公安机关信息安全等级保护检查工作规范.pdf
《公安机关信息安全等级保护检查工作规范.pdf》由会员分享,可在线阅读,更多相关《公安机关信息安全等级保护检查工作规范.pdf(18页珍藏版)》请在三一文库上搜索。
1、1 公安机关信息安全等级保护检查工作规范 (试行) 第一条 为规范公安机关公共信息网络安全监察部门开展 信息安全等级保护检查工作,根据信息安全等级保护管理办 法 (以下简称管理办法 ) ,制定本规范。 第二条 公安机关信息安全等级保护检查工作是指公安机 关依据有关规定,会同主管部门对非涉密重要信息系统运营使 用单位等级保护工作开展和落实情况进行检查,督促、检查其 建设安全设施、落实安全措施、建立并落实安全管理制度、落 实安全责任、落实责任部门和人员。 第三条 信息安全等级保护检查工作由市(地)级以上公 安机关公共信息网络安全监察部门负责实施。每年对第三级信 息系统的运营使用单位信息安全等级保护
2、工作检查一次,每半 年对第四级信息系统的运营使用单位信息安全等级保护工作 检查一次。 第四条 公安机关开展检查工作,应当按照“严格依法, 热情服务”的原则,遵守检查纪律,规范检查程序,主动、热 情地为运营使用单位提供服务和指导。 第五条 信息安全等级保护检查工作采取询问情况,查阅、 核对材料,调看记录、资料,现场查验等方式进行。 第六条 检查的主要内容: 2 (一) 等级保护工作组织开展、实施情况。 安全责任落实 情况,信息系统安全岗位和安全管理人员设置情况; (二) 按照信息安全法律法规、标准规范的要求制定具体 实施方案和落实情况; (三) 信息系统定级备案情况,信息系统变化及定级备案 变动
3、情况; (四) 信息安全设施建设情况和信息安全整改情况; (五) 信息安全管理制度建设和落实情况; (六) 信息安全保护技术措施建设和落实情况; (七) 选择使用信息安全产品情况; (八) 聘请测评机构按规范要求开展技术测评工作情况, 根据测评结果开展整改情况; (九) 自行定期开展自查情况; (十) 开展信息安全知识和技能培训情况。 第七条 检查项目: (一)等级保护工作部署和组织实施情况 1下发开展信息安全等级保护工作的文件,出台有关工 作意见或方案,组织开展信息安全等级保护工作情况。 2建立或明确安全管理机构,落实信息安全责任,落实 安全管理岗位和人员。 3依据国家信息安全法律法规、标准
4、规范等要求制定具 体信息安全工作规划或实施方案。 3 4制定本行业、本部门信息安全等级保护行业标准规范 并组织实施。 (二)信息系统安全等级保护定级备案情况 1了解未定级、备案信息系统情况以及第一级信息系统 有关情况,对定级不准的提出调整建议。 2现场查看备案的信息系统,核对备案材料,备案单位 提交的备案材料与实际情况相符合情况。 3补充提交信息系统安全等级保护备案登记表表四 中有关备案材料。 4信息系统所承载的业务、服务范围、安全需求等发生 变化情况,以及信息系统安全保护等级变更情况。 5新建信息系统在规划、设计阶段确定安全保护等级并 备案情况。 (三)信息安全设施建设情况和信息安全整改情况
5、 1部署和组织开展信息安全建设整改工作。 2制定信息安全建设规划、信息系统安全建设整改方案。 3按照国家标准或行业标准建设安全设施,落实安全措 施。 (四)信息安全管理制度建立和落实情况 1建立基本安全管理制度,包括机房安全管理、网络安 全管理、系统运行维护管理、系统安全风险管理、资产和设备 管理、数据及信息安全管理、用户管理、备份与恢复、密码管 4 理等制度。 2建立安全责任制,系统管理员、网络管理员、安全管 理员、安全审计员是否与本单位签订信息安全责任书。 3建立安全审计管理制度、岗位和人员管理制度。 4建立技术测评管理制度,信息安全产品采购、使用管 理制度。 5建立安全事件报告和处置管理
