公安机关信息安全等级保护检查工作规范全文案例分析电子版

公安机关信息安全等级保护检查工作规范湖北省公安厅网监总队高级工程师杨红林公安机关信息安全等级保护检查工作规范第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作，根据《信息安全等级保护管理办法》（以下简称《管理办法》），制定本规范。职责分工：•公安机关负责信息安全等级保护工作的指导、监督、检查。•国家保密工作部门负责对涉及国家秘密的信息系统，按照党和国家有关保密规定进行保护。•国家密码管理部门负责信息安全等级保护工作中涉及密码工作的指导、监督、检查。•国务院信息化工作办公室负责信息安全等级保护工作中部门间的协调。管理办法第三条定义第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定，会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查，督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。公安机关将会同各行业主管部门如省证监会、省保监会、省银监局、电监局等联合开展工作，例如会同省通信管理局对移动、联通、铁通、网通等单位开展检查工作，充分发挥其管理职能.公安机关信息安全等级保护检查工作规范第三条信息安全等级保护检查工作由市（地）级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次，每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。按照等级保护和监督检查要求，本次将对各单位自定义为三级的信息系统进行现场检查定级,为以后每年的监督检查奠定基础;同时本次是首次开展等保检查工作，各单位自定级可能存在偏高或过低(如有的三级系统自定为二级)的问题，本次监督检查也是协助各单位准确定级的过程,对自定级不准确的信息系统要通过检查,实现正确定级.公安机关信息安全等级保护检查工作规范检查周期级别检查次数三级信息系统一年一次四级信息系统半年一次公安机关信息安全等级保护检查工作规范第四条公安机关开展检查工作，应当按照“严格依法，热情服务”的原则，遵守检查纪律，规范检查程序，主动、热情地为运营使用单位提供服务和指导。公安机关信息安全等级保护检查工作规范第五条信息安全等级保护检查工作采取询问情况，查阅、核对材料，调看记录、资料，现场查验等方式进行。公安网监部门会派出警力深入到各单位进行现场检查，这就需要各单位相关部门和领导给予高度重视和大力支持，按照等保规范和检查要求，认真作好前期自定级和检查准备工作,保证检查工作的顺利开展。在此,也对各单位表示诚挚感谢!公安机关信息安全等级保护检查工作规范第六条检查的主要内容：–（一）等级保护工作组织开展、实施情况。安全责任落实情况，信息系统安全岗位和安全管理人员设置情况；–（二）按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况；–（三）信息系统定级备案情况，信息系统变化及定级备案变动情况；公安机关信息安全等级保护检查工作规范–（四）信息安全设施建设情况和信息安全整改情况；–（五）信息安全管理制度建设和落实情况；–（六）信息安全保护技术措施建设和落实情况；–（七）选择使用信息安全产品情况；–（八）聘请测评机构按规范要求开展技术测评工作情况，根据测评结果开展整改情况；–（九）自行定期开展自查情况；–（十）开展信息安全知识和技能培训情况。公安机关信息安全等级保护检查工作规范第七条检查项目：–（一）等级保护工作部署和组织实施情况1．下发开展信息安全等级保护工作的文件，出台有关工作意见或方案，组织开展信息安全等级保护工作情况。2．建立或明确安全管理机构，落实信息安全责任，落实安全管理岗位和人员。3．依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。4．制定本行业、本部门信息安全等级保护行业标准规范并组织实施。对各单位而言,信息系统等级保护是一项极为重要的系统性工程，不是某一个部门就可以完成的，需要多个部门的合力协作，其贯彻落实必须得到单位领导的高度重视以及周密的工作部署。管理的具体内容包含：明确安全政策：学习信息安全等级保护政策,建设和完善信息系统安全制度制定安全机构图表：根据信息系统的安全等级保护构成，明确等级保护过程中易受攻击的目标和环节，制定相应的安全保护架构表。划分安全角色：将信息安全保护的各个环节和重点对象,按照安全管理制度,落实到专门的部门和人员,确保有专人对各类风险负责。明确安全责任：根据安全等级，应对信息系统进行安全授权,不同级别的人员访问系统应通过不同鉴权,以保证系统的安全。公安机关信息安全等级保护检查工作规范第七条检查项目：–（二）信息系统安全等级保护定级备案情况1．了解未定级、备案信息系统情况以及第一级信息系统有关情况，对定级不准的提出调整建议。2．现场查看备案的信息系统，核对备案材料，备案单位提交的备案材料与实际情况相符合情况。3．补充提交《信息系统安全等级保护备案登记表》表四中有关备案材料。公安机关信息安全等级保护检查工作规范4．信息系统所承载的业务、服务范围、安全需求等发生变化情况，以及信息系统安全保护等级变更情况。5．新建信息系统在规划、设计阶段确定安全保护等级并备案情况。通过监督检查，有效促进各单位定级备案工作的落实，检查人员和专家们通过实地检测对所属重要信息系统和基础信息网络的应用功能、运行状况、安全防护措施、网络拓扑状况等情况有了更深入的了解；同时也有助于各单位深入了解自身的信息系统，实现准确定级，切实贯彻作好信息系统的等级保护工作。公安机关信息安全等级保护检查工作规范第七条检查项目：–（三）信息安全设施建设情况和信息安全整改情况1．部署和组织开展信息安全建设整改工作。2．制定信息安全建设规划、信息系统安全建设整改方案。3．按照国家标准或行业标准建设安全设施，落实安全措施。对已有的信息系统，其运营使用单位根据已经确定的信息安全保护等级，按照等级保护的管理规范和技术标准，采购和使用相应等级的信息安全产品，建设安全设施，落实安全技术措施，完成系统整改。