公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作是指公安機(jī)關(guān)依據(jù)有關(guān)規(guī)定���,會(huì)同主管部門對(duì)非涉密重要信息系統(tǒng)運(yùn)營使用單位等級(jí)保護(hù)工作開展和落實(shí)情況進(jìn)行檢查���,督促、檢查其建設(shè)安全設(shè)施���、落實(shí)安全措施�、建立并落實(shí)安全管理制度、落實(shí)安全責(zé)任�����、落實(shí)責(zé)任部門和人員����。
法律依據(jù)
《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》
第六條 公安部主管全國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作���。
國家安全部���、國家保密局和國務(wù)院其他有關(guān)部門,在國務(wù)院規(guī)定的職責(zé)范圍內(nèi)做好計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的有關(guān)工作����。
《網(wǎng)絡(luò)安全法》
第二十一條
國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求��,履行下列安全保護(hù)義務(wù)��,保障網(wǎng)絡(luò)免受干擾����、破壞或者未經(jīng)授權(quán)的訪問�����,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取�����、篡改:
(一)制定內(nèi)部安全管理制度和操作規(guī)程���,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任;
(二)采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊�����、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;
(三)采取監(jiān)測(cè)���、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)�、網(wǎng)絡(luò)安全事件的技術(shù)措施��,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月;
(四)采取數(shù)據(jù)分類��、重要數(shù)據(jù)備份和加密等措施;
(五)法律����、行政法規(guī)規(guī)定的其他義務(wù)�。
第三十一條
國家對(duì)公共通信和信息服務(wù)��、能源���、交通����、水利�����、金融�、公共服務(wù)���、電子政務(wù)等重要行業(yè)和領(lǐng)域����,以及其他一旦遭到破壞���、喪失功能或者數(shù)據(jù)泄露���,可能嚴(yán)重危害國家安全�、國計(jì)民生��、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施�,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)����。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定。
國家鼓勵(lì)關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運(yùn)營者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系�。
網(wǎng)絡(luò)安全等級(jí)保護(hù)主要圍繞下面10個(gè)內(nèi)容進(jìn)行全面檢查:
1、等級(jí)保護(hù)工作組織開展����、實(shí)施情況。安全責(zé)任落實(shí)情況���,信息系統(tǒng)安全崗位和安全管理人員設(shè)置情況;
2�����、 按照網(wǎng)絡(luò)安全法律法規(guī)�����、標(biāo)準(zhǔn)規(guī)范的要求制定具體實(shí)施方案和落實(shí)情況;
3�����、信息系統(tǒng)定級(jí)備案情況����,信息系統(tǒng)變化及定級(jí)備案變動(dòng)情況;
4、網(wǎng)絡(luò)安全設(shè)施建設(shè)情況和網(wǎng)絡(luò)安全整改情況;
5����、網(wǎng)絡(luò)安全管理制度建設(shè)和落實(shí)情況;
6、網(wǎng)絡(luò)安全保護(hù)技術(shù)措施建設(shè)和落實(shí)情況;
7�、 選擇使用網(wǎng)絡(luò)安全產(chǎn)品情況;
8��、聘請(qǐng)測(cè)評(píng)機(jī)構(gòu)按規(guī)范要求開展技術(shù)測(cè)評(píng)工作情況�����,根據(jù)測(cè)評(píng)結(jié)果開展整改情況;
9����、 自行定期開展自查情況;
10、 開展網(wǎng)絡(luò)安全知識(shí)和技能培訓(xùn)情況���。
檢查項(xiàng)目:
(一)等級(jí)保護(hù)工作部署和組織實(shí)施情況 1.下發(fā)開展信息安全等級(jí)保護(hù)工作的文件����,出臺(tái)有關(guān)工作意 見或方案,組織開展信息安全等級(jí)保護(hù)工作情況����。
2.建立或明確安全管理機(jī)構(gòu),落實(shí)信息安全責(zé)任��,落實(shí)安全 管理崗位和人員����。 3.依據(jù)國家信息安全法律法規(guī)、標(biāo)準(zhǔn)規(guī)范等要求制定具體信息安全工作規(guī)劃或?qū)嵤┓桨浮?
