公安机关信息安全等级保护

Size: px

Start display at page:

Download "公安机关信息安全等级保护"

陨绪喻
5 years ago
Views:

1 中华人民共和国公安部关于印发公安机关信息安全等级保护检查工作规范的通知公信安 [2008]736 号各省自治区直辖市公安厅 ( 局 ) 公共信息网络安全监察总队 ( 处 ), 新疆生产建设兵团公安局公共信息网络安全监察处 : 为配合信息安全等级保护管理办法 ( 公通字 [2007]43 号 ) 的贯彻实施, 严格规范公安机关信息安全等级保护检查工作, 实现检查工作的规范化制度化, 我局制定了公安机关信息安全等级保护检查工作规范 ( 试行 ), 现印发给你们, 请认真贯彻执行二〇〇八年六月十日 1

2 抄送 : 铁道部公安局 2

3 公安机关信息安全等级保护检查工作规范 ( 试行 ) 第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作, 根据信息安全等级保护管理办法 ( 以下简称管理办法 ), 制定本规范第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定, 会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查, 督促检查其建设安全设施落实安全措施建立并落实安全管理制度落实安全责任落实责任部门和人员第三条信息安全等级保护检查工作由市 ( 地 ) 级以上公安机关公共信息网络安全监察部门负责实施每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次, 每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次第四条公安机关开展检查工作, 应当按照严格依法, 热情服务的原则, 遵守检查纪律, 规范检查程序, 主动热情地为运营使用单位提供服务和指导第五条信息安全等级保护检查工作采取询问情况, 查阅核对材料, 调看记录资料, 现场查验等方式进行 3

4 第六条检查的主要内容 : ( 一 ) 等级保护工作组织开展实施情况安全责任落实情况, 信息系统安全岗位和安全管理人员设置情况 ; ( 二 ) 按照信息安全法律法规标准规范的要求制定具体实施方案和落实情况 ; ( 三 ) 信息系统定级备案情况, 信息系统变化及定级备案变动情况 ; ( 四 ) 信息安全设施建设情况和信息安全整改情况 ; ( 五 ) 信息安全管理制度建设和落实情况 ; ( 六 ) 信息安全保护技术措施建设和落实情况 ; ( 七 ) 选择使用信息安全产品情况 ; ( 八 ) 聘请测评机构按规范要求开展技术测评工作情况, 根据测评结果开展整改情况 ; ( 九 ) 自行定期开展自查情况 ; ( 十 ) 开展信息安全知识和技能培训情况第七条检查项目 : ( 一 ) 等级保护工作部署和组织实施情况 1. 下发开展信息安全等级保护工作的文件, 出台有关工作意见或方案, 组织开展信息安全等级保护工作情况 2. 建立或明确安全管理机构, 落实信息安全责任, 落实安全管理岗位和人员 3. 依据国家信息安全法律法规标准规范等要求制定具体信 4

5 息安全工作规划或实施方案 4. 制定本行业本部门信息安全等级保护行业标准规范并组织实施 ( 二 ) 信息系统安全等级保护定级备案情况 1. 了解未定级备案信息系统情况以及第一级信息系统有关情况, 对定级不准的提出调整建议 2. 现场查看备案的信息系统, 核对备案材料, 备案单位提交的备案材料与实际情况相符合情况 3. 补充提交信息系统安全等级保护备案登记表表四中有关备案材料 4. 信息系统所承载的业务服务范围安全需求等发生变化情况, 以及信息系统安全保护等级变更情况 5. 新建信息系统在规划设计阶段确定安全保护等级并备案情况 ( 三 ) 信息安全设施建设情况和信息安全整改情况 1. 部署和组织开展信息安全建设整改工作 2. 制定信息安全建设规划信息系统安全建设整改方案 3. 按照国家标准或行业标准建设安全设施, 落实安全措施 ( 四 ) 信息安全管理制度建立和落实情况 1. 建立基本安全管理制度, 包括机房安全管理网络安全管理系统运行维护管理系统安全风险管理资产和设备管理数据及信息安全管理用户管理备份与恢复密码管理等制度 5

