公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。
【一】法律依据
1、《中华人民共和国计算机信息系统安全保护条例 》
第六条 公安部主管全国计算机信息系统安全保护工作。
国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
2、《网络安全法》
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
【二】网络安全等级保护主要围绕下面10个内容进行全面检查:
1、等级保护工作组织开展、实施情况。安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;
2、 按照网络安全法律法规、标准规范的要求制定具体实施方案和落实情况;
3、信息系统定级备案情况,信息系统变化及定级备案变动情况;
4、网络安全设施建设情况和网络安全整改情况;
5、网络安全管理制度建设和落实情况;
6、网络安全保护技术措施建设和落实情况;
7、 选择使用网络安全产品情况;
8、聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;
9、 自行定期开展自查情况;
10、 开展网络安全知识和技能培训情况。
【三】检查项目:
(一)等级保护工作部署和组织实施情况 1.下发开展信息安全等级保护工作的文件,出台有关工作意 见或方案,组织开展信息安全等级保护工作情况。2.建立或明确安全管理机构,落实信息安全责任,落实安全 管理岗位和人员。3.依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。4.制定本行业、本部门信息安全等级保护行业标准规范并组 织实施。
(二)信息系统安全等级保护定级备案情况 1.了解未定级、备案信息系统情况以及第一级信息系统有关 情况,对定级不准的提出调整建议。2.现场查看备案的信息系统,核对备案材料,备案单位提交 的备案材料与实际情况相符合情况。3.补充提交《信息系统安全等级保护备案登记表》表四中有 关备案材料。4.信息系统所承载的业务、服务范围、安全需求等发生变化 情况,以及信息系统安全保护等级变更情况。5.新建信息系统在规划、设计阶段确定安全保护等级并备案 情况。
(三)信息安全设施建设情况和信息安全整改情况 1.部署和组织开展信息安全建设整改工作。2.制定信息安全建设规划、信息系统安全建设整改方案。3.按照国家标准或行业标准建设安全设施,落实安全措施。
(四)信息安全管理制度建立和落实情况 1.建立基本安全管理制度,包括机房安全管理、网络安全管 理、系统运行维护管理、系统安全风险管理、资产和设备管理、 数据及信息安全管理、用户管理、备份与恢复、密码管理等制度。2.建立安全责任制,系统管理员、网络管理员、安全管理员、 安全审计员是否与本单位签订信息安全责任书。3.建立安全审计管理制度、岗位和人员管理制度。4.建立技术测评管理制度,信息安全产品采购、使用管理制 度。5.建立安全事件报告和处置管理制度,制定信息系统安全应 急处置预案,定期组织开展应急处置演练。6.建立教育培训制度,定期开展信息安全知识和技能培训。
(五)信息安全产品选择和使用情况 1.按照《管理办法》要求的条件选择使用信息安全产品。2.要求产品研制、生产单位提供相关材料。包括营业执照, 产品的版权或专利证书,提供的声明、证明材料,计算机信息系 统安全专用产品销售许可证等。3.采用国外信息安全产品的,经主管部门批准,并请有关单 位对产品进行专门技术检测。
(六)聘请测评机构开展技术测评工作情况 1.按照《管理办法》的要求部署开展技术测评工作。对第三 级信息系统每年开展一次技术测评,对第四级信息系统每半年开 展一次技术测评。2.按照《管理办法》规定的条件选择技术测评机构。3.要求技术测评机构提供相关材料。包括营业执照、声明、 证明及资质材料等。.与测评机构签订保密协议。5.要求测评机构制定技术检测方案。6.对技术检测过程进行监督,采取了哪些监督措施。7.出具技术检测报告,检测报告是否规范、完整,检查结果 是否客观、公正。8.根据技术检测结果,对不符合安全标准要求的,进一步进 行安全整改。
(七)定期自查情况 1.定期对信息系统安全状况、安全保护制度及安全技术措施 的落实情况进行自查。第三级信息系统是否每年进行一次自查, 第四级信息系统是否每半年进行一次自查。2.经自查,信息系统安全状况未达到安全保护等级要求的, 运营、使用单位进一步进行安全建设整改。
具有下列情形之一的,应当通知其运营使用单位限期整改,并发送《信息系统安全等级保护限期整改通知书》 。逾期不改正的,给予警告,并向其上级主管部门通报:
(一) 未按照《信息安全等级保护管理办法》 开展信息系统定级工作的;
(二) 信息系统安全保护等级定级不准确的;
(三) 未按《信息安全等级保护管理办法》 规定备案的;
(四)备案材料与备案单位、备案系统不符合的;
(五)未按要求及时提交《信息系统安全等级保护备案登记表》表四的有关内容的;
(六)系统发生变化,安全保护等级未及时进行调整并重新 备案的;
(七)未按《信息安全等级保护管理办法》 规定落实安全管理制度、技术措施的;
(八)未按《信息安全等级保护管理办法》 规定开展安全建设整改和安全技术 测评的;
(九)未按《信息安全等级保护管理办法》 规定选择使用信息安全产品和测评 机构的;
(十)未定期开展自查的;
(十一)违反《信息安全等级保护管理办法》 其他规定的。
如需等保测评服务,可后台私信联系。我司整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,提供等保项目的一站式服务,全面覆盖等保定级、备案、建设整改以及测评阶段,高效通过等保测评,落实网络安全等级保护工作。