中国气象局关于印发《气象部门信息系统安全等级保护定级工作指导意见》的通知

各省（区、市）气象局，各直属单位，办公室：

根据国家信息安全等级保护有关政策和要求，为进一步统一规范全国气象信息系统的安全定级，更好地指导各级气象部门深入开展信息安全等级保护工作，我局制定了《气象部门信息系统安全等级保护定级工作指导意见》，现印发给你们，请遵照执行。

中国气象局
2012年12月19日

气象部门信息系统

安全等级保护定级工作指导意见

为规范气象信息系统安全等级保护（简称“等级保护”）工作管理，提高气象信息系统安全能力，保障和促进气象信息化建设，根据国家信息安全主管部门颁发的《信息安全等级保护管理办法》及相关信息安全政策法规，结合气象部门实际情况，在《气象部门信息系统安全等级保护定级工作指南》（简称“定级指南”，详见中国气象局“关于组织开展信息系统安全等级保护定级工作的通知”（气发〔2008〕200号））的基础上，补充制定本指导意见。

一、等级保护工作补充内容

根据国家信息安全等级保护相关政策规定，对气象部门等级保护工作内容补充如下：

（一）定级对象

气象部门等级保护定级对象除《定级指南》规定的各项内容外，还应包括各级气象部门为当地政府或其它单位承办、运行的各类网站及业务系统。

作为定级对象的信息系统应具有唯一确定的安全责任单位、具有信息系统的基本要素、并承载单一或相对独立的业务应用。但应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。对于边界不清晰、安全管理权限不能分开的气象信息系统，要作为一个系统进行定级（例如：省级的全国广域网络系统、国内气象通信系统和卫星单向数据广播接收系统可作为一个系统进行定级）。

（二）等级确定权限

气象信息系统安全等级确定的管理权限为：

1.全国联网或国家级统一建设的气象信息系统安全等级，由国家级业务运行部门初步确定。

2.跨省联网的气象信息系统安全等级，由区域中心或流域中心所在省局业务运行部门初步确定。

3.省内联网的气象信息系统安全等级，由各省级业务运行部门初步确定。

4.各级业务部门自建的气象信息系统等级，由各级业务运行部门初步确定。

5.各级气象部门为当地政府或其它单位承办、运行的对外网站及业务系统等级，由各级承办运行部门与主办单位协商后初步确定。

（三）评审及审批

各单位在初步确定气象信息系统的安全等级后，要先通过定级评审和审批，再按公安部门规定及时进行备案。具体要求如下：

对于拟确定为二级及以上的信息系统需进行评审，一级系统不需评审，仅需向中国气象局信息安全主管部门报备。

二级系统由各省（区、市）气象局和中国气象局各直属单位的业务管理部门或相关直属机构聘请专家进行评审。评审完成后由评审组织单位根据专家意见进行批复，同时将有关情况上报中国气象局信息安全主管部门。

新建（包括需调整）三级及以上系统由各单位在每年6月底前将定级报告上报中国气象局信息安全主管部门。中国气象局信息安全主管部门在每年下半年聘请公安等部门专家组织评审，评审完成后根据专家意见进行批复。

各级气象部门为当地政府或其它单位承办、运行的对外网站及业务系统的定级评审和审批，由相关省（区、市）气象局或国家级直属单位业务管理部门负责，同时向中国气象局信息安全主管部门报备。

（四）测评及整改

按照国家信息安全等级保护政策要求，对三级及以上的气象信息系统应每年选择符合公安部门规定、有资质的测评机构，依据《信息系统安全等级保护测评要求》等技术标准实施一次测评。二级及以下信息系统由各单位自行组织测评。

根据测评结果，各单位对发现的安全隐患和存在问题，要制定整改方案，开展安全整改工作，进一步提高信息系统安全保护能力。

二、等级保护工作监督检查

为切实增强气象信息系统安全能力，预防和减少重大信息安全事件的发生，要求各单位要建立信息安全检查制度。每年对本单位安全制度的落实、重要信息系统的安全状况和防护措施等情况进行自查。重点自查内容及要求如下：

1.信息安全管理制度建立和落实情况。各单位建立基本安全管理制度情况及信息安全责任制落实情况。

2.等级保护工作组织实施情况。各单位开展气象信息系统定级、备案、测评及整改的情况。

3.气象信息系统安全管理情况。各单位主要业务系统、门户网站安全管理情况。

4.信息安全应急处置及其它情况。各单位信息安全应急预案制定及应急演练情况、本年度信息安全事件及应急处置情况、本年度信息安全经费保障情况和信息安全管理技术人员参加信息安全培训情况。

要求各单位在自查工作完成后，按中国气象局信息安全主管部门下发的表格填写自查情况报告表，每年年底前函报中国气象局信息安全主管部门。

三、等级保护工作实施要求

1.各单位要加强本单位信息安全管理。建立健全信息安全责任制，制定并落实安全管理制度，包括人员安全管理、机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复等方面的管理制度和监督检查机制，有效保障气象业务系统信息安全。

2.各单位在新系统建设过程中，必须在设计、规划阶段确定安全保护等级，依据信息系统所定级别，按照等级保护政策、标准要求，同步规划、同步设计、同步实施，落实等级保护制度各项要求。

3.各单位要建立重要信息系统（包括三级系统和重要对外网站）的安全监测和预警机制，完善应急预案，开展应急演练，储备应急资源和防护手段，加强值班，提高对突发信息安全事件的处置、管控能力，全力保障气象信息系统安全可靠运行。

4.各单位为当地政府或其它单位承办、运行的各类网站及业务系统，要进一步明确安全责任主体，按照“谁主管谁负责，谁运营谁负责”的原则，由相关省（区、市）气象局或国家级直属单位业务管理部门直接负责管理。其信息安全管理不纳入中国气象局管理范围。