公安机关信息安全等级保护检查工作规范 下载本文

公安机关信息安全等级保护检查工作规范

(试行)

第一条 为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据《信息安全等级保护管理办法》(以下简称《管理办法》),制定本规范。

第二条 公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。

第三条 信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。

第四条 公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。

第五条 信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。

第六条 检查的主要内容:

1

(一) 等级保护工作组织开展、实施情况。安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;

(二) 按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;

(三) 信息系统定级备案情况,信息系统变化及定级备案变动情况;

(四) 信息安全设施建设情况和信息安全整改情况; (五) 信息安全管理制度建设和落实情况; (六) 信息安全保护技术措施建设和落实情况; (七) 选择使用信息安全产品情况;

(八) 聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;

(九) 自行定期开展自查情况;

(十) 开展信息安全知识和技能培训情况。 第七条 检查项目:

(一)等级保护工作部署和组织实施情况

1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。

2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。

3.依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。

2

4.制定本行业、本部门信息安全等级保护行业标准规范并组织实施。

(二)信息系统安全等级保护定级备案情况

1.了解未定级、备案信息系统情况以及第一级信息系统有关情况,对定级不准的提出调整建议。

2.现场查看备案的信息系统,核对备案材料,备案单位提交的备案材料与实际情况相符合情况。

3.补充提交《信息系统安全等级保护备案登记表》表四中有关备案材料。

4.信息系统所承载的业务、服务范围、安全需求等发生变化情况,以及信息系统安全保护等级变更情况。

5.新建信息系统在规划、设计阶段确定安全保护等级并备案情况。

(三)信息安全设施建设情况和信息安全整改情况 1.部署和组织开展信息安全建设整改工作。

2.制定信息安全建设规划、信息系统安全建设整改方案。 3.按照国家标准或行业标准建设安全设施,落实安全措施。

(四)信息安全管理制度建立和落实情况

1.建立基本安全管理制度,包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管

3