況、資訊安全等級測評情況、檢查中發現問題整改情況，並編寫年度資訊安全等級保護工作報告,于每年11月底前報部科技司。
    部資訊化主管部門將組織建立資訊安全等級保護聯絡員隊伍，定期組織開展資訊安全等級保護工作督導檢查。

    五、職責分工
    按照“誰主管、誰負責”、“誰運維、誰負責”的原則，資訊系統的主管部門及運營、使用單位按照等級保護的管理規範和技術標準進行資訊安全建設和管理。
    部科技司負責交通運輸行業資訊安全等級保護工作的指導、監督和檢查，組織研究制訂有關政策文件和標準規範。
    各地方交通運輸主管部門負責本地區交通運輸行業系統資訊安全等級保護工作的組織實施和監督檢查。

    六、工作要求
    （一）加強領導，明確責任。各單位要進一步提高對資訊安全等級保護工作重要性和緊迫性的認識，切實加強對等級保護工作的組織領導，確立安全管理機構及其職責，落實資訊安全等級保護管理崗位和人員，明確相關部門的安全責任，確保各項要求落實到位。
    （二）保障經費，加強監管。各單位要建立穩定的資訊安全等級保護經費投入機制，將資訊安全等級保護建設整改、等級測評、資訊安全服務、技術培訓等費用納入資訊化建設經費預算，保障等級保護工作的有效開展，並加強對資金使用的監管。
    （三）突出重點，同步建設。各單位要根據自身實際情況，對等級保護體系建設進行統籌規劃，找準存在的薄弱環節和突出問題，優先抓好重要資訊系統的測評整改建設。對新建、擴建、升級改造的資訊系統要確保等級保護措施的同步規劃、同步設計和同步實施。
    （四）加強培訓，建設隊伍。各單位要加強安全建設管理、安全運維和應急保障隊伍建設，積極組織開展相關人員進行安全管理政策制度和技術技能培訓，為資訊安全等級保護工作開展提供有效的人員隊伍保障。
    （五）協調推進，強化監督。要注重等級保護工作的統籌協調推進，建立健全等級保護工作情況報送匯總、督促檢查、工作交流機制，組建行業資訊安全聯絡員隊伍。部根據情況定期組織開展資訊安全等級保護工作監督檢查。

    附件：資訊系統資訊安全等級保護情況統計表

 

中華人民共和國交通運輸部辦公廳（章）
二〇一二年五月二十一日

 

主題詞：交通 資訊安全 等級保護 通知

---

主送：各省、自治區、直轄市、新疆生産建設兵團交通運輸廳(局、委)，天津市市政公路管理局，天津市、上海市交通運輸和港口管理局，部屬各單位，部內各單位

---

交通運輸部辦公廳                                                          2012年5月印發