今日頭條
官方微信
官方抖音
資訊頻道1、工作目的
公安機關開展等級保護監(jiān)督檢查,其目的在于全面了解掌握各行業(yè)、各地區(qū)、各單位網(wǎng)絡安全等級保護定級備案、等級測評、安全建設整改等工作部署和貫徹落實情況,總結開展網(wǎng)絡安全等級保護工作的成功經(jīng)驗,查找分析工作中存在的突出問題,督促、指導各備案單位進一步落實網(wǎng)絡安全等級保護制度的各項要求,建立健全等級保護監(jiān)督檢查工作的長效機制。檢查核實信息系統(tǒng)運營使用、建設單位的等級保護工作開展和落實情況,重點督促、檢查安全設施、安全措施、安全管理制度、安全責任、責任部門和人員。
2、網(wǎng)絡安全等級保護監(jiān)督檢查內容
網(wǎng)絡安全等級保護主要圍繞下面10個內容進行全面檢查。
① 等級保護工作組織開展、實施情況。安全責任落實情況,信息系統(tǒng)安全崗位和安全管理人員設置情況;
② 按照網(wǎng)絡安全法律法規(guī)、標準規(guī)范的要求制定具體實施方案和落實情況;
③ 信息系統(tǒng)定級備案情況,信息系統(tǒng)變化及定級備案變動情況;
④ 網(wǎng)絡安全設施建設情況和網(wǎng)絡安全整改情況;
⑤ 網(wǎng)絡安全管理制度建設和落實情況;
⑥ 網(wǎng)絡安全保護技術措施建設和落實情況;
⑦ 選擇使用網(wǎng)絡安全產(chǎn)品情況;
⑧ 聘請測評機構按規(guī)范要求開展技術測評工作情況,根據(jù)測評結果開展整改情況;
⑨ 自行定期開展自查情況;
⑩ 開展網(wǎng)絡安全知識和技能培訓情況。
具體展開來講,主要項目如下。
(1)等級保護工作部署和組織實施情況
① 是否下發(fā)開展網(wǎng)絡安全等級保護工作的文件,出臺有關工作意見或方案,了解組織開展網(wǎng)絡安全等級保護工作。
② 是否建立或明確安全管理機構,落實網(wǎng)絡安全責任,落實安全管理崗位和人員。
③ 是否依據(jù)國家網(wǎng)絡安全法律法規(guī)、標準規(guī)范等要求制定具體網(wǎng)絡安全工作規(guī)劃或實施方案。
④ 是否制定本行業(yè)、本部門網(wǎng)絡安全等級保護行業(yè)標準規(guī)范并組織實施。
(2)信息系統(tǒng)安全等級保護定級備案情況
① 是否存在未定級、備案信息系統(tǒng)情況以及定級信息系統(tǒng)有關情況,定級信息系統(tǒng)是否存在定級不準。
② 現(xiàn)場查看備案的信息系統(tǒng),核對備案材料,備案單位提交的備案材料是否與實際情況相符合。
③ 是否補充提交《信息系統(tǒng)安全等級保護備案登記表》中有關備案材料。
④ 信息系統(tǒng)所承載的業(yè)務、服務范圍、安全需求等是否發(fā)生變化,以及信息系統(tǒng)安全保護等級是否變更。
⑤ 新建信息系統(tǒng)是否在規(guī)劃、設計階段確定安全保護等級并備案。
(3)網(wǎng)絡安全設施建設情況和網(wǎng)絡安全整改情況
① 是否部署和組織開展網(wǎng)絡安全建設整改工作。
② 是否制定網(wǎng)絡安全建設規(guī)劃、信息系統(tǒng)安全建設整改方案。
③ 是否按照國家標準或行業(yè)標準建設安全設施,落實安全措施。
(4)網(wǎng)絡安全管理制度建立和落實情況
