信息安全等級保護(hù)檢查工作規(guī)范

1、 PAGE 14 PAGE 15 信息安全等級保護(hù)檢查工作規(guī)范（試行）第一條 為規(guī)范公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門開展信息安全等級保護(hù)檢查工作，根據(jù)信息安全等級保護(hù)管理辦法（以下簡稱管理辦法），制定本規(guī)范。第二條 公安機(jī)關(guān)信息安全等級保護(hù)檢查工作是指公安機(jī)關(guān)依據(jù)有關(guān)規(guī)定，會同主管部門對非涉密重要信息系統(tǒng)運(yùn)營使用單位等級保護(hù)工作開展和落實(shí)情況進(jìn)行檢查，督促、檢查其建設(shè)安全設(shè)施、落實(shí)安全措施、建立并落實(shí)安全管理制度、落實(shí)安全責(zé)任、落實(shí)責(zé)任部門和人員。第三條 信息安全等級保護(hù)檢查工作由市（地）級以上公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門負(fù)責(zé)實(shí)施。每年對第三級信息系統(tǒng)的運(yùn)營使用單位信息安全等級保護(hù)工作檢查

2、一次，每半年對第四級信息系統(tǒng)的運(yùn)營使用單位信息安全等級保護(hù)工作檢查一次。第四條 公安機(jī)關(guān)開展檢查工作，應(yīng)當(dāng)按照“嚴(yán)格依法，熱情服務(wù)”的原則，遵守檢查紀(jì)律，規(guī)范檢查程序，主動、熱情地為運(yùn) 營使用單位提供服務(wù)和指導(dǎo)。第五條 信息安全等級保護(hù)檢查工作采取詢問情況，查閱、核對材料，調(diào)看記錄、資料，現(xiàn)場查驗(yàn)等方式進(jìn)行。第六條 檢查的主要內(nèi)容：（一） 等級保護(hù)工作組織開展、實(shí)施情況。安全責(zé)任落實(shí)情況，信息系統(tǒng)安全崗位和安全管理人員設(shè)置情況；（二） 按照信息安全法律法規(guī)、標(biāo)準(zhǔn)規(guī)范的要求制定具體實(shí)施方案和落實(shí)情況；（三） 信息系統(tǒng)定級備案情況，信息系統(tǒng)變化及定級備案變動情況；（四） 信息安全設(shè)施建設(shè)情況和信息

3、安全整改情況；（五） 信息安全管理制度建設(shè)和落實(shí)情況；（六） 信息安全保護(hù)技術(shù)措施建設(shè)和落實(shí)情況；（七） 選擇使用信息安全產(chǎn)品情況；（八） 聘請測評機(jī)構(gòu)按規(guī)范要求開展技術(shù)測評工作情況，根據(jù)測評結(jié)果開展整改情況；（九） 自行定期開展自查情況；（十） 開展信息安全知識和技能培訓(xùn)情況。第七條 檢查項(xiàng)目：（一）等級保護(hù)工作部署和組織實(shí)施情況1下發(fā)開展信息安全等級保護(hù)工作的文件，出臺有關(guān)工作意見或方案，組織開展信息安全等級保護(hù)工作情況。2建立或明確安全管理機(jī)構(gòu)，落實(shí)信息安全責(zé)任，落實(shí)安全管理崗位和人員。3依據(jù)國家信息安全法律法規(guī)、標(biāo)準(zhǔn)規(guī)范等要求制定具體信息安全工作規(guī)劃或?qū)嵤┓桨浮?制定本行業(yè)、本部門信息

4、安全等級保護(hù)行業(yè)標(biāo)準(zhǔn)規(guī)范并組織實(shí)施。（二）信息系統(tǒng)安全等級保護(hù)定級備案情況1了解未定級、備案信息系統(tǒng)情況以及第一級信息系統(tǒng)有關(guān)情況，對定級不準(zhǔn)的提出調(diào)整建議。2現(xiàn)場查看備案的信息系統(tǒng)，核對備案材料，備案單位提交的備案材料與實(shí)際情況相符合情況。3補(bǔ)充提交信息系統(tǒng)安全等級保護(hù)備案登記表表四中有關(guān)備案材料。4信息系統(tǒng)所承載的業(yè)務(wù)、服務(wù)范圍、安全需求等發(fā)生變化情況，以及信息系統(tǒng)安全保護(hù)等級變更情況。5新建信息系統(tǒng)在規(guī)劃、設(shè)計(jì)階段確定安全保護(hù)等級并備案情況。（三）信息安全設(shè)施建設(shè)情況和信息安全整改情況1部署和組織開展信息安全建設(shè)整改工作。2制定信息安全建設(shè)規(guī)劃、信息系統(tǒng)安全建設(shè)整改方案。3按照國家標(biāo)準(zhǔn)或

5、行業(yè)標(biāo)準(zhǔn)建設(shè)安全設(shè)施，落實(shí)安全措施。（四）信息安全管理制度建立和落實(shí)情況1建立基本安全管理制度，包括機(jī)房安全管理、網(wǎng)絡(luò)安全管理、系統(tǒng)運(yùn)行維護(hù)管理、系統(tǒng)安全風(fēng)險(xiǎn)管理、資產(chǎn)和設(shè)備管理、數(shù)據(jù)及信息安全管理、用戶管理、備份與恢復(fù)、密碼管理等制度。2建立安全責(zé)任制，系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員、安全審計(jì)員是否與本單位簽訂信息安全責(zé)任書。3建立安全審計(jì)管理制度、崗位和人員管理制度。4建立技術(shù)測評管理制度，信息安全產(chǎn)品采購、使用管理制度。5建立安全事件報(bào)告和處置管理制度，制定信息系統(tǒng)安全應(yīng)急處置預(yù)案，定期組織開展應(yīng)急處置演練。6建立教育培訓(xùn)制度，定期開展信息安全知識和技能培訓(xùn)。（五）信息安全產(chǎn)品選擇和

