公安机关信息安全等级保护检查工作规范标准

更新时间:2024-11-07 06:43:37 阅读: 评论:0


2022年8月24日发
(作者:吃了荔枝后开车)

公安机关信息安全等级保护检查工作规范

(试行)

第一条为规范公安机关公共信息网络安全监察部门开展

信息安全等级保护检查工作,根据《信息安全等级保护管理办

法》(以下简称《管理办法》),制定本规范。

第二条公安机关信息安全等级保护检查工作是指公安机

关依据有关规定,会同主管部门对非涉密重要信息系统运营使

用单位等级保护工作开展和落实情况进行检查,督促、检查其

建设安全设施、落实安全措施、建立并落实安全管理制度、落

实安全责任、落实责任部门和人员。

第三条信息安全等级保护检查工作由市(地)级以上公

安机关公共信息网络安全监察部门负责实施。每年对第三级信

息系统的运营使用单位信息安全等级保护工作检查一次,每半

年对第四级信息系统的运营使用单位信息安全等级保护工作

检查一次。

第四条公安机关开展检查工作,应当按照“严格依法,

热情服务”的原则,遵守检查纪律,规范检查程序,主动、热

情地为运营使用单位提供服务和指导。

第五条信息安全等级保护检查工作采取询问情况,查阅、

核对材料,调看记录、资料,现场查验等方式进行。

第六条检查的主要内容:

(一)等级保护工作组织开展、实施情况。安全责任落实

情况,信息系统安全岗位和安全管理人员设置情况;

(二)按照信息安全法律法规、标准规范的要求制定具体

实施方案和落实情况;

(三)信息系统定级备案情况,信息系统变化及定级备案

变动情况;

(四)信息安全设施建设情况和信息安全整改情况;

(五)信息安全管理制度建设和落实情况;

(六)信息安全保护技术措施建设和落实情况;

(七)选择使用信息安全产品情况;

(八)聘请测评机构按规范要求开展技术测评工作情况,

根据测评结果开展整改情况;

(九)自行定期开展自查情况;

(十)开展信息安全知识和技能培训情况。

第七条检查项目:

