公安机关信息安全等级保护检查工作规范
(试行)
第一条 为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据《信息安全等级保护管理办法》(以下简称《管理办法》),制定本规范。
第二条 公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。
第三条 信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。
第四条 公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。
第五条 信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。
第六条 检查的主要内容:
1
(一) 等级保护工作组织开展、实施情况。安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;
(二) 按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;
(三) 信息系统定级备案情况,信息系统变化及定级备案变动情况;
(四) 信息安全设施建设情况和信息安全整改情况;
(五) 信息安全管理制度建设和落实情况;
(六) 信息安全保护技术措施建设和落实情况;
(七) 选择使用信息安全产品情况;
(八) 聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;
(九) 自行定期开展自查情况;
(十) 开展信息安全知识和技能培训情况。
第七条 检查项目:
(一)等级保护工作部署和组织实施情况
1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。
2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。
3.依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。
2
4.制定本行业、本部门信息安全等级保护行业标准规范并组织实施。
(二)信息系统安全等级保护定级备案情况
1.了解未定级、备案信息系统情况以及第一级信息系统有关情况,对定级不准的提出调整建议。
2.现场查看备案的信息系统,核对备案材料,备案单位提交的备案材料与实际情况相符合情况。
3.补充提交《信息系统安全等级保护备案登记表》表四中有关备案材料。
4.信息系统所承载的业务、服务范围、安全需求等发生变化情况,以及信息系统安全保护等级变更情况。
5.新建信息系统在规划、设计阶段确定安全保护等级并备案情况。
(三)信息安全设施建设情况和信息安全整改情况
1.部署和组织开展信息安全建设整改工作。
2.制定信息安全建设规划、信息系统安全建设整改方案。
3.按照国家标准或行业标准建设安全设施,落实安全措施。
(四)信息安全管理制度建立和落实情况
1.建立基本安全管理制度,包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管 3
理等制度。
2.建立安全责任制,系统管理员、网络管理员、安全管理员、安全审计员是否与本单位签订信息安全责任书。
3.建立安全审计管理制度、岗位和人员管理制度。
4.建立技术测评管理制度,信息安全产品采购、使用管理制度。
5.建立安全事件报告和处置管理制度,制定信息系统安全应急处置预案,定期组织开展应急处置演练。
6.建立教育培训制度,定期开展信息安全知识和技能培训。
(五)信息安全产品选择和使用情况
1.按照《管理办法》要求的条件选择使用信息安全产品。
2.要求产品研制、生产单位提供相关材料。包括营业执照,产品的版权或专利证书,提供的声明、证明材料,计算机信息系统安全专用产品销售许可证等。
3.采用国外信息安全产品的,经主管部门批准,并请有关单位对产品进行专门技术检测。
(六)聘请测评机构开展技术测评工作情况
1.按照《管理办法》的要求部署开展技术测评工作。对第三级信息系统每年开展一次技术测评,对第四级信息系统每半年开展一次技术测评。
2.按照《管理办法》规定的条件选择技术测评机构。 4
3.要求技术测评机构提供相关材料。包括营业执照、声明、证明及资质材料等。
4.与测评机构签订保密协议。
5.要求测评机构制定技术检测方案。
6.对技术检测过程进行监督,采取了哪些监督措施。
7.出具技术检测报告,检测报告是否规范、完整,检查结果是否客观、公正。
8.根据技术检测结果,对不符合安全标准要求的,进一步进行安全整改。
(七)定期自查情况
1.定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。第三级信息系统是否每年进行一次自查,第四级信息系统是否每半年进行一次自查。
2.经自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位进一步进行安全建设整改。
第八条 各级公安机关按照“谁受理备案,谁负责检查”的原则开展检查工作。具体要求是:
对跨省或者全国联网运行、跨市或者全省联网运行等跨地域的信息系统,由部、省、市级公安机关分别对所受理备案的信息系统进行检查。
对辖区内独自运行的信息系统,由受理备案的公安机关独自进行检查。
5
第九条 对跨省或者全国联网运行的信息系统进行检查时,需要会同其主管部门。因故无法会同的,公安机关可以自行开展检查。
第十条 公安机关开展检查前,应当提前通知被检查单位,并发送《信息安全等级保护监督检查通知书》(见附件1)。
第十一条 检查时,检查民警不得少于两人,并应当向被检查单位负责人或其他有关人员出示工作证件。
第十二条 检查中应当填写《信息系统安全等级保护监督检查记录》(以下简称《监督检查记录》,见附件2)。检查完毕后,《监督检查记录》应当交被检查单位主管人员阅后签字;对记录有异议或者拒绝签名的,监督、检查人员应当注明情况。《监督检查记录》应当存档备查。
第十三条 检查时,发现不符合信息安全等级保护有关管理规范和技术标准要求,具有下列情形之一的,应当通知其运营使用单位限期整改,并发送《信息系统安全等级保护限期整改通知书》(以下简称《整改通知》,见附件3)。逾期不改正的,给予警告,并向其上级主管部门通报(通报书见附件4):
(一) 未按照《管理办法》开展信息系统定级工作的;
(二) 信息系统安全保护等级定级不准确的;
(三) 未按《管理办法》规定备案的;
(四)备案材料与备案单位、备案系统不符合的;
(五)未按要求及时提交《信息系统安全等级保护备案登 6
记表》表四的有关内容的;
(六)系统发生变化,安全保护等级未及时进行调整并重新备案的;
