公安機關信息安全等級保護檢查工作規范(試行)

(作者: 文章來源:ga.yuanan.gov.cn 發布日期:2012-08-03 瀏覽數:)

 
第一條 為規范公安機關公共信息網絡安全監察部門開展信息安全等級保護檢查工作,根據《信息安全等級保護管理辦法》 (以下簡稱《管理辦法》 ) ,制定本規范。
 
第二條 公安機關信息安全等級保護檢查工作是指公安機關依據有關規定,會同主管部門對非涉密重要信息系統運營使用單位等級保護工作開展和落實情況進行檢查,督促、檢查其建設安全設施、落實安全措施、建立并落實安全管理制度、落實安全責任、落實責任部門和人員。 

第三條 信息安全等級保護檢查工作由市(地)級以上公安機關公共信息網絡安全監察部門負責實施。每年對第三級信息系統的運營使用單位信息安全等級保護工作檢查一次,每半年對第四級信息系統的運營使用單位信息安全等級保護工作檢查一次。 

第四條 公安機關開展檢查工作,應當按照“嚴格依法,熱情服務”的原則,遵守檢查紀律,規范檢查程序,主動、熱情地為運營使用單位提供服務和指導。 

   第五條 信息安全等級保護檢查工作采取詢問情況,查閱、核對材料,調看記錄、資料,現場查驗等方式進行。 

第六條 檢查的主要內容:
(一) 等級保護工作組織開展、實施情況。安全責任落實情況,信息系統安全崗位和安全管理人員設置情況;
(二) 按照信息安全法律法規、 標準規范的要求制定具體實施方案和落實情況;
(三) 信息系統定級備案情況, 信息系統變化及定級備案變動情況;
(四) 信息安全設施建設情況和信息安全整改情況;
(五) 信息安全管理制度建設和落實情況;
(六) 信息安全保護技術措施建設和落實情況;
(七) 選擇使用信息安全產品情況;
(八) 聘請測評機構按規范要求開展技術測評工作情況,根據測評結果開展整改情況;
(九) 自行定期開展自查情況;
(十) 開展信息安全知識和技能培訓情況。

第七條 檢查項目:
(一)等級保護工作部署和組織實施情況
1.下發開展信息安全等級保護工作的文件,出臺有關工作意見或方案,組織開展信息安全等級保護工作情況。
2.建立或明確安全管理機構,落實信息安全責任,落實安全管理崗位和人員。
3.依據國家信息安全法律法規、標準規范等要求制定具體信息安全工作規劃或實施方案。
4.制定本行業、本部門信息安全等級保護行業標準規范并組織實施。
(二)信息系統安全等級保護定級備案情況
1.了解未定級、備案信息系統情況以及第一級信息系統有關情況,對定級不準的提出調整建議。
2.現場查看備案的信息系統,核對備案材料,備案單位提交的備案材料與實際情況相符合情況。
3.補充提交《信息系統安全等級保護備案登記表》表四中有關備案材料。
4.信息系統所承載的業務、服務范圍、安全需求等發生變化情況,以及信息系統安全保護等級變更情況。
5.新建信息系統在規劃、設計階段確定安全保護等級并備案情況。
(三)信息安全設施建設情況和信息安全整改情況
1.部署和組織開展信息安全建設整改工作。
2.制定信息安全建設規劃、信息系統安全建設整改方案。
3.按照國家標準或行業標準建設安全設施,落實安全措施。
(四)信息安全管理制度建立和落實情況
1.建立基本安全管理制度,包括機房安全管理、網絡安全管理、系統運行維護管理、系統安全風險管理、資產和設備管理、數據及信息安全管理、用戶管理、備份與恢復、密碼管理等制度。
2.建立安全責任制,系統管理員、網絡管理員、安全管理員、安全審計員是否與本單位簽訂信息安全責任書。
3.建立安全審計管理制度、崗位和人員管理制度。
4.建立技術測評管理制度,信息安全產品采購、使用管理制度。
5.建立安全事件報告和處置管理制度,制定信息系統安全應急處置預案,定期組織開展應急處置演練。
6.建立教育培訓制度,定期開展信息安全知識和技能培訓。
(五)信息安全產品選擇和使用情況
1.按照《管理辦法》要求的條件選擇使用信息安全產品。
2.要求產品研制、生產單位提供相關材料。包括營業執照,產品的版權或專利證書,提供的聲明、證明材料,計算機信息系統安全專用產品銷售許可證等。
3.采用國外信息安全產品的,經主管部門批準,并請有關單位對產品進行專門技術檢測。
(六)聘請測評機構開展技術測評工作情況
1.按照《管理辦法》的要求部署開展技術測評工作。對第三級信息系統每年開展一次技術測評,對第四級信息系統每半年開展一次技術測評。
2.按照《管理辦法》規定的條件選擇技術測評機構。
3.要求技術測評機構提供相關材料。包括營業執照、聲明、證明及資質材料等。 
4.與測評機構簽訂保密協議。
5.要求測評機構制定技術檢測方案。
6.對技術檢測過程進行監督,采取了哪些監督措施。
7.出具技術檢測報告,檢測報告是否規范、完整,檢查結果是否客觀、公正。
8.根據技術檢測結果,對不符合安全標準要求的,進一步進行安全整改。
(七)定期自查情況
1.定期對信息系統安全狀況、安全保護制度及安全技術措施的落實情況進行自查。第三級信息系統是否每年進行一次自查,第四級信息系統是否每半年進行一次自查。
2.經自查,信息系統安全狀況未達到安全保護等級要求的,運營、使用單位進一步進行安全建設整改。