6 2. 建立安全责任制, 系统管理员网络管理员安全管理员安全审计员是否与本单位签订信息安全责任书 3. 建立安全审计管理制度岗位和人员管理制度 4. 建立技术测评管理制度, 信息安全产品采购使用管理制度 5. 建立安全事件报告和处置管理制度, 制定信息系统安全应急处置预案, 定期组织开展应急处置演练 6. 建立教育培训制度, 定期开展信息安全知识和技能培训 ( 五 ) 信息安全产品选择和使用情况 1. 按照管理办法要求的条件选择使用信息安全产品 2. 要求产品研制生产单位提供相关材料包括营业执照, 产品的版权或专利证书, 提供的声明证明材料, 计算机信息系统安全专用产品销售许可证等 3. 采用国外信息安全产品的, 经主管部门批准, 并请有关单位对产品进行专门技术检测 ( 六 ) 聘请测评机构开展技术测评工作情况 1. 按照管理办法的要求部署开展技术测评工作对第三级信息系统每年开展一次技术测评, 对第四级信息系统每半年开展一次技术测评 2. 按照管理办法规定的条件选择技术测评机构 3. 要求技术测评机构提供相关材料包括营业执照声明证明及资质材料等 6

7 4. 与测评机构签订保密协议 5. 要求测评机构制定技术检测方案 6. 对技术检测过程进行监督, 采取了哪些监督措施 7. 出具技术检测报告, 检测报告是否规范完整, 检查结果是否客观公正 8. 根据技术检测结果, 对不符合安全标准要求的, 进一步进行安全整改 ( 七 ) 定期自查情况 1. 定期对信息系统安全状况安全保护制度及安全技术措施的落实情况进行自查第三级信息系统是否每年进行一次自查, 第四级信息系统是否每半年进行一次自查 2. 经自查, 信息系统安全状况未达到安全保护等级要求的, 运营使用单位进一步进行安全建设整改第八条各级公安机关按照谁受理备案, 谁负责检查的原则开展检查工作具体要求是 : 对跨省或者全国联网运行跨市或者全省联网运行等跨地域的信息系统, 由部省市级公安机关分别对所受理备案的信息系统进行检查对辖区内独自运行的信息系统, 由受理备案的公安机关独自进行检查第九条对跨省或者全国联网运行的信息系统进行检查时, 需要会同其主管部门因故无法会同的, 公安机关可以自行开展检查 7

8 第十条公安机关开展检查前, 应当提前通知被检查单位, 并发送信息安全等级保护监督检查通知书 ( 见附件 1) 第十一条检查时, 检查民警不得少于两人, 并应当向被检查单位负责人或其他有关人员出示工作证件第十二条检查中应当填写信息系统安全等级保护监督检查记录 ( 以下简称监督检查记录, 见附件 2) 检查完毕后, 监督检查记录应当交被检查单位主管人员阅后签字 ; 对记录有异议或者拒绝签名的, 监督检查人员应当注明情况监督检查记录应当存档备查第十三条检查时, 发现不符合信息安全等级保护有关管理规范和技术标准要求, 具有下列情形之一的, 应当通知其运营使用单位限期整改, 并发送信息系统安全等级保护限期整改通知书 ( 以下简称整改通知, 见附件 3) 逾期不改正的, 给予警告, 并向其上级主管部门通报 ( 通报书见附件 4): ( 一 ) 未按照管理办法开展信息系统定级工作的 ; ( 二 ) 信息系统安全保护等级定级不准确的 ; ( 三 ) 未按管理办法规定备案的 ; ( 四 ) 备案材料与备案单位备案系统不符合的 ; ( 五 ) 未按要求及时提交信息系统安全等级保护备案登记表表四的有关内容的 ; ( 六 ) 系统发生变化, 安全保护等级未及时进行调整并重新备案的 ; 8

9 ( 七 ) 未按管理办法规定落实安全管理制度技术措施的 ; ( 八 ) 未按管理办法规定开展安全建设整改和安全技术测评的 ; ( 九 ) 未按管理办法规定选择使用信息安全产品和测评机构的 ; ( 十 ) 未定期开展自查的 ; ( 十一 ) 违反管理办法其他规定的第十四条检查发现需要限期整改的, 应当出具整改通知, 自检查完毕之日起 10 个工作日内送达被检查单位第十五条信息系统运营使用单位整改完成后, 应当将整改情况报公安机关, 公安机关应当对整改情况进行检查第十六条公安机关实施信息安全等级保护监督检查的法律文书和记录, 应当统一存档备查第十七条受理备案的公安机关应该配备必要的警力, 专门负责信息安全等级保护监督检查和指导从事检查工作的民警应当经过省级以上公安机关组织的信息安全等级保护监督检查岗位培训第十八条公安机关对检查工作中涉及的国家秘密工作秘密商业秘密和个人隐私等应当予以保密第十九条公安机关进行安全检查时不得收取任何费用第二十条本规范所称以上包含本数 ( 级 ) 第二十一条本规范自发布之日起实施 9

