關(guān)于開展集團(tuán)信息網(wǎng)絡(luò)安全等級保護(hù)測評工作的請示

關(guān)于開展集團(tuán)信息網(wǎng)絡(luò)安全等級保護(hù)測評工作的請示（參考）集團(tuán)領(lǐng)導(dǎo)：按照2017年國家頒布的《網(wǎng)絡(luò)安全法》要求，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。對應(yīng)的國家標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GBT22239-2019)于2019年12月1日正式頒布實施。其中，《網(wǎng)絡(luò)安全法》第五十九條對網(wǎng)絡(luò)運(yùn)營者不履行本法規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的情況，明確了相關(guān)行政處罰。目前，銀行系統(tǒng)、政府機(jī)關(guān)和國有大中型企業(yè)均已開展信息網(wǎng)絡(luò)安全等級保護(hù)相關(guān)工作，例如XXX、XXX、XXX、XXX等。結(jié)合集團(tuán)信息安全建設(shè)實際情況，擬開展網(wǎng)絡(luò)安全等級保護(hù)相關(guān)工作，包括網(wǎng)絡(luò)安全測評、建設(shè)整改、等級評定和每年的定期檢查測評及優(yōu)化等。建議選擇第三方專業(yè)資質(zhì)的測評機(jī)構(gòu)提供相關(guān)測評服務(wù)，進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)測評工作，預(yù)算為XX萬元。并提請集團(tuán)集中采購委員會確定采購方式和組織實施相關(guān)采購程序?，F(xiàn)將有關(guān)情況報告如下：一、信息網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀。集團(tuán)于XX年進(jìn)行了機(jī)房和網(wǎng)絡(luò)信息安全相關(guān)建設(shè)，解決了內(nèi)外網(wǎng)隔離和訪問身份認(rèn)證問題，形成了網(wǎng)絡(luò)信息安全基礎(chǔ)防護(hù)能力。目前仍然存在不足，一是網(wǎng)絡(luò)信息安全構(gòu)架不夠完善，與國家標(biāo)準(zhǔn)等級保護(hù)要求尚有一定差距。二是缺少配套的信息安全管理制度體系。二、開展信息網(wǎng)絡(luò)安全等級保護(hù)工作的意義。1.《網(wǎng)絡(luò)安全法》將網(wǎng)絡(luò)運(yùn)營者的信息網(wǎng)絡(luò)安全責(zé)任和義務(wù)上升到法律約束高度，《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GBT22239-2019)規(guī)定了明確的執(zhí)行標(biāo)準(zhǔn)，開展信息網(wǎng)絡(luò)安全等級保護(hù)工作意義重大。2.通過信息網(wǎng)絡(luò)安全等級保護(hù)建設(shè)找出信息系統(tǒng)在信息安全方面與國家標(biāo)準(zhǔn)要求之間的差距，為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù)，并建立長效機(jī)制，保障信息安全工作與信息化建設(shè)同步、可持續(xù)的開展。3.有利于采取系統(tǒng)、規(guī)范、經(jīng)濟(jì)有效的管理和技術(shù)保障措施，建立健全各項信息安全管理制度，保障業(yè)務(wù)信息系統(tǒng)安全正常運(yùn)行，保障信息安全，進(jìn)而保障各部門職能安全、高速、高效地運(yùn)轉(zhuǎn)。4.有利于加強(qiáng)集團(tuán)對網(wǎng)絡(luò)意識形態(tài)的監(jiān)管。按照集團(tuán)堅持依法管網(wǎng)治網(wǎng)，重點加強(qiáng)對門戶網(wǎng)站和公眾號的排查與管理的要求，進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全防護(hù)措施，提高網(wǎng)絡(luò)安全防護(hù)能力，為規(guī)范網(wǎng)上信息發(fā)布和網(wǎng)絡(luò)突發(fā)重大輿情應(yīng)急處置工作提供保障。5.有利于明確信息系統(tǒng)管理部門和各個使用部門的安全責(zé)任，共同落實各項安全建設(shè)和安全管理措施。三、信息網(wǎng)絡(luò)安全等級保護(hù)工作的內(nèi)容。按照國家標(biāo)準(zhǔn)具體實施細(xì)則，信息網(wǎng)絡(luò)安全等級保護(hù)工作具體內(nèi)容有：1.委托具備國家認(rèn)定資質(zhì)的第三方測評機(jī)構(gòu)進(jìn)駐現(xiàn)場進(jìn)行《等級保護(hù)定級報告和備案表》（詳見附件1）申報工作，報公安主管部門（XX市公安局網(wǎng)安支隊）對集團(tuán)信息網(wǎng)絡(luò)安全進(jìn)行等級保護(hù)審定認(rèn)可后，獲取《信息系統(tǒng)備案證明》；2.根據(jù)第三方測評機(jī)構(gòu)出具的安全整改報告，開展信息安全建設(shè)工作。按整改要求配備安全防護(hù)設(shè)備和策略，對信息系統(tǒng)進(jìn)行安全防護(hù)加固，完善信息網(wǎng)絡(luò)系統(tǒng)安全架構(gòu)體系；3.由第三方測評機(jī)構(gòu)進(jìn)行信息網(wǎng)絡(luò)安全等級保護(hù)評測，出具測評報告，報XX市公安局網(wǎng)安支隊，通過集團(tuán)信息網(wǎng)絡(luò)完全等級保護(hù)評定；4.每1-2年由第三方測評機(jī)構(gòu)進(jìn)行復(fù)測評，根據(jù)XX市公安局網(wǎng)安支隊要求持續(xù)優(yōu)化完善信息網(wǎng)絡(luò)安全建設(shè)，并按規(guī)定提交測評報告。四、開展信息網(wǎng)絡(luò)安全等級保護(hù)測評工作的建議信息網(wǎng)絡(luò)安全等級保護(hù)工作主要圍繞等級保護(hù)測評工作展開，并根據(jù)測評情況進(jìn)行相應(yīng)的整改建設(shè)和持續(xù)優(yōu)化工作。因此建議：1.選擇一家有資質(zhì)的第三方測評機(jī)構(gòu)開展集團(tuán)信息網(wǎng)絡(luò)安全等級保護(hù)備案申報及當(dāng)年評測工作。2.信息網(wǎng)絡(luò)安全等級保護(hù)測評服務(wù)預(yù)算費(fèi)用為XX萬元，按照《XX集團(tuán)集中采購管理辦法》相關(guān)規(guī)定，提交集團(tuán)集中采購委員會實施采購。3.根據(jù)第三方測評機(jī)構(gòu)出具的整改報告意見，形成整改建設(shè)方案，待批準(zhǔn)后組織實施。五、組織保障根據(jù)等級保護(hù)建設(shè)測評內(nèi)容要求，建議建立集團(tuán)信息網(wǎng)絡(luò)安全等級保護(hù)工作小組，由信息技術(shù)部牽