4.制定本行業(yè)����、本部門信息安全等級(jí)保護(hù)行業(yè)標(biāo)準(zhǔn)規(guī)范并組 織實(shí)施。
(二)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)備案情況 1.了解未定級(jí)����、備案信息系統(tǒng)情況以及第一級(jí)信息系統(tǒng)有關(guān) 情況,對(duì)定級(jí)不準(zhǔn)的提出調(diào)整建議���。
2.現(xiàn)場(chǎng)查看備案的信息系統(tǒng)�����,核對(duì)備案材料�����,備案單位提交 的備案材料與實(shí)際情況相符合情況���。 3.補(bǔ)充提交《信息系統(tǒng)安全等級(jí)保護(hù)備案登記表》表四中有 關(guān)備案材料�。
4.信息系統(tǒng)所承載的業(yè)務(wù)�����、服務(wù)范圍����、安全需求等發(fā)生變化 情況,以及信息系統(tǒng)安全保護(hù)等級(jí)變更情況��。 5.新建信息系統(tǒng)在規(guī)劃����、設(shè)計(jì)階段確定安全保護(hù)等級(jí)并備案
情況��。
(三)信息安全設(shè)施建設(shè)情況和信息安全整改情況 1.部署和組織開展信息安全建設(shè)整改工作。 2.制定信息安全建設(shè)規(guī)劃���、信息系統(tǒng)安全建設(shè)整改方案�。
3.按照國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)建設(shè)安全設(shè)施�,落實(shí)安全措施。
(四)信息安全管理制度建立和落實(shí)情況 1.建立基本安全管理制度����,包括機(jī)房安全管理、網(wǎng)絡(luò)安全管 理�、系統(tǒng)運(yùn)行維護(hù)管理、系統(tǒng)安全風(fēng)險(xiǎn)管理�、資產(chǎn)和設(shè)備管理、
數(shù)據(jù)及信息安全管理�����、用戶管理����、備份與恢復(fù)、密碼管理等制度����。2.建立安全責(zé)任制�����,系統(tǒng)管理員�、網(wǎng)絡(luò)管理員��、安全管理員���、 安全審計(jì)員是否與本單位簽訂信息安全責(zé)任書�����。
3.建立安全審計(jì)管理制度����、崗位和人員管理制度��。 4.建立技術(shù)測(cè)評(píng)管理制度���,信息安全產(chǎn)品采購�、使用管理制 度��。
5.建立安全事件報(bào)告和處置管理制度�����,制定信息系統(tǒng)安全應(yīng) 急處置預(yù)案��,定期組織開展應(yīng)急處置演練���。 6.建立教育培訓(xùn)制度���,定期開展信息安全知識(shí)和技能培訓(xùn)。
(五)信息安全產(chǎn)品選擇和使用情況 1.按照《管理辦法》要求的條件選擇使用信息安全產(chǎn)品�����。 2.要求產(chǎn)品研制����、生產(chǎn)單位提供相關(guān)材料。包括營業(yè)執(zhí)照�,
產(chǎn)品的版權(quán)或?qū)@C書,提供的聲明����、證明材料,計(jì)算機(jī)信息系 統(tǒng)安全專用產(chǎn)品銷售許可證等。 3.采用國外信息安全產(chǎn)品的����,經(jīng)主管部門批準(zhǔn),并請(qǐng)有關(guān)單
位對(duì)產(chǎn)品進(jìn)行專門技術(shù)檢測(cè)���。
(六)聘請(qǐng)測(cè)評(píng)機(jī)構(gòu)開展技術(shù)測(cè)評(píng)工作情況 1.按照《管理辦法》的要求部署開展技術(shù)測(cè)評(píng)工作���。對(duì)第三級(jí)信息系統(tǒng)每年開展一次技術(shù)測(cè)評(píng),對(duì)第四級(jí)信息系統(tǒng)每半年開 展一次技術(shù)測(cè)評(píng)�。 2.按照《管理辦法》規(guī)定的條件選擇技術(shù)測(cè)評(píng)機(jī)構(gòu)。