(一)等级保护工作部署和组织实施情况

1.下发开展信息安全等级保护工作的文件,出台有关工

作意见或方案,组织开展信息安全等级保护工作情况。

2.建立或明确安全管理机构,落实信息安全责任,落实

安全管理岗位和人员。

3.依据国家信息安全法律法规、标准规范等要求制定具

体信息安全工作规划或实施方案。

4.制定本行业、本部门信息安全等级保护行业标准规范

并组织实施。

(二)信息系统安全等级保护定级备案情况

1.了解未定级、备案信息系统情况以及第一级信息系统

有关情况,对定级不准的提出调整建议。

2.现场查看备案的信息系统,核对备案材料,备案单位

提交的备案材料与实际情况相符合情况。

3.补充提交《信息系统安全等级保护备案登记表》表四

中有关备案材料。

4.信息系统所承载的业务、服务范围、安全需求等发生

变化情况,以及信息系统安全保护等级变更情况。

5.新建信息系统在规划、设计阶段确定安全保护等级并

备案情况。

(三)信息安全设施建设情况和信息安全整改情况

1.部署和组织开展信息安全建设整改工作。

2.制定信息安全建设规划、信息系统安全建设整改方案。

3.按照国家标准或行业标准建设安全设施,落实安全措

施。

(四)信息安全管理制度建立和落实情况

1.建立基本安全管理制度,包括机房安全管理、网络安

全管理、系统运行维护管理、系统安全风险管理、资产和设备

管理、数据及信息安全管理、用户管理、备份与恢复、密码管

理等制度。

2.建立安全责任制,系统管理员、网络管理员、安全管

理员、安全审计员是否与本单位签订信息安全责任书。

3.建立安全审计管理制度、岗位和人员管理制度。

4.建立技术测评管理制度,信息安全产品采购、使用管

理制度。

5.建立安全事件报告和处置管理制度,制定信息系统安

全应急处置预案,定期组织开展应急处置演练。

6.建立教育培训制度,定期开展信息安全知识和技能培

训。

(五)信息安全产品选择和使用情况

1.按照《管理办法》要求的条件选择使用信息安全产品。

2.要求产品研制、生产单位提供相关材料。包括营业执

照,产品的版权或专利证书,提供的声明、证明材料,计算机

信息系统安全专用产品销售许可证等。

3.采用国外信息安全产品的,经主管部门批准,并请有

关单位对产品进行专门技术检测。

(六)聘请测评机构开展技术测评工作情况

1.按照《管理办法》的要求部署开展技术测评工作。对

第三级信息系统每年开展一次技术测评,对第四级信息系统每

半年开展一次技术测评。

2.按照《管理办法》规定的条件选择技术测评机构。

3.要求技术测评机构提供相关材料。包括营业执照、声

明、证明及资质材料等。

4.与测评机构签订保密协议。

5.要求测评机构制定技术检测方案。

6.对技术检测过程进行监督,采取了哪些监督措施。

7.出具技术检测报告,检测报告是否规范、完整,检查

结果是否客观、公正。

8.根据技术检测结果,对不符合安全标准要求的,进一

步进行安全整改。

(七)定期自查情况

1.定期对信息系统安全状况、安全保护制度及安全技术

措施的落实情况进行自查。第三级信息系统是否每年进行一次

自查,第四级信息系统是否每半年进行一次自查。

2.经自查,信息系统安全状况未达到安全保护等级要求

的,运营、使用单位进一步进行安全建设整改。

第八条各级公安机关按照“谁受理备案,谁负责检查”

的原则开展检查工作。具体要求是:

对跨省或者全国联网运行、跨市或者全省联网运行等跨地

域的信息系统,由部、省、市级公安机关分别对所受理备案的

信息系统进行检查。

对辖区内独自运行的信息系统,由受理备案的公安机关独

自进行检查。

第九条对跨省或者全国联网运行的信息系统进行检查

时,需要会同其主管部门。因故无法会同的,公安机关可以自

行开展检查。

第十条公安机关开展检查前,应当提前通知被检查单位,

并发送《信息安全等级保护监督检查通知书》(见附件1)。

第十一条检查时,检查民警不得少于两人,并应当向被

检查单位负责人或其他有关人员出示工作证件。

第十二条检查中应当填写《信息系统安全等级保护监督

检查记录》(以下简称《监督检查记录》,见附件2)。检查完毕

后,《监督检查记录》应当交被检查单位主管人员阅后签字;

对记录有异议或者拒绝签名的,监督、检查人员应当注明情况。

《监督检查记录》应当存档备查。

第十三条检查时,发现不符合信息安全等级保护有关管

理规范和技术标准要求,具有下列情形之一的,应当通知其运

营使用单位限期整改,并发送《信息系统安全等级保护限期整

改通知书》(以下简称《整改通知》,见附件3)。逾期不改正的,

给予警告,并向其上级主管部门通报(通报书见附件4):

(一)未按照《管理办法》开展信息系统定级工作的;

(二)信息系统安全保护等级定级不准确的;

(三)未按《管理办法》规定备案的;

(四)备案材料与备案单位、备案系统不符合的;

(五)未按要求及时提交《信息系统安全等级保护备案登

记表》表四的有关内容的;

(六)系统发生变化,安全保护等级未及时进行调整并重

新备案的;

(七)未按《管理办法》规定落实安全管理制度、技术措

施的;

(八)未按《管理办法》规定开展安全建设整改和安全技

术测评的;

(九)未按《管理办法》规定选择使用信息安全产品和测

评机构的;

(十)未定期开展自查的;

(十一)违反《管理办法》其他规定的。

第十四条检查发现需要限期整改的,应当出具《整改通

知》,自检查完毕之日起10个工作日内送达被检查单位。

第十五条信息系统运营使用单位整改完成后,应当将整

改情况报公安机关,公安机关应当对整改情况进行检查。

第十六条公安机关实施信息安全等级保护监督检查的法

律文书和记录,应当统一存档备查。

第十七条受理备案的公安机关应该配备必要的警力,专

门负责信息安全等级保护监督、检查和指导。

第十八条公安机关进行安全检查时不得收取任何费用。

第十九条本规范所称“以上”包含本数(级)。

第二十条本规范自发布之日起实施。

附件1

(此处印制公安机关名称)