对新建、改建、扩建的信息系统应当按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。目前，公安部和国家发改委正在统一部署：今后所有电子政务信息系统的项目立项和建设，必须要通过公安部门的安全评估报告和备案，否则发改委将不予立项。此工作正在签报过程中。公安机关信息安全等级保护检查工作规范第七条检查项目：–（四）信息安全管理制度建立和落实情况1．建立基本安全管理制度，包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度。2．建立安全责任制，系统管理员、网络管理员、安全管理员、安全审计员是否与本单位签订信息安全责任书。公安机关信息安全等级保护检查工作规范3．建立安全审计管理制度、岗位和人员管理制度。4．建立技术测评管理制度，信息安全产品采购、使用管理制度。5．建立安全事件报告和处置管理制度，制定信息系统安全应急处置预案，定期组织开展应急处置演练。6．建立教育培训制度，定期开展信息安全知识和技能培训。国家信息安全等级保护制度首先是信息安全等级保护管理制度。管理制度分总制度和专项制度，构成信息安全等级保护制度体系。总制度要求各部门、各单位根据其业务的重要程度、信息系统资源的经济和社会价值级别及其面临的风险，参照国家有关信息安全等级保护标准，确定相应的安全保护等级，并合理进行建设、使用、管理。重要的专项制度包括如：系统建设、运行、使用安全等级管理和风险管理制度；系统资源安全管理制度；用户管理制度等。安全技术部分是指计算机及其安全功能构成的分安全级别的信息系统。分安全级别的安全信息系统，其安全功能和安全保护技术替人起了一定的安全管理和保护的作用，但安全信息系统也需人来支配，因此，安全管理制度建设十分重要，必须严格管理、规范管理。拥有完善的信息安全管理制度却未实现严格的执行和管理，安全管理工作未去落实，制度形同虚设，更谈不上信息系统的安全保护。各单位是否严格落实信息安全管理制度也是我们监管检查的重点。定期开展信息安全知识和技能培训是提高人员安全意识的重要手段，是真正实现信息安全的重要保障。公安机关信息安全等级保护检查工作规范第七条检查项目：–（五）信息安全产品选择和使用情况1．按照《管理办法》要求的条件选择使用信息安全产品。2．要求产品研制、生产单位提供相关材料。包括营业执照，产品的版权或专利证书，提供的声明、证明材料，计算机信息系统安全专用产品销售许可证等。3．采用国外信息安全产品的，经主管部门批准，并请有关单位对产品进行专门技术检测。信息安全等级保护产品是国家信息等级保护的基础，没有符合国家信息安全等级保护标准的系列产品,信息信息系统就无法实现安全等级保护。国家基础信息网络和重要信息系统等级保护建设与管理所需的系列信息安全等级保护产品的可靠和可控性是国家信息安全等级保护之关键。不同安全等级保护的信息系统必须由相应安全保护级别的产品构建，安全等级保护产品失控就等于国家信息系统安全失控，也等于失去了安全等级保护制度实施的基础保障。信息技术产品中的漏洞、“后门”、“远程钥匙”、“非正常功能”和各种恶意代码、指令、程序已经成为世人皆知的信息安全问题。有鉴于此，机构网站将建立整套完备的等级保护产品目录，对凡是通过国家和我省等级保护审核认证的产品予以集中公布，以便于各单位在系统建设和整改时采购明确、产品对象清晰。公安机关信息安全等级保护检查工作规范第七条检查项目：–（六）聘请测评机构开展技术测评工作情况1．按照《管理办法》的要求部署开展技术测评工作。对第三级信息系统每年开展一次技术测评，对第四级信息系统每半年开展一次技术测评。2．按照《管理办法》规定的条件选择技术测评机构。3．要求技术测评机构提供相关材料。包括营业执照、声明、证明及资质材料等。4．与测评机构签订保密协议。公安机关信息安全等级保护检查工作规范5．要求测评机构制定技术检测方案。6．对技术检测过程进行监督，采取了哪些监督措施。7．出具技术检测报告，检测报告是否规范、完整，检查结果是否客观、公正。8．根据技术检测结果，对不符合安全标准要求的，进一步进行安全整改。信息系统的运营、使用单位要根据《信息安全等级保护管理办法》的要求，选择经省公安厅登记备案的测评机构，按照《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》等相关技术标准中的管理要求和技术要求，组织开展等级测评工作。定期对信息系统安全等级状况开展等级测评。目前湖北网盾信息安全等级保护测评中心暨湖北星野科技发展有限公司是经湖北省发改委批准成立、省民政厅注册登记、省公安厅审核备案的等级测评机构，并获得省物价局的测评收费许可。各单位可自行与之联系，商洽等级测评事宜。公安机关信息安全等级保护检查工作规范第七条检查项目：–（七）定期自查情况1．定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。第三级信息系统是否每年进行一次自查，第四级信息系统是否每半年进行一次自查。2．经自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位进一步进行安全建设整改。信息系统的运营、使用单位要按照《信息安全等级保护管理办法》、《信息系统安全等级保护基本要求》等相关技术标准的基本管理要求和基本技术要求，制定《自查方案》，开展自查工作，并完成《自查报告》。对未达到相关等级安全保护要求的信息系统，要制定《整改方案》并进行安全整改。公安机关信息安全等级保护检查工作规范第八条各级公安机关按照“谁受理备案，谁负责检查”的原则开展检查工作。具体要求是：对跨省或者全国联网运行、跨市或者全省联网运行等跨地域的信息系统，由部、省、市级公安机关分别对所受理备案的信息系统进行检查。对辖区内独自运行的信息系统，由受理备案的公安机关独自进行检查。公安机关信息安全等级保护检查工作规范第九条对跨省或者全国联网运行的信息系统进行检查时，需要会同其主管部门。因故无法会同的，公安机关可以自行开展检查。公安机关信息安全等级保护检查工作