首页>>技术前沿>>网站/软件行业动态公安机关对网络安全等级保护检查内容及法律依据
公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
网络安全等级保护主要围绕下面10个内容进行全面检查:
1、等级保护工作组织开展、实施情况。安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;
2、 按照网络安全法律法规、标准规范的要求制定具体实施方案和落实情况;
3、信息系统定级备案情况,信息系统变化及定级备案变动情况;
4、网络安全设施建设情况和网络安全整改情况;
5、网络安全管理制度建设和落实情况;
6、网络安全保护技术措施建设和落实情况;
7、 选择使用网络安全产品情况;
8、聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;
9、 自行定期开展自查情况;
10、 开展网络安全知识和技能培训情况。
检查项目:
(一)等级保护工作部署和组织实施情况 1.下发开展信息安全等级保护工作的文件,出台有关工作意 见或方案,组织开展信息安全等级保护工作情况。 2.建立或明确安全管理机构,落实信息安全责任,落实安全 管理岗位和人员。 3.依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。 4.制定本行业、本部门信息安全等级保护行业标准规范并组 织实施。
(二)信息系统安全等级保护定级备案情况 1.了解未定级、备案信息系统情况以及第一级信息系统有关 情况,对定级不准的提出调整建议。 2.现场查看备案的信息系统,核对备案材料,备案单位提交 的备案材料与实际情况相符合情况。 3.补充提交《信息系统安全等级保护备案登记表》表四中有 关备案材料。 4.信息系统所承载的业务、服务范围、安全需求等发生变化 情况,以及信息系统安全保护等级变更情况。 5.新建信息系统在规划、设计阶段确定安全保护等级并备案 情况。
(三)信息安全设施建设情况和信息安全整改情况 1.部署和组织开展信息安全建设整改工作。 2.制定信息安全建设规划、信息系统安全建设整改方案。 3.按照国家标准或行业标准建设安全设施,落实安全措施。
(四)信息安全管理制度建立和落实情况 1.建立基本安全管理制度,包括机房安全管理、网络安全管 理、系统运行维护管理、系统安全风险管理、资产和设备管理、 数据及信息安全管理、用户管理、备份与恢复、密码管理等制度。2.建立安全责任制,系统管理员、网络管理员、安全管理员、 安全审计员是否与本单位签订信息安全责任书。 3.建立安全审计管理制度、岗位和人员管理制度。 4.建立技术测评管理制度,信息安全产品采购、使用管理制 度。 5.建立安全事件报告和处置管理制度,制定信息系统安全应 急处置预案,定期组织开展应急处置演练。 6.建立教育培训制度,定期开展信息安全知识和技能培训。
(五)信息安全产品选择和使用情况 1.按照《管理办法》要求的条件选择使用信息安全产品。 2.要求产品研制、生产单位提供相关材料。包括营业执照, 产品的版权或专利证书,提供的声明、证明材料,计算机信息系 统安全专用产品销售许可证等。 3.采用国外信息安全产品的,经主管部门批准,并请有关单 位对产品进行专门技术检测。
(六)聘请测评机构开展技术测评工作情况 1.按照《管理办法》的要求部署开展技术测评工作。对第三 级信息系统每年开展一次技术测评,对第四级信息系统每半年开 展一次技术测评。 2.按照《管理办法》规定的条件选择技术测评机构。 3.要求技术测评机构提供相关材料。包括营业执照、声明、 证明及资质材料等。.与测评机构签订保密协议。 5.要求测评机构制定技术检测方案。 6.对技术检测过程进行监督,采取了哪些监督措施。 7.出具技术检测报告,检测报告是否规范、完整,检查结果 是否客观、公正。 8.根据技术检测结果,对不符合安全标准要求的,进一步进 行安全整改。
(七)定期自查情况 1.定期对信息系统安全状况、安全保护制度及安全技术措施 的落实情况进行自查。第三级信息系统是否每年进行一次自查, 第四级信息系统是否每半年进行一次自查。 2.经自查,信息系统安全状况未达到安全保护等级要求的, 运营、使用单位进一步进行安全建设整改。
具有下列情形之一的,应当通知其运营使用单位限期整改,并发送《信息系统安全等级保护限期整改通知书》 。逾期不改正的,给予警告,并向其上级主管部门通报:
(一) 未按照《信息安全等级保护管理办法》 开展信息系统定级工作的;
(二) 信息系统安全保护等级定级不准确的;
(三) 未按《信息安全等级保护管理办法》 规定备案的;
(四)备案材料与备案单位、备案系统不符合的;
(五)未按要求及时提交《信息系统安全等级保护备案登记表》表四的有关内容的;
(六)系统发生变化,安全保护等级未及时进行调整并重新 备案的;
(七)未按《信息安全等级保护管理办法》 规定落实安全管理制度、技术措施的;
(八)未按《信息安全等级保护管理办法》 规定开展安全建设整改和安全技术 测评的;
(九)未按《信息安全等级保护管理办法》 规定选择使用信息安全产品和测评 机构的;
(十)未定期开展自查的;
(十一)违反《信息安全等级保护管理办法》 其他规定的。
【全文完】
0 ([$-顶稿人数-$])
0 ([$-踩稿人数-$])
版权声明:
1、弈聪软件网站内容中凡注明“来源:XXX(非陕西弈聪网站)”的作品,转载自其它媒体,转载目的在于传递更多信息,其中涉及的网站建设,网站优化,APP开发,微信小程序开发,大数据平台开发,区块链技术开发等软件开发技术细节并不代表本站赞同支持其观点,并不对其真实性负责。对于署名“陕西弈聪”的作品系本站版权所有,任何人转载请署名来源,否则陕西弈聪将追究其相关法律责任。
2、本站内容中未声明为“原创”的内容可能源自其它网站,但并不代表本站支持其观点,对此带来的法律纠纷及其它责任与我方无关。如果此内容侵犯了您的权益,请联系我方进行删除。
企业动态
