公安機關信息安全等級保護檢查工作是指公安機關依據有關規定����,會同主管部門對非涉密重要信息系統運營使用單位等級保護工作開展和落實情況進行檢查�,督促���、檢查其建設安全設施����、落實安全措施���、建立并落實安全管理制度����、落實安全責任����、落實責任部門和人員����。
法律依據
《中華人民共和國計算機信息系統安全保護條例 》
第六條 公安部主管全國計算機信息系統安全保護工作���。
國家安全部����、國家保密局和國務院其他有關部門�,在國務院規定的職責范圍內做好計算機信息系統安全保護的有關工作�。
《網絡安全法》
第二十一條
國家實行網絡安全等級保護制度���。網絡運營者應當按照網絡安全等級保護制度的要求�,履行下列安全保護義務����,保障網絡免受干擾����、破壞或者未經授權的訪問���,防止網絡數據泄露或者被竊取�、篡改:
(一)制定內部安全管理制度和操作規程���,確定網絡安全負責人�,落實網絡安全保護責任;
(二)采取防范計算機病毒和網絡攻擊���、網絡侵入等危害網絡安全行為的技術措施;
(三)采取監測����、記錄網絡運行狀態�、網絡安全事件的技術措施���,并按照規定留存相關的網絡日志不少于六個月;
(四)采取數據分類���、重要數據備份和加密等措施;
(五)法律�、行政法規規定的其他義務�。
第三十一條
國家對公共通信和信息服務���、能源�、交通���、水利���、金融���、公共服務���、電子政務等重要行業和領域����,以及其他一旦遭到破壞�、喪失功能或者數據泄露���,可能嚴重危害國家安全����、國計民生����、公共利益的關鍵信息基礎設施�,在網絡安全等級保護制度的基礎上�,實行重點保護����。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定���。
國家鼓勵關鍵信息基礎設施以外的網絡運營者自愿參與關鍵信息基礎設施保護體系�。
網絡安全等級保護主要圍繞下面10個內容進行全面檢查:
1����、等級保護工作組織開展����、實施情況����。安全責任落實情況�,信息系統安全崗位和安全管理人員設置情況;
2����、 按照網絡安全法律法規�、標準規范的要求制定具體實施方案和落實情況;
3���、信息系統定級備案情況���,信息系統變化及定級備案變動情況;
4�、網絡安全設施建設情況和網絡安全整改情況;
5�、網絡安全管理制度建設和落實情況;
6���、網絡安全保護技術措施建設和落實情況;
7���、 選擇使用網絡安全產品情況;
8����、聘請測評機構按規范要求開展技術測評工作情況�,根據測評結果開展整改情況;
9����、 自行定期開展自查情況;
10����、 開展網絡安全知識和技能培訓情況���。
檢查項目:
(一)等級保護工作部署和組織實施情況 1.下發開展信息安全等級保護工作的文件�,出臺有關工作意 見或方案����,組織開展信息安全等級保護工作情況���。
2.建立或明確安全管理機構����,落實信息安全責任����,落實安全 管理崗位和人員�。 3.依據國家信息安全法律法規����、標準規范等要求制定具體信息安全工作規劃或實施方案���。
4.制定本行業�、本部門信息安全等級保護行業標準規范并組 織實施���。
(二)信息系統安全等級保護定級備案情況 1.了解未定級�、備案信息系統情況以及第一級信息系統有關 情況���,對定級不準的提出調整建議���。
2.現場查看備案的信息系統���,核對備案材料�,備案單位提交 的備案材料與實際情況相符合情況�。 3.補充提交《信息系統安全等級保護備案登記表》表四中有 關備案材料���。
4.信息系統所承載的業務���、服務范圍����、安全需求等發生變化 情況����,以及信息系統安全保護等級變更情況�。 5.新建信息系統在規劃����、設計階段確定安全保護等級并備案
情況���。