10 附件 1 ( 此处印制公安机关名称 ) 信息安全等级保护监督检查通知书 X 公信安检字 [ ] 号被检查单位名称检查时间检查地点检查单位承办人批准人检查人员填发日期存根 10

11 ( 此处印制公安机关名称 ) 信息安全等级保护监督检查通知书 X 公信安检字 [ ] 号 : 根据中华人民共和国计算机信息系统安全保护条例和信息安全等级保护管理办法规定, 我单位决定于年月日至年月日对你单位信息安全等级保护工作落实情况进行监督检查具体包括下列事项 : 1 等级保护工作组织开展实施情况, 安全责任落实情况, 信息系统安全岗位和安全管理人员设置情况 ; 2 按照信息安全法律法规标准规范制定实施方案和落实情况; 3 信息系统定级备案情况, 信息系统变化及定级备案变动情况 ; 4 信息安全设施建设情况和信息安全整改情况; 5 信息安全管理制度建设和落实情况; 6 信息安全保护技术措施建设和落实情况; 7 选择使用信息安全产品情况; 8 聘请测评机构按规范要求开展技术测评工作情况, 根据测评结果开展整改情况 ; 9 自行定期开展自查情况; 10 开展信息安全知识和技能培训情况请你单位有关人员届时参加并做好准备工作联系人 : 联系电话 : ( 公安机关印章 ) 年月日一式两份, 一份交被通知单位, 一份附卷 11

12 附件 2 ( 此处印制公安机关名称 ) 信息安全等级保护监督检查记录 X 公信安检字 [ ] 号检查民警 ( 签名 ) 被检查单位 ( 部门 ) 名称检查时间年月日检查地点被检查单位信息安全负责人联系电话被检查单位信息安全联系人联系电话记录人 ( 签名 ): 被检查单位人员 ( 签名 ) 此记录由公安机关存档 12

13 信息安全等级保护监督检查记录单检查内容检查结果 ( 如否说明情况 ) 一等级保护工作部署和组织实施情况 1-1 是否下发开展信息安全等级保护工作的文件, 出台有关工作是否意见或方案, 了解组织开展信息安全等级保护工作情况 1-2 是否建立或明确安全管理机构, 落实信息安全责任, 落实安是否全管理岗位和人员 1-3 全法律法规标准规范等要求制定具体信息安全工作规划或是否实施方案 1-4 是否制定本行业本部门信息安全等级保护行业标准规范并是否组织实施二信息系统安全等级保护定级备案情况 2-1 是否有未定级备案信息系统 ( 如有了解其情况 ), 第一级是否信息系统定级是否准确 2-2 现场查看备案的信息系统, 核对备案材料备案单位提交的是否备案材料与实际情况是否相符合 2-3 是否补充提交信息系统安全等级保护备案登记表表四中是否有关备案材料 2-4 信息系统所承载的业务服务范围安全需求等是否发生变是否化, 信息系统安全保护等级是否变更 2-5 新建信息系统是否在规划设计阶段确定安全保护等级并备是否案三信息安全设施建设情况和信息安全整改情况 3-1 是否部署和组织开展信息安全建设整改工作是否 3-2 是否制定信息安全建设规划信息系统安全整改方案是否 3-3 是否按照国家标准或行业标准建设安全设施, 落实安全措施是否四信息安全管理制度建立和落实情况 4-1 是否建立基本安全管理制度, 包括机房安全管理网络安全是否管理系统运行维护管理系统安全风险管理资产和设备管理数据及信息安全管理用户管理备份与恢复密码管理等制度 4-2 是否建立安全责任制, 系统管理员网络管理员安全管理是否员安全审计员是否与本单位签订信息安全责任书 4-3 是否建立安全审计管理制度岗位和人员管理制度是否 4-4 是否建立技术测评管理制度, 信息安全产品采购使用管理是否制度 4-5 是否建立安全事件报告和处置管理制度, 制定信息系统安全是否应急处置预案, 定期组织开展应急处置演练 4-6 是否建立教育培训制度, 是否定期开展信息安全知识和技能是否培训五信息安全产品选择和使用情况 5-1 是否按照管理办法要求的条件选择使用信息安全产品是否 13