信息安全等级保护监督检查通知书

X公信安检字[]号

被检查单位名称

检查时间

检查地点

检查单位

承办人

批准人

检查人员

填发日期

存根

(此处印制公安机关名称)

信息安全等级保护监督检查通知书

X公信安检字[]号

根据《中华人民共和国计算机信息系统安全保护条例》和《信

息安全等级保护管理办法》规定,我单位决定于年月日

至年月日对你单位信息安全等级保护工作落实情况进行

监督检查。具体包括下列事项:

□1、等级保护工作组织开展、实施情况,安全责任落实情况,信

息系统安全岗位和安全管理人员设置情况;

□2、按照信息安全法律法规、标准规范制定实施方案和落实情况;

□3、信息系统定级备案情况,信息系统变化及定级备案变动情况;

□4、信息安全设施建设情况和信息安全整改情况;

□5、信息安全管理制度建设和落实情况;

□6、信息安全保护技术措施建设和落实情况;

□7、选择使用信息安全产品情况;

□8、聘请测评机构按规范要求开展技术测评工作情况,根据测评

结果开展整改情况;

□9、自行定期开展自查情况;

□10、开展信息安全知识和技能培训情况。

请你单位有关人员届时参加并做好准备工作。

联系人::

(公安机关印章)

年月日

一式两份,一份交被通知单位,一份附卷。

附件2

(此处印制公安机关名称)

信息安全等级保护监督检查记录

X公信安检字[]号

检查民警(签名)

被检查单位(部门)名称

检查时间年月日

检查地点

被检查单位信息安全负责人

被检查单位信息安全联系人

记录人(签名):

被检查单位人员(签名)

此记录由公安机关存档

信息安全等级保护监督检查记录单

检查内容检查结果

(如否说明情况)