① 是否建立基本安全管理制度,包括機房安全管理、網(wǎng)絡安全管理、系統(tǒng)運行維護管理、系統(tǒng)安全風險管理、資產(chǎn)和設備管理、數(shù)據(jù)及信息安全管理、用戶管理、備份與恢復、密碼管理等制度。
② 是否建立安全責任制,系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員、安全審計員是否與本單位簽訂網(wǎng)絡安全責任書。
③ 是否建立安全審計管理制度、崗位和人員管理制度。
④ 是否建立技術測評管理制度,網(wǎng)絡安全產(chǎn)品采購、使用管理制度。
⑤ 是否建立安全事件報告和處置管理制度,制定信息系統(tǒng)安全應急處置預案,定期組織開展應急處置演練。
⑥ 是否建立教育培訓制度,是否定期開展網(wǎng)絡安全知識和技能培訓。
(5)網(wǎng)絡安全產(chǎn)品選擇和使用情況
① 是否按照《網(wǎng)絡安全等級保護管理辦法》要求的條件選擇使用網(wǎng)絡安全產(chǎn)品。
② 是否要求產(chǎn)品研制、生產(chǎn)單位提供相關材料。包括營業(yè)執(zhí)照,產(chǎn)品的版權或專利證書,提供的聲明、證明材料,計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證等。
③ 采用國外網(wǎng)絡安全產(chǎn)品的,是否經(jīng)主管部門批準,并請有關單位對產(chǎn)品進行專門技術檢測。
(6)聘請測評機構開展技術測評工作情況
① 是否按照《網(wǎng)絡安全等級保護管理辦法》的要求部署開展技術測評工作。對第三級信息系統(tǒng)每年開展一次技術測評,對第四級信息系統(tǒng)每半年開展一次技術測評。
② 是否按照《網(wǎng)絡安全等級保護管理辦法》規(guī)定的條件選擇技術測評機構。
③ 是否要求技術測評機構提供相關材料。包括營業(yè)執(zhí)照、聲明、證明及資質材料等。
④ 是否與測評機構簽訂保密協(xié)議。
⑤ 是否要求測評機構制定技術檢測方案。
⑥ 是否對技術檢測過程進行監(jiān)督,采取了哪些監(jiān)督措施。
⑦ 是否出具技術檢測報告,檢測報告是否規(guī)范、完整,檢查結果是否客觀、公正。
⑧ 是否根據(jù)技術檢測結果,對不符合安全標準要求的,進一步進行安全整改。
(7)定期自查情況
① 是否定期對信息系統(tǒng)安全狀況、安全保護制度及安全技術措施的落實情況進行自查。第三級信息系統(tǒng)是否每年進行一次自查,第四級信息系統(tǒng)是否每半年進行一次自查。
② 經(jīng)自查,信息系統(tǒng)安全狀況未達到安全保護等級要求的,運營、使用單位是否進一步進行安全建設整改。
公安機關在對信息系統(tǒng)檢查時,下發(fā)《網(wǎng)絡安全等級保護監(jiān)督檢查通知書》和《網(wǎng)絡安全等級保護監(jiān)督檢查記錄》,就上述檢查內容進行告知。
3、檢查方式和檢查要求
① 公安機關開展檢查工作,應當按照“嚴格依法,熱情服務”的原則,遵守檢查紀律,規(guī)范檢查程序,主動、熱情地為運營使用單位提供服務和指導。
② 檢查工作采取詢問情況,查閱、核對材料,調看記錄、資料,現(xiàn)場查驗等方式進行。