(三)信息安全設施建設情況和信息安全整改情況 1.部署和組織開展信息安全建設整改工作����。 2.制定信息安全建設規劃�、信息系統安全建設整改方案����。
3.按照國家標準或行業標準建設安全設施�,落實安全措施���。
(四)信息安全管理制度建立和落實情況 1.建立基本安全管理制度���,包括機房安全管理���、網絡安全管 理���、系統運行維護管理�、系統安全風險管理�、資產和設備管理���、
數據及信息安全管理�、用戶管理����、備份與恢復���、密碼管理等制度���。2.建立安全責任制����,系統管理員���、網絡管理員�、安全管理員���、 安全審計員是否與本單位簽訂信息安全責任書����。
3.建立安全審計管理制度����、崗位和人員管理制度����。 4.建立技術測評管理制度����,信息安全產品采購���、使用管理制 度���。
5.建立安全事件報告和處置管理制度���,制定信息系統安全應 急處置預案���,定期組織開展應急處置演練�。 6.建立教育培訓制度�,定期開展信息安全知識和技能培訓���。
(五)信息安全產品選擇和使用情況 1.按照《管理辦法》要求的條件選擇使用信息安全產品����。 2.要求產品研制�、生產單位提供相關材料�。包括營業執照�,
產品的版權或專利證書����,提供的聲明�、證明材料���,計算機信息系 統安全專用產品銷售許可證等����。 3.采用國外信息安全產品的����,經主管部門批準����,并請有關單
位對產品進行專門技術檢測�。
(六)聘請測評機構開展技術測評工作情況 1.按照《管理辦法》的要求部署開展技術測評工作���。對第三級信息系統每年開展一次技術測評�,對第四級信息系統每半年開 展一次技術測評�。 2.按照《管理辦法》規定的條件選擇技術測評機構���。
3.要求技術測評機構提供相關材料�。包括營業執照���、聲明���、 證明及資質材料等�。.與測評機構簽訂保密協議���。 5.要求測評機構制定技術檢測方案�。
6.對技術檢測過程進行監督����,采取了哪些監督措施����。 7.出具技術檢測報告�,檢測報告是否規范�、完整����,檢查結果 是否客觀�、公正�。
8.根據技術檢測結果����,對不符合安全標準要求的�,進一步進 行安全整改���。
(七)定期自查情況 1.定期對信息系統安全狀況����、安全保護制度及安全技術措施 的落實情況進行自查���。第三級信息系統是否每年進行一次自查���,
第四級信息系統是否每半年進行一次自查���。 2.經自查�,信息系統安全狀況未達到安全保護等級要求的����, 運營���、使用單位進一步進行安全建設整改����。
具有下列情形之一的�,應當通知其運營使用單位限期整改����,并發送《信息系統安全等級保護限期整改通知書》
����。逾期不改正的����,給予警告�,并向其上級主管部門通報:
(一) 未按照《信息安全等級保護管理辦法》 開展信息系統定級工作的;
(二) 信息系統安全保護等級定級不準確的;
(三) 未按《信息安全等級保護管理辦法》 規定備案的;
(四)備案材料與備案單位�、備案系統不符合的;
(五)未按要求及時提交《信息系統安全等級保護備案登記表》表四的有關內容的;
(六)系統發生變化����,安全保護等級未及時進行調整并重新 備案的;
(七)未按《信息安全等級保護管理辦法》 規定落實安全管理制度����、技術措施的;
(八)未按《信息安全等級保護管理辦法》 規定開展安全建設整改和安全技術 測評的;
(九)未按《信息安全等級保護管理辦法》 規定選擇使用信息安全產品和測評 機構的;
(十)未定期開展自查的;
(十一)違反《信息安全等級保護管理辦法》 其他規定的�。
聲明:本文來自臨滄網警巡查執法
百家號���,版權歸作者所有�。文章內容僅代表作者獨立觀點�,不代表本站立場���,轉載目的在于傳遞更多信息����。如有侵權�,請聯系刪除�。
等保測評咨詢