第八條 各級公安機關按照“誰受理備案,誰負責檢查”的原則開展檢查工作。具體要求是:
對跨省或者全國聯網運行、跨市或者全省聯網運行等跨地域的信息系統,由部、省、市級公安機關分別對所受理備案的信息系統進行檢查。 對轄區內獨自運行的信息系統,由受理備案的公安機關獨自進行檢查。

第九條 對跨省或者全國聯網運行的信息系統進行檢查時,需要會同其主管部門。因故無法會同的,公安機關可以自行開展檢查。

第十條 公安機關開展檢查前,應當提前通知被檢查單位,并發送《信息安全等級保護監督檢查通知書》 。

第十一條 檢查時,檢查民警不得少于兩人,并應當向被檢查單位負責人或其他有關人員出示工作證件。

第十二條 檢查中應當填寫《信息系統安全等級保護監督檢查記錄》 (以下簡稱 《監督檢查記錄》 )。檢查完畢后, 《監督檢查記錄》應當交被檢查單位主管人員閱后簽字;對記錄有異議或者拒絕簽名的,監督、檢查人員應當注明情況?!侗O督檢查記錄》應當存檔備查。

第十三條 檢查時,發現不符合信息安全等級保護有關管理規范和技術標準要求,具有下列情形之一的,應當通知其運營使用單位限期整改,并發送《信息系統安全等級保護限期整改通知書》 (以下簡稱《整改通知》 )。逾期不改正的,給予警告,并向其上級主管部門通報:
(一)  未按照《管理辦法》開展信息系統定級工作的; 
(二)  信息系統安全保護等級定級不準確的;
(三)  未按《管理辦法》規定備案的;
(四)備案材料與備案單位、備案系統不符合的;
(五)未按要求及時提交《信息系統安全等級保護備案登記表》表四的有關內容的;
(六)系統發生變化,安全保護等級未及時進行調整并重新備案的; 
(七)未按《管理辦法》規定落實安全管理制度、技術措施的;
(八)未按《管理辦法》規定開展安全建設整改和安全技術測評的;
(九)未按《管理辦法》規定選擇使用信息安全產品和測評機構的;
(十)未定期開展自查的;
(十一)違反《管理辦法》其他規定的。

第十四條 檢查發現需要限期整改的,應當出具《整改通知》 ,自檢查完畢之日起10個工作日內送達被檢查單位。

第十五條 信息系統運營使用單位整改完成后,應當將整改情況報公安機關,公安機關應當對整改情況進行檢查。

第十六條 公安機關實施信息安全等級保護監督檢查的法律文書和記錄,應當統一存檔備查。

第十七條 受理備案的公安機關應該配備必要的警力,專門負責信息安全等級保護監督、檢查和指導。從事檢查工作的民警應當經過省級以上公安機關組織的信息安全等級保護監督檢查崗位培訓。

第十八條 公安機關對檢查工作中涉及的國家秘密、工作秘密、商業秘密和個人隱私等應當予以保密。

第十九條 公安機關進行安全檢查時不得收取任何費用。

第二十條 本規范所稱“以上”包含本數(級) 。

第二十一條 本規范自發布之日起實施。

168彩票网