14 5-2 是否要求产品研制生产单位提供相关材料包括营业执照, 是否产品的版权或专利证书, 提供的声明证明材料, 计算机信息系统安全专用产品销售许可证等 5-3 采用国外信息安全产品的, 是否经主管部门批准, 并请有关是否单位对产品进行专门技术检测六聘请测评机构开展技术测评工作情况 6-1 是否按照管理办法的要求部署开展技术测评工作对第是否三级信息系统每年开展一次技术测评, 对第四级信息系统每半年开展一次技术测评 6-2 是否按照管理办法规定的条件选择技术测评机构是否 6-3 是否要求技术测评机构提供相关材料包括营业执照声明是否证明及资质材料等 6-4 是否与测评机构签订保密协议是否 6-5 是否要求测评机构制定技术检测方案是否 6-6 是否对技术检测过程进行监督, 采取了哪些监督措施是否 6-7 是否出具技术检测报告, 检测报告是否规范完整, 检查结是否果是否客观公正 6-8 是否根据技术检测结果, 对不符合安全标准要求的, 进一步是否进行安全整改七定期自查情况 7-1 是否定期对信息系统安全状况安全保护制度及安全技术措是否施的落实情况进行自查第三级信息系统是否每年进行一次自查, 第四级信息系统是否每半年进行一次自查 7-2 经自查, 信息系统安全状况未达到安全保护等级要求的, 运是否营使用单位是否进一步进行安全建设整改情况说明此记录由公安机关存档 ( 公安机关印章 ) 年月日被检查单位主管人员 ( 签名 ) 14

15 附件 3 ( 此处印制公安机关名称 ) 信息系统安全等级保护限期整改通知书 X 公信安限字 [ ] 第号 : 根据中华人民共和国计算机信息系统安全保护条例和信息安全等级保护管理办法, 我单位工作人员于年月日对你单位信息安全等级保护工作进行了监督检查, 发现存在下列违规行为 ( 1 有关信息系统安全保护状况不符合国家信息安全等级保护管理规范和技术标准的要求 ; 2 未按照信息安全等级保护管理办法开展有关工作; 3 不符合其他有关信息安全规定的行为 ) 1.( 具体的不符合行为描述, 可自行添加 ); 2.; 根据, 请你单位于年月日前改正, 并在期限届满前将整改情况函告我单位在期限届满之前, 你单位应当采取必要的安全保护管理和技术措施, 确保信息系统安全 ( 公安机关印章 ) 被检查单位 : 年月日一式两份, 一份交被检查单位, 一份附卷 15

16 附件 4 ( 此处印制公安机关名称 ) 信息安全等级保护检查情况通报书 X 公信安通字 [ ] 第号被通报单位名称通报事由办理单位承办人批准人填发日期存根 16

17 ( 此处印制公安机关名称 ) 信息安全等级保护检查情况通报书 X 公信安通字 [ ] 第号 : 根据中华人民共和国计算机信息系统安全保护条例和信息安全等级保护管理办法, 我单位工作人员于年月日对单位信息安全等级保护工作进行了监督检查, 发现存在违规行为并发出信息系统安全等级保护限期整改通知书 (X 公信安限字 [ ] 第号 ) 但在整改期限结束后, 未收到整改结果报告, 我单位于年月日对其做出了警告处罚鉴于你单位为其上级主管部门, 建议你单位督促其按照信息系统安全等级保护限期整改通知书的要求开展整改工作, 并及时反馈结果特此通报 ( 公安机关印章 ) 年月日一式两份, 一份交被检查单位, 一份附卷 17

信息安全等级保护备案实施细则第一条为加强和指导信息安全等级保护备案工作, 规范备案受理审核和管理等工作, 根据信息安全等级保护管理办法制定本实施细则第二条本细则适用于非涉及国家秘密的第二级以上信息系统的备案第三条地市级以上公安机关公共信息网络安全监察部门受理本辖区内备案单位的备案隶属于

信息安全等级保护备案实施细则第一条为加强和指导信息安全等级保护备案工作, 规范备案受理审核和管理等工作, 根据信息安全等级保护管理办法制定本实施细则第二条本细则适用于非涉及国家秘密的第二级以上信息系统的备案第三条地市级以上公安机关公共信息网络安全监察部门受理本辖区内备案单位的备案隶属于中华人民共和国公安部关于印发信息安全等级保护备案实施细则的通知公信安 [2007]1360 号各省自治区直辖市公安厅 ( 局 ) 公共信息网络安全监察总队 ( 处 ), 新疆生产建设兵团公安局公共信息网络安全监察处 : 为配合信息安全等级保护管理办法 ( 公通字 [2007]43 号 ) 和关于开展全国重要信息系统安全等级保护定级工作的通知 ( 公信安 [2007]861 号 )