重庆市网络安全等级保护领导小组办公室

关于全面落实国家网络安全等级保护

制度2.0标准的通知

渝等保办〔2020〕2号

市级各部门、有关企事业单位：

网络安全等级保护制度是提高网络安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进网络和信息化发展的一项基本制度。为全面贯彻《网络安全法》和国家网络安全等级保护制度要求，落实网络安全等级保护2.0技术标准，进一步做好我市党政机关、事业单位和国有企业网络安全等级保护工作，现就相关要求通知如下：

一、  工作目标

严格落实《网络安全法》、《网络强国战略实施纲要》、《国家网络空间安全战略》等网络安全相关法律和战略规划要求，全面落实网络安全等级保护制度，明确网络安全责任，提高网络安全意识，强化关键信息基础设施保护。按照网络安全等级保护制度2.0要求，梳理全市重点网站、平台及信息系统，将云平台、大数据、物联网、工业控制系统等新技术、新应用纳入网络安全等级保护体系。2020年8月底前基本完成系统梳理和定级备案工作，10月底前完成第三级以上系统的等级测评工作，12月底前完成安全建设整改工作。切实加强网络安全防范管理、监测预警、事件处置，健全网络安全保护工作长效机制，防范和化解网络安全重大风险和威胁，全力确保我市重大活动期间网络安全，全力保卫关键信息基础设施和大数据安全，切实维护国家安全。

二、工作措施

（一）开展等级保护定级备案“回头看”。各单位、各部门要按照国家网络安全等级保护制度2.0新要求，结合机构改革后各单位职能职责调整情况，开展等级保护定级备案“回头看”工作。全面梳理本单位基础网络、信息系统以及APP、云平台、物联网、工业控制系统等新技术、新应用的基本情况，根据网络、系统的功能、服务范围、服务对象和处理的数据等情况，在原有工作的基础上，按照《网络安全等级保护定级指南》（GB∕T 22240-2020）要求，对本单位所有系统逐一初步确定安全等级，组织专家进行评审，并向提交主管部门审核。主管部门审核通过后，通过“重庆市关键信息基础设施安全保卫平台”进行定级申报，完善本单位和系统的相关信息，并在属地公安机关履行备案手续。

（二）落实等级保护2.0技术标准。各单位、各部门在网络建设和运营过程中要全面落实《网络安全等级保护基本要求》（GB/T 22239-2019）、《网络安全等级保护安全设计技术要求》（GB/T 25070-2019）等网络安全等级保护2.0国家标准，在现有安全保护措施的基础上，按照“一个中心、三重防护”总体要求，全面梳理分析系统等级安全保护需求，开展网络安全建设和整改加固，从网络运行安全、数据安全、边界安全等方面构建安全机制和策略，建立以计算环境安全为基础，以区域边界安全、通信网络安全为保障，以安全管理中心为核心的网络安全整体保障体系，不断提高网络安全保护能力和水平。

（三）加强网络安全等级测评和整改。各单位、各部门要对照国家相关标准规范，对已定级备案网络、系统的安全性和可能存在的风险进行检测评估，查找网络安全问题、隐患、差距和不足。第三级（含）以上信息系统运营者应委托《全国信息系统安全等级保护测评机构推荐目录》(http：//www.djbh.net/)中择优选择测评机构，每年开展网络安全等级测评，全面分析信息系统安全保护现状、排查安全隐患和薄弱环节，根据测评结果，制定安全建设整改需求和方案有针对性地进行安全建设整改，并及时将等级测评报告提交受理备案的公安机关存档备查。新建、改建的网络、系统应当按照国家有关标准规范，在安全规划、建设阶段确定系统安全保护等级，同步在建设、运行维护和应用等各个环节落实等级保护2.0技术标准，通过等级测评后方可正式上线运行。

（四）深化监测预警，强化网络安保。各单位、各部门要进一步完善本行业、本部门网络与信息安全信息通报机制，强化本单位网络安全监测和预警工作，建立日常安全巡查制度，定期对信息系统开展巡检和自查，畅通信息通报渠道，提升应急处置能力。一是探索建设集实时监测、隐患整改、通报预警、事件处置于一体的行业网络安全态势感知平台，落实网站和业务平台的技术监测，及时发现安全隐患和网络攻击，及时开展预警和处置。二是定期组织专业技术力量或委托第三方专业安全机构针对本单位所有信息系统开展专门自查自纠工作，三级（含）以上的信息系统要定期开展渗透测试，发现安全隐患、漏洞立即实施整改。三是进一步完善《网络安全应急处预案》，开展网络安全应急队伍、技术和装备储备。要立足实战实效，定期组织开展网络安全突发事件应急演练和实战攻防对抗，切实提升应急行动能力。四是加强重大活动期间的安全保护工作，建立重大活动网络安全保卫机制，严格落实值班值守制度，强化监测巡查力度，做好突发事件应急处置准备，重要时期启动与公安机关、电信基础营运商和运行维护单位的应急联动机制，确保一旦发生网络安全案（事）件能第一时间开展处置，重大网络安全案（事）件必须立即报告公安机关，全力维护国家重大活动网络安全。

三、工作要求

（一）高度重视、加强领导，压实网络安全主体责任。各单位、各部门要深入学习贯彻习近平总书记和党中央关于做好网络安全工作的重要指示精神，充分认识网络安全等级保护工作的重要性和紧迫性，加强安全工作的组织领导和统筹协调，强化工作保障，明确职责分工，逐级压实责任，进一步完善安全管理制度，明确各职能部门的网络安全主体责任，强化对本单位员工的宣传工作和教育培训，增强网络安全意识，切实提升网络安全防护能力。

（二）加强督导、及时总结，健全网络安全保护长效机制。市等保办结合网络安全执法检查，会同相关部门加强监督、指导和现场检查。对责任不明确、工作不落实、措施不到位的，要进行重点督导，及时进行纠正；对安全责任不落实、安全问题严重且整改不到位等情形，公安机关将依据《网络安全法》开展约谈或行政处罚；对工作开展好的，及时总结推广。各单位、各部门要及时汇总、梳理本行业、本单位网络安全保障工作开展情况，总结网络安全工作中好的做法和先进经验，完善网络安全保护工作长效机制，坚持网络安全风险排查，筑牢安全防线。

重庆市网络安全等级保护

    领导小组办公室

2020年6月2日

（联系人：张驰，电话： 63757224）