6、制度,制定信息系统安 全应急处置预案,定期组织开展应急处置演练。 6建立教育培训制度,定期开展信息安全知识和技能培 训。 (五)信息安全产品选择和使用情况 1按照管理办法要求的条件选择使用信息安全产品。 2要求产品研制、生产单位提供相关材料。包括营业执 照,产品的版权或专利证书,提供的声明、证明材料,计算机 信息系统安全专用产品销售许可证等。 3采用国外信息安全产品的,经主管部门批准,并请有 关单位对产品进行专门技术检测。 (六)聘请测评机构开展技术测评工作情况 1按照管理办法的要求部署开展技术测评工作。对 第三级信息系统每年开展一次技术测评,对第四级信息系统每 半年开展一次技术测评。 2按照
7、管理办法规定的条件选择技术测评机构。 5 3要求技术测评机构提供相关材料。包括营业执照、声 明、证明及资质材料等。 4与测评机构签订保密协议。 5要求测评机构制定技术检测方案。 6对技术检测过程进行监督,采取了哪些监督措施。 7出具技术检测报告,检测报告是否规范、完整,检查 结果是否客观、公正。 8根据技术检测结果,对不符合安全标准要求的,进一 步进行安全整改。 (七)定期自查情况 1定期对信息系统安全状况、安全保护制度及安全技术 措施的落实情况进行自查。第三级信息系统是否每年进行一次 自查,第四级信息系统是否每半年进行一次自查。 2经自查,信息系统安全状况未达到安全保护等级要求 的,运营、使
8、用单位进一步进行安全建设整改。 第八条 各级公安机关按照“谁受理备案,谁负责检查” 的原则开展检查工作。具体要求是: 对跨省或者全国联网运行、跨市或者全省联网运行等跨地 域的信息系统,由部、省、市级公安机关分别对所受理备案的 信息系统进行检查。 对辖区内独自运行的信息系统,由受理备案的公安机关独 自进行检查。 6 第九条 对跨省或者全国联网运行的信息系统进行检查 时,需要会同其主管部门。因故无法会同的,公安机关可以自 行开展检查。 第十条 公安机关开展检查前,应当提前通知被检查单位, 并发送信息安全等级保护监督检查通知书(见附件 1) 。 第十一条检查时,检查民警不得少于两人,并应当向被 检查
9、单位负责人或其他有关人员出示工作证件。 第十二条检查中应当填写信息系统安全等级保护监督 检查记录(以下简称监督检查记录,见附件 2) 。检查完毕 后, 监督检查记录应当交被检查单位主管人员阅后签字; 对记录有异议或者拒绝签名的,监督、检查人员应当注明情况。 监督检查记录应当存档备查。 第十三条检查时,发现不符合信息安全等级保护有关管 理规范和技术标准要求,具有下列情形之一的,应当通知其运 营使用单位限期整改,并发送信息系统安全等级保护限期整 改通知书(以下简称 整改通知,见附件 3) 。逾期不改正的, 给予警告,并向其上级主管部门通报(通报书见附件4) : (一) 未按照管理办法开展信息系统定
10、级工作的; (二) 信息系统安全保护等级定级不准确的; (三) 未按管理办法规定备案的; (四)备案材料与备案单位、备案系统不符合的; (五)未按要求及时提交信息系统安全等级保护备案登 7 记表表四的有关内容的; (六)系统发生变化,安全保护等级未及时进行调整并重 新备案的; (七)未按管理办法规定落实安全管理制度、技术措 施的; (八)未按管理办法规定开展安全建设整改和安全技 术测评的; (九)未按管理办法规定选择使用信息安全产品和测 评机构的; (十)未定期开展自查的; (十一)违反管理办法其他规定的。 第十四条检查发现需要限期整改的,应当出具整改通 知 ,自检查完毕之日起10个工作日内送
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 公安机关 信息 安全 等级 保护 检查 工作 规范
链接地址:https://www.31doc.com/p-5629687.html