一、等级保护工作部署和组织实施情况

1-1是否下发开展信息安全等级保护工作的文件,出台有关工作□是□否

意见或方案,了解组织开展信息安全等级保护工作情况

1-2是否建立或明确安全管理机构,落实信息安全责任,落实安□是□否

全管理岗位和人员

1-3是否依据国家信息安全法律法规、标准规范等要求制定具体□是□否

信息安全工作规划或实施方案

1-4是否制定本行业、本部门信息安全等级保护行业标准规范并□是□否

组织实施

二、信息系统安全等级保护定级备案情况

2-1是否有未定级、备案信息系统(如有了解其情况),第一级□是□否

信息系统定级是否准确

2-2现场查看备案的信息系统,核对备案材料。备案单位提交的□是□否

备案材料与实际情况是否相符合

2-3是否补充提交《信息系统安全等级保护备案登记表》表四中□是□否

有关备案材料

2-4信息系统所承载的业务、服务范围、安全需求等是否发生变□是□否

化,信息系统安全保护等级是否变更

2-5新建信息系统是否在规划、设计阶段确定安全保护等级并备□是□否

三、信息安全设施建设情况和信息安全整改情况

3-1是否部署和组织开展信息安全建设整改工作

3-2是否制定信息安全建设规划、信息系统安全整改方案

□是□否

□是□否

3-3是否按照国家标准或行业标准建设安全设施,落实安全措施□是□否

四、信息安全管理制度建立和落实情况

4-1是否建立基本安全管理制度,包括机房安全管理、网络安全□是□否

管理、系统运行维护管理、系统安全风险管理、资产和设备

管理、数据及信息安全管理、用户管理、备份与恢复、密码

管理等制度

4-2是否建立安全责任制,系统管理员、网络管理员、安全管理□是□否

员、安全审计员是否与本单位签订信息安全责任书

4-3是否建立安全审计管理制度、岗位和人员管理制度□是□否

4-4是否建立技术测评管理制度,信息安全产品采购、使用管理□是□否

制度

4-5是否建立安全事件报告和处置管理制度,制定信息系统安全□是□否

应急处置预案,定期组织开展应急处置演练

4-6是否建立教育培训制度,是否定期开展信息安全知识和技能□是□否

培训

五、信息安全产品选择和使用情况

5-1是否按照《管理办法》要求的条件选择使用信息安全产品□是□否

5-2是否要求产品研制、生产单位提供相关材料。包括营业执照,□是□否

产品的版权或专利证书,提供的声明、证明材料,计算机信

息系统安全专用产品销售许可证等

5-3采用国外信息安全产品的,是否经主管部门批准,并请有关□是□否

单位对产品进行专门技术检测

六、聘请测评机构开展技术测评工作情况

6-1是否按照《管理办法》的要求部署开展技术测评工作。对第□是□否

三级信息系统每年开展一次技术测评,对第四级信息系统每

半年开展一次技术测评

6-2是否按照《管理办法》规定的条件选择技术测评机构□是□否

6-3是否要求技术测评机构提供相关材料。包括营业执照、声明、□是□否

证明及资质材料等

6-4是否与测评机构签订保密协议

6-5是否要求测评机构制定技术检测方案

6-6是否对技术检测过程进行监督,采取了哪些监督措施

□是□否

□是□否

□是□否

6-7是否出具技术检测报告,检测报告是否规范、完整,检查结□是□否

果是否客观、公正

6-8是否根据技术检测结果,对不符合安全标准要求的,进一步□是□否

进行安全整改

七、定期自查情况

7-1是否定期对信息系统安全状况、安全保护制度及安全技术措□是□否

施的落实情况进行自查。第三级信息系统是否每年进行一次

自查,第四级信息系统是否每半年进行一次自查

7-2经自查,信息系统安全状况未达到安全保护等级要求的,运□是□否

营、使用单位是否进一步进行安全建设整改

情况说明

此记录由公安机关存档

(公安机关印章)

年月日

被检查单位主管人员(签名)

附件3

(此处印制公安机关名称)

信息系统安全等级保护限期整改通知书

X公信安限字[]第号

根据《中华人民共和国计算机信息系统安全保护条例》和《信

息安全等级保护管理办法》,我单位工作人员

于年月日对你单位信息安全等级保护工作进行了监督

检查,发现存在下列违规行为(□1有关信息系统安全保护状况不

符合国家信息安全等级保护管理规范和技术标准的要求;□2未按

照《信息安全等级保护管理办法》开展有关工作;□3不符合其他

有关信息安全规定的行为)

1.(具体的不符合行为描述,可自行添加);

2.;

根据,请你单

位于年月日前改正,并在期限届满前将整改情况函告我

单位。

在期限届满之前,你单位应当采取必要的安全保护管理和技术

措施,确保信息系统安全。

(公安机关印章)

被检查单位:年月日

一式两份,一份交被检查单位,一份附卷。

附件4

(此处印制公安机关名称)

信息安全等级保护检查情况通报书

X公信安通字[]第号

被通报单位名称

通报事由

办理单位

承办人

批准人

填发日期

存根

(此处印制公安机关名称)

信息安全等级保护检查情况通报书

X公信安通字[]第号

根据《中华人民共和国计算机信息系统安全保护条例》和《信

息安全等级保护管理办法》,我单位工作人员

于年月日对

单位信息安全等级保护工作进行了监督

检查,发现存在违规行为并发出《信息系统安全等级保护限期整改

通知书》(X公信安限字[]第号)。但在整改期限结束后,

未收到整改结果报告,我单位于年月日对其做出了

警告处罚。

鉴于你单位为其上级主管部门,建议你单位督促其按照《信息

系统安全等级保护限期整改通知书》的要求开展整改工作,并及时

反馈结果。

特此通报。

(公安机关印章)

年月日

一式两份,一份交被检查单位,一份附卷。


本文发布于:2022-08-24 23:23:26,感谢您对本站的认可!

本文链接:http://www.wtabcd.cn/falv/fa/83/85459.html

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

标签:信息 法律
留言与评论(共有 0 条评论)
   
验证码:
推荐文章
排行榜
Copyright ©2019-2022 Comsenz Inc.Powered by © 站长QQ:55-9-10-26