1、1公安机关信息安全等级保护检查工作规范(试行)第一条 为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据信息安全等级保护管理办法 (以下简称管理办法 ) ,制定本规范。第二条 公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。第三条 信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四
2、级信息系统的运营使用单位信息安全等级保护工作检查一次。第四条 公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。第五条 信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。第六条 检查的主要内容:2(一) 等级保护工作组织开展、实施情况。安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;(二) 按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;(三) 信息系统定级备案情况,信息系统变化及定级备案变动情况;(四) 信息安全设施建设情况和信息安全整改情况;(五
3、) 信息安全管理制度建设和落实情况;(六) 信息安全保护技术措施建设和落实情况;(七) 选择使用信息安全产品情况;(八) 聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;(九) 自行定期开展自查情况;(十) 开展信息安全知识和技能培训情况。第七条 检查项目:(一)等级保护工作部署和组织实施情况1下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。2建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。3依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。34制定本行业、本部门信息安全等级保护行业
4、标准规范并组织实施。(二)信息系统安全等级保护定级备案情况1了解未定级、备案信息系统情况以及第一级信息系统有关情况,对定级不准的提出调整建议。2现场查看备案的信息系统,核对备案材料,备案单位提交的备案材料与实际情况相符合情况。3补充提交信息系统安全等级保护备案登记表表四中有关备案材料。4信息系统所承载的业务、服务范围、安全需求等发生变化情况,以及信息系统安全保护等级变更情况。5新建信息系统在规划、设计阶段确定安全保护等级并备案情况。(三)信息安全设施建设情况和信息安全整改情况1部署和组织开展信息安全建设整改工作。2制定信息安全建设规划、信息系统安全建设整改方案。3按照国家标准或行业标准建设安全
5、设施,落实安全措施。(四)信息安全管理制度建立和落实情况1建立基本安全管理制度,包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设4备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度。2建立安全责任制,系统管理员、网络管理员、安全管理员、安全审计员是否与本单位签订信息安全责任书。3建立安全审计管理制度、岗位和人员管理制度。4建立技术测评管理制度,信息安全产品采购、使用管理制度。5建立安全事件报告和处置管理制度,制定信息系统安全应急处置预案,定期组织开展应急处置演练。6建立教育培训制度,定期开展信息安全知识和技能培训。(五)信息安全产品选择和使用情况1按照
6、管理办法要求的条件选择使用信息安全产品。2要求产品研制、生产单位提供相关材料。包括营业执照,产品的版权或专利证书,提供的声明、证明材料,计算机信息系统安全专用产品销售许可证等。3采用国外信息安全产品的,经主管部门批准,并请有关单位对产品进行专门技术检测。(六)聘请测评机构开展技术测评工作情况1按照管理办法的要求部署开展技术测评工作。对第三级信息系统每年开展一次技术测评,对第四级信息系统5每半年开展一次技术测评。2按照管理办法规定的条件选择技术测评机构。3要求技术测评机构提供相关材料。包括营业执照、声明、证明及资质材料等。 4与测评机构签订保密协议。5要求测评机构制定技术检测方案。6对技术检测过
7、程进行监督,采取了哪些监督措施。7出具技术检测报告,检测报告是否规范、完整,检查结果是否客观、公正。8根据技术检测结果,对不符合安全标准要求的,进一步进行安全整改。(七)定期自查情况1定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。第三级信息系统是否每年进行一次自查,第四级信息系统是否每半年进行一次自查。2经自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位进一步进行安全建设整改。第八条 各级公安机关按照“谁受理备案,谁负责检查”的原则开展检查工作。具体要求是:对跨省或者全国联网运行、跨市或者全省联网运行等跨地域的信息系统,由部、省、市级公安机关分别对所受理备