③ 每年對第三級信息系統(tǒng)的運營使用單位網(wǎng)絡安全等級保護工作檢查一次,每半年對第四級信息系統(tǒng)的運營使用單位網(wǎng)絡安全等級保護工作檢查一次。公安機關按照“誰受理備案,誰負責檢查”的原則開展檢查工作。具體要求是:對跨省或者全國聯(lián)網(wǎng)運行、跨市或者全省聯(lián)網(wǎng)運行等跨地域的信息系統(tǒng),由部、省、市級公安機關分別對所受理備案的信息系統(tǒng)進行檢查。對轄區(qū)內獨自運行的信息系統(tǒng),由受理備案的公安機關獨自進行檢查。對跨省或者全國聯(lián)網(wǎng)運行的信息系統(tǒng)進行檢查時,需要會同其主管部門。因故無法會同的,公安機關可以自行開展檢查。
④ 公安機關開展檢查前,應當提前通知被檢查單位,并發(fā)送《網(wǎng)絡安全等級保護監(jiān)督檢查通知書》。
⑤ 檢查時,檢查民警不得少于兩人,從事檢查工作的民警應當經(jīng)過省級以上公安機關組織的網(wǎng)絡安全等級保護監(jiān)督檢查崗位培訓。并應當向被檢查單位負責人或其他有關人員出示工作證件。檢查中填寫《信息系統(tǒng)安全等級保護監(jiān)督檢查記錄》。檢查完畢后,《信息系統(tǒng)安全等級保護監(jiān)督檢查記錄》應當交被檢查單位主管人員閱后簽字;對記錄有異議或者拒絕簽名的,監(jiān)督、檢查人員應當注明情況。《信息系統(tǒng)安全等級保護監(jiān)督檢查記錄》應當存檔備查。
⑥ 公安機關實施網(wǎng)絡安全等級保護監(jiān)督檢查的法律文書和記錄,應當統(tǒng)一存檔備查。并對檢查工作中涉及的國家秘密、工作秘密、商業(yè)秘密和個人隱私等應當予以保密。
⑦ 對備案單位重要信息系統(tǒng)發(fā)生的事件、案件及時進行調查和立案偵查,并制定單位開展應急處置工作,為備案單位提供有力支持。
⑧ 公安機關進行安全檢查時不得收取任何費用。
4、公安機關對不符合監(jiān)督檢查工作要求的處理
檢查時,發(fā)現(xiàn)不符合網(wǎng)絡安全等級保護有關管理規(guī)范和技術標準要求,具有下列情形之一的,應當通知其運營使用單位限期整改,并發(fā)送《信息系統(tǒng)安全等級保護限期整改通知書》。逾期不改正的,給予警告,并向其上級主管部門通報:
(一)未按照《網(wǎng)絡安全等級保護管理辦法》開展信息系統(tǒng)定級工作的;
(二)信息系統(tǒng)安全保護等級定級不準確的;
(三)未按《網(wǎng)絡安全等級保護管理辦法》規(guī)定備案的;
(四)備案材料與備案單位、備案系統(tǒng)不符合的;
(五)未按要求及時提交《信息系統(tǒng)安全等級保護備案登記表》的有關內容的;
(六)系統(tǒng)發(fā)生變化,安全保護等級未及時進行調整并重新備案的;
(七)未按《網(wǎng)絡安全等級保護管理辦法》規(guī)定落實安全管理制度、技術措施的;
(八)未按《網(wǎng)絡安全等級保護管理辦法》規(guī)定開展安全建設整改和安全技術測評的;
(九)未按《網(wǎng)絡安全等級保護管理辦法》規(guī)定選擇使用網(wǎng)絡安全產(chǎn)品和測評機構的;
(十)未定期開展自查的;
(十一)違反《網(wǎng)絡安全等級保護管理辦法》其他規(guī)定的。
公安機關針對檢查發(fā)現(xiàn)的問題,需要信息系統(tǒng)單位限期整改的,應當出具《整改通知》,自檢查完畢之日起 10 個工作日內送達被檢查單位。同時,信息系統(tǒng)運營使用單位整改完成后,應當將整改情況報公安機關,公安機關應當對整改情況進行檢查。
來源: 計算機與網(wǎng)絡安全
北京市公安局海淀分局備案號:11010802023656號