3.要求技術(shù)測(cè)評(píng)機(jī)構(gòu)提供相關(guān)材料����。包括營業(yè)執(zhí)照、聲明���、 證明及資質(zhì)材料等�。.與測(cè)評(píng)機(jī)構(gòu)簽訂保密協(xié)議����。 5.要求測(cè)評(píng)機(jī)構(gòu)制定技術(shù)檢測(cè)方案。
6.對(duì)技術(shù)檢測(cè)過程進(jìn)行監(jiān)督�����,采取了哪些監(jiān)督措施�����。 7.出具技術(shù)檢測(cè)報(bào)告�����,檢測(cè)報(bào)告是否規(guī)范��、完整�����,檢查結(jié)果 是否客觀�、公正。
8.根據(jù)技術(shù)檢測(cè)結(jié)果�����,對(duì)不符合安全標(biāo)準(zhǔn)要求的�����,進(jìn)一步進(jìn) 行安全整改。
(七)定期自查情況 1.定期對(duì)信息系統(tǒng)安全狀況���、安全保護(hù)制度及安全技術(shù)措施 的落實(shí)情況進(jìn)行自查����。第三級(jí)信息系統(tǒng)是否每年進(jìn)行一次自查���,
第四級(jí)信息系統(tǒng)是否每半年進(jìn)行一次自查�。 2.經(jīng)自查�����,信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的�����, 運(yùn)營���、使用單位進(jìn)一步進(jìn)行安全建設(shè)整改����。
具有下列情形之一的��,應(yīng)當(dāng)通知其運(yùn)營使用單位限期整改,并發(fā)送《信息系統(tǒng)安全等級(jí)保護(hù)限期整改通知書》
�����。逾期不改正的���,給予警告,并向其上級(jí)主管部門通報(bào):
(一) 未按照《信息安全等級(jí)保護(hù)管理辦法》 開展信息系統(tǒng)定級(jí)工作的;
(二) 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)不準(zhǔn)確的;
(三) 未按《信息安全等級(jí)保護(hù)管理辦法》 規(guī)定備案的;
(四)備案材料與備案單位����、備案系統(tǒng)不符合的;
(五)未按要求及時(shí)提交《信息系統(tǒng)安全等級(jí)保護(hù)備案登記表》表四的有關(guān)內(nèi)容的;
(六)系統(tǒng)發(fā)生變化,安全保護(hù)等級(jí)未及時(shí)進(jìn)行調(diào)整并重新 備案的;
(七)未按《信息安全等級(jí)保護(hù)管理辦法》 規(guī)定落實(shí)安全管理制度�、技術(shù)措施的;
(八)未按《信息安全等級(jí)保護(hù)管理辦法》 規(guī)定開展安全建設(shè)整改和安全技術(shù) 測(cè)評(píng)的;
(九)未按《信息安全等級(jí)保護(hù)管理辦法》 規(guī)定選擇使用信息安全產(chǎn)品和測(cè)評(píng) 機(jī)構(gòu)的;
(十)未定期開展自查的;
(十一)違反《信息安全等級(jí)保護(hù)管理辦法》 其他規(guī)定的。
聲明:本文來自臨滄網(wǎng)警巡查執(zhí)法
百家號(hào)���,版權(quán)歸作者所有����。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn)��,不代表本站立場(chǎng)����,轉(zhuǎn)載目的在于傳遞更多信息����。如有侵權(quán)�����,請(qǐng)聯(lián)系刪除��。
等保測(cè)評(píng)咨詢