8、案的信息系统进行检查。6对辖区内独自运行的信息系统,由受理备案的公安机关独自进行检查。第九条 对跨省或者全国联网运行的信息系统进行检查时,需要会同其主管部门。因故无法会同的,公安机关可以自行开展检查。第十条 公安机关开展检查前,应当提前通知被检查单位,并发送信息安全等级保护监督检查通知书 (见附件1) 。第十一条 检查时,检查民警不得少于两人,并应当向被检查单位负责人或其他有关人员出示工作证件。第十二条 检查中应当填写信息系统安全等级保护监督检查记录 (以下简称监督检查记录 ,见附件2) 。检查完毕后, 监督检查记录应当交被检查单位主管人员阅后签字;对记录有异议或者拒绝签名的,监督、检查人员应
9、当注明情况。 监督检查记录应当存档备查。第十三条 检查时,发现不符合信息安全等级保护有关管理规范和技术标准要求,具有下列情形之一的,应当通知其运营使用单位限期整改,并发送信息系统安全等级保护限期整改通知书 (以下简称整改通知 ,见附件3) 。逾期不改正的,给予警告,并向其上级主管部门通报(通报书见附件4 ):(一) 未按照管理办法开展信息系统定级工作的;(二) 信息系统安全保护等级定级不准确的;7(三) 未按管理办法规定备案的;(四)备案材料与备案单位、备案系统不符合的;(五)未按要求及时提交信息系统安全等级保护备案登记表表四的有关内容的;(六)系统发生变化,安全保护等级未及时进行调整并重新备
10、案的; (七)未按管理办法规定落实安全管理制度、技术措施的;(八)未按管理办法规定开展安全建设整改和安全技术测评的;(九)未按管理办法规定选择使用信息安全产品和测评机构的;(十)未定期开展自查的;(十一)违反管理办法其他规定的。第十四条 检查发现需要限期整改的,应当出具整改通知 ,自检查完毕之日起10个工作日内送达被检查单位。第十五条 信息系统运营使用单位整改完成后,应当将整改情况报公安机关,公安机关应当对整改情况进行检查。第十六条 公安机关实施信息安全等级保护监督检查的法律文书和记录,应当统一存档备查。第十七条 受理备案的公安机关应该配备必要的警力,专门负责信息安全等级保护监督、检查和指导。
11、8第十八条 公安机关进行安全检查时不得收取任何费用。第十九条 本规范所称“以上”包含本数(级) 。第二十条 本规范自发布之日起实施。9存根(此处印制公安机关名称)信息安全等级保护监督检查通知书X 公信安 检字 号被检查单位名称 检查时间 检查地点 检查单位 承 办 人 批 准 人 检查人员 填发日期 附件 111(此处印制公安机关名称)信息安全等级保护监督检查通知书X 公信安 检字 号:根据中华人民共和国计算机信息系统安全保护条例和信息安全等级保护管理办法规定,我单位决定于 年 月 日至 年 月 日对你单位信息安全等级保护工作落实情况进行监督检查。具体包括下列事项: 1、等级保护工作组织开展、
12、实施情况,安全责任落实情况,信息系统安全岗位和安全管理人员设置情况; 2、按照信息安全法律法规、标准规范制定实施方案和落实情况; 3、信息系统定级备案情况,信息系统变化及定级备案变动情况; 4、信息安全设施建设情况和信息安全整改情况; 5、信息安全管理制度建设和落实情况; 6、信息安全保护技术措施建设和落实情况; 7、选择使用信息安全产品情况; 8、聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况; 9、自行定期开展自查情况; 10、开展信息安全知识和技能培训情况。请你单位有关人员届时参加并做好准备工作。联系人: 联系电话: (公安机关印章) 12一式两份,一份交被通知单位
13、,一份附卷。年 月 日 13(此处印制公安机关名称)信息安全等级保护监督检查记录X 公信安 检字 号检查民警(签名) 被检查单位(部门)名称 检查时间 年 月 日 检查地点 被检查单位信息安全负责人 联系电话 被检查单位信息安全联系人 联系电话 记录人(签名): 被检查单位人员(签名) 此记录由公安机关存档附件 214信息安全等级保护监督检查记录单检查内容 检查结果( 如 否 说 明 情 况)一、等级保护工作部署和组织实施情况1-1 是否下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,了解组织开展信息安全等级保护工作情况是 否1-2 是否建立或明确安全管理机构,落实信息安全责任,落