(七)未按《管理办法》规定落实安全管理制度、技术措施的;
(八)未按《管理办法》规定开展安全建设整改和安全技术测评的;
(九)未按《管理办法》规定选择使用信息安全产品和测评机构的;
(十)未定期开展自查的;
(十一)违反《管理办法》其他规定的。
第十四条 检查发现需要限期整改的,应当出具《整改通知》,自检查完毕之日起10个工作日内送达被检查单位。
第十五条 信息系统运营使用单位整改完成后,应当将整改情况报公安机关,公安机关应当对整改情况进行检查。
第十六条 公安机关实施信息安全等级保护监督检查的法律文书和记录,应当统一存档备查。
第十七条 受理备案的公安机关应该配备必要的警力,专门负责信息安全等级保护监督、检查和指导。
第十八条 公安机关进行安全检查时不得收取任何费用。 第十九条 本规范所称“以上”包含本数(级)。 第二十条 本规范自发布之日起实施。
7
8
附件1
存根
9
一式两份,一份交被通知单位,一份附卷。
10
附件2
此记录由公安机关存档
11
信息安全等级保护监督检查记录单
12
此记录由公安机关存档
(公安机关印章)
年 月 日
被检查单位主管人员(签名)
13
附件
3
一式两份,一份交被检查单位,一份附卷。
14
附件4
存根
15
一式两份,一份交被检查单位,一份附卷。
16
第二篇:信息安全等级保护测评工作管理规范
信息安全等级保护测评工作管理规范
(试行)
第一条 为加强信息安全等级保护测评机构建设和管理,规范等级测评活动,保障信息安全等级保护测评工作(以下简称“等级测评工作”)的顺利开展,根据《信息安全等级保护管理办法》等有关规定,制订本规范。
第二条 本规范适用于等级测评机构和人员及其测评活动的管理。
第三条 等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。
第四条 省级以上等保办负责等级测评机构的审核和推荐工作。
公安部信息安全等级保护评估中心(以下简称“评估中心”)负责测评机构的能力评估和培训工作。
第五条 等级测评机构应当具备以下基本条件:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)产权关系明晰,注册资金100万元以上;
(四)从事信息系统检测评估相关工作两年以上,无违法记录;
(五)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(六)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人;
(七)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;
(八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(九)对国家安全、社会秩序、公共利益不构成威胁;
(十)应当具备的其他条件。
第六条 测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。
测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。不得从事下列活动:
(一)影响被测评信息系统正常运行,危害被测评信息系统安全;
(二)泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密;
(三)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告;
(四)未按规定格式出具等级测评报告;
(五)非授权占有、使用等级测评相关资料及数据文件;
(六)分包或转包等级测评项目;
(七)信息安全产品开发、销售和信息系统安全集成;
(八)限定被测评单位购买、使用其指定的信息安全产品;
(九)其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。
第七条 申请成为等级测评机构的单位(以下简称“申请单位”)应当向省级以上等保办申请。 国家信息安全等级保护工作协调小组办公室负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请。省级等保办负责受理本省(区、直辖市)申请单位提出的申请。
申请单位申请时,等保办应当告知测评机构的条件、从事的业务范围以及禁止行为等内容,使申请单位清楚了解测评机构的责任和义务。
第八条 知悉有关规定并愿意成为测评机构的申请单位,可以向省级以上等保办提出书面申请,如实填写《信息安全等级保护测评机构申请表》。
申请单位的人员应当如实填写人员基本情况表,并承诺对信息的真实性和有效性负责。
省级以上等保办对申请单位进行初审,初审通过的,应当告知申请单位到评估中心进行测评能力评估。
第九条 评估中心按照有关标准规范,在30个工作日内完成对申请单位的材料审查和现场核查工作。 测评人员参加由评估中心举办的专门培训、考试并取得评估中心颁发的《等级测评师证书》(等级测评师分为初级、中级和高级)。等级测评人员需持等级测评师证上岗。
评估中心综合评估申请单位的测评能力,测评能力评估合格的,出具评估报告。
第十条 省级以上等保办组织专家对测评能力评估合格的申请单位及其测评人员进行审核。
第十一条 通过审核的,由省级以上等保办向申请单位颁发信息安全等级保护测评机构推荐证书,并向社会公布测评机构推荐目录。
省级等保办将测评机构推荐目录报国家信息安全等级保护工作协调小组办公室,国家信息安全等级保护工作协调小组办公室汇总公布《全国信息安全等级保护测评机构推荐目录》。
第十二条 测评机构应按照公安部统一制订的《信息系统安全等级测评报告模版(试行)》格式出具测评报告,根据信息系统规模和所投入的成本,合理收取测评服务费用。
第十三条 省级以上等保办每年对所推荐的测评机构进行检查。检查时,测评机构应提交《信息安全等级保护测评机构检查表》。
第十四条 测评机构名称、法人等事项发生变化的,或者其等级测评师变动的,测评机构应在30日内到受理申请的省级以上等保办办理变更手续。
第十五条 测评机构应当严格遵循申诉、投诉及争议处理制度,妥善处理争议事件,及时采取纠正和改进措施。
第十六条 测评机构或者其测评人员违反本规范第六条规定之一或年度检查未通过的,由省级以上等保办责令其限期改正;逾期不改正的,给予警告,直至取消测评机构的推荐证书或等级测评师证书,并向社会公告;造成严重损害的,由相关部门依照有关法律、法规予以处理。
第十七条 测评机构或者测评人员违反本规范的规定,给被测评单位造成损失的,应当依法承担法律责任。
第十八条 本规范由国家信息安全等级保护工作协调小组办公室负责解释。
第十九条 本规范中省级以上含省级。
第二十条 本规范自发布之日起施行。