14、实安全管理岗位和人员是 否1-3 是否依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案是 否1-4 是否制定本行业、本部门信息安全等级保护行业标准规范并组织实施是 否二、信息系统安全等级保护定级备案情况2-1 是否有未定级、备案信息系统(如有了解其情况),第一级信息系统定级是否准确是 否2-2 现场查看备案的信息系统,核对备案材料。备案单位提交的备案材料与实际情况是否相符合是 否2-3 是否补充提交信息系统安全等级保护备案登记表表四中有关备案材料是 否2-4 信息系统所承载的业务、服务范围、安全需求等是否发生变化,信息系统安全保护等级是否变更是 否2-5 新建信息系统
15、是否在规划、设计阶段确定安全保护等级并备案是 否三、信息安全设施建设情况和信息安全整改情况153-1 是否部署和组织开展信息安全建设整改工作 是 否3-2 是否制定信息安全建设规划、信息系统安全整改方案 是 否3-3 是否按照国家标准或行业标准建设安全设施,落实安全措施是 否四、信息安全管理制度建立和落实情况4-1 是否建立基本安全管理制度,包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度是 否4-2 是否建立安全责任制,系统管理员、网络管理员、安全管理员、安全审计员是否与本单位签订信息安全责任书是 否
16、4-3 是否建立安全审计管理制度、岗位和人员管理制度 是 否4-4 是否建立技术测评管理制度,信息安全产品采购、使用管理制度是 否4-5 是否建立安全事件报告和处置管理制度,制定信息系统安全应急处置预案,定期组织开展应急处置演练是 否4-6 是否建立教育培训制度,是否定期开展信息安全知识和技能培训是 否五、信息安全产品选择和使用情况5-1 是否按照管理办法 要求的条件选择使用信息安全产品 是 否5-2 是否要求产品研制、生产单位提供相关材料。包括营业执照,产品的版权或专利证书,提供的声明、证明材料,计算机信息系统安全专用产品销售许可证等是 否165-3 采用国外信息安全产品的,是否经主管部门批
17、准,并请有关单位对产品进行专门技术检测是 否六、聘请测评机构开展技术测评工作情况6-1 是否按照管理办法 的要求部署开展技术测评工作。对第三级信息系统每年开展一次技术测评,对第四级信息系统每半年开展一次技术测评是 否6-2 是否按照管理办法 规定的条件选择技术测评机构 是 否6-3 是否要求技术测评机构提供相关材料。包括营业执照、声明、证明及资质材料等是 否6-4 是否与测评机构签订保密协议 是 否6-5 是否要求测评机构制定技术检测方案 是 否6-6 是否对技术检测过程进行监督,采取了哪些监督措施 是 否6-7 是否出具技术检测报告,检测报告是否规范、完整,检查结果是否客观、公正是 否6-8
18、 是否根据技术检测结果,对不符合安全标准要求的,进一步进行安全整改是 否七、定期自查情况7-1 是否定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。第三级信息系统是否每年进行一次自查,第四级信息系统是否每半年进行一次自查是 否7-2 经自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位是否进一步进行安全建设整改是 否情况说明17此记录由公安机关存档(公安机关印章)年 月 日被检查单位主管人员(签名) 18(此处印制公安机关名称)信息系统安全等级保护限期整改通知书X 公信安 限字 第 号:根据中华人民共和国计算机信息系统安全保护条例和信息安全等级保护管理办法,我
19、单位工作人员 于 年 月 日对你单位信息安全等级保护工作进行了监督检查,发现存在下列违规行为(1 有关信息系统安全保护状况不符合国家信息安全等级保护管理规范和技术标准的要求;2 未按照信息安全等级保护管理办法开展有关工作;3 不符合其他有关信息安全规定的行为)1(具体的不符合行为描述,可自行添加);2;根据 ,请你单位于 年 月 日前改正,并在期限届满前将整改情况函告我单位。在期限届满之前,你单位应当采取必要的安全保护管理和技术措施,确保信息系统安全。(公安机关印章)被检查单位: 年 月 日 一式两份,一份交被检查单位,一份附卷。附件 4附件 319(此处印制公安机关名称)信息安全等级保护检查
20、情况通报书公信安 通字 第 号被通报单位名称 通报事由 办理单位 承 办 人 批 准 人 填发日期 存根20(此处印制公安机关名称)信息安全等级保护检查情况通报书公信安 通字 第 号:根据中华人民共和国计算机信息系统安全保护条例和信息安全等级保护管理办法,我单位工作人员 于 年 月 日对 单位信息安全等级保护工作进行了监督检查,发现存在违规行为并发出信息系统安全等级保护限期整改通知书(X 公信安 限字 第 号)。但在整改期限结束后,未收到整改结果报告,我单位于 年 月 日对其做出了警告处罚。鉴于你单位为其上级主管部门,建议你单位督促其按照信息系统安全等级保护限期整改通知书的要求开展整改工作,并及时反馈结果。特此通报。(公安机关印章)年 月 日一式两份,一份交被检查单位,一份附卷。 18