6、使用情況1按照管理辦法要求的條件選擇使用信息安全產(chǎn)品。2要求產(chǎn)品研制、生產(chǎn)單位提供相關(guān)材料。包括營業(yè)執(zhí)照， 產(chǎn)品的版權(quán)或?qū)＠C書，提供的聲明、證明材料，計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證等。3采用國外信息安全產(chǎn)品的，經(jīng)主管部門批準(zhǔn)，并請有關(guān)單位對產(chǎn)品進(jìn)行專門技術(shù)檢測。（六）聘請測評機(jī)構(gòu)開展技術(shù)測評工作情況1按照管理辦法的要求部署開展技術(shù)測評工作。對第三級信息系統(tǒng)每年開展一次技術(shù)測評，對第四級信息系統(tǒng)每半年開展一次技術(shù)測評。2按照管理辦法規(guī)定的條件選擇技術(shù)測評機(jī)構(gòu)。3要求技術(shù)測評機(jī)構(gòu)提供相關(guān)材料。包括營業(yè)執(zhí)照、聲明、證明及資質(zhì)材料等。4與測評機(jī)構(gòu)簽訂保密協(xié)議。5要求測評機(jī)構(gòu)制定技術(shù)檢測方案。6

7、對技術(shù)檢測過程進(jìn)行監(jiān)督，采取了哪些監(jiān)督措施。7出具技術(shù)檢測報(bào)告，檢測報(bào)告是否規(guī)范、完整，檢查結(jié)果是否客觀、公正。8根據(jù)技術(shù)檢測結(jié)果，對不符合安全標(biāo)準(zhǔn)要求的，進(jìn)一步進(jìn)行安全整改。（七）定期自查情況1定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及安全技術(shù)措施的落實(shí)情況進(jìn)行自查。第三級信息系統(tǒng)是否每年進(jìn)行一次自查， 第四級信息系統(tǒng)是否每半年進(jìn)行一次自查。2經(jīng)自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的， 運(yùn)營、使用單位進(jìn)一步進(jìn)行安全建設(shè)整改。第八條 各級公安機(jī)關(guān)按照“誰受理備案，誰負(fù)責(zé)檢查”的原則開展檢查工作。具體要求是：對跨省或者全國聯(lián)網(wǎng)運(yùn)行、跨市或者全省聯(lián)網(wǎng)運(yùn)行等跨地域的信息系統(tǒng)，由部、省、市級公安機(jī)

8、關(guān)分別對所受理備案的信息系統(tǒng)進(jìn)行檢查。對轄區(qū)內(nèi)獨(dú)自運(yùn)行的信息系統(tǒng)，由受理備案的公安機(jī)關(guān)獨(dú)自進(jìn)行檢查。第九條 對跨省或者全國聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)進(jìn)行檢查時(shí)，需要會同其主管部門。因故無法會同的，公安機(jī)關(guān)可以自行開展檢查。第十條 公安機(jī)關(guān)開展檢查前，應(yīng)當(dāng)提前通知被檢查單位， 并發(fā)送信息安全等級保護(hù)監(jiān)督檢查通知書（見附件1）。第十一條 檢查時(shí)，檢查民警不得少于兩人，并應(yīng)當(dāng)向被檢查單位負(fù)責(zé)人或其他有關(guān)人員出示工作證件。第十二條 檢查中應(yīng)當(dāng)填寫信息系統(tǒng)安全等級保護(hù)監(jiān)督檢查記錄（以下簡稱監(jiān)督檢查記錄，見附件2）。檢查完畢后，監(jiān)督檢查記錄應(yīng)當(dāng)交被檢查單位主管人員閱后簽字；對記錄有異議或者拒絕簽名的，監(jiān)督、檢查人

9、員應(yīng)當(dāng)注明情況。監(jiān)督檢查記錄應(yīng)當(dāng)存檔備查。第十三條 檢查時(shí)，發(fā)現(xiàn)不符合信息安全等級保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求，具有下列情形之一的，應(yīng)當(dāng)通知其運(yùn)營使用單位限期整改，并發(fā)送信息系統(tǒng)安全等級保護(hù)限期整改通知書（以下簡稱整改通知，見附件3）。逾期不改正的，給予警告，并向其上級主管部門通報(bào)（通報(bào)書見附件4）：（一） 未按照管理辦法開展信息系統(tǒng)定級工作的；（二） 信息系統(tǒng)安全保護(hù)等級定級不準(zhǔn)確的；（三） 未按管理辦法規(guī)定備案的；（四）備案材料與備案單位、備案系統(tǒng)不符合的；（五）未按要求及時(shí)提交信息系統(tǒng)安全等級保護(hù)備案登記表表四的有關(guān)內(nèi)容的；（六）系統(tǒng)發(fā)生變化，安全保護(hù)等級未及時(shí)進(jìn)行調(diào)整并重新備案的；（

10、七）未按管理辦法規(guī)定落實(shí)安全管理制度、技術(shù)措施的；（八）未按管理辦法規(guī)定開展安全建設(shè)整改和安全技術(shù)測評的；（九）未按管理辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機(jī)構(gòu)的；（十）未定期開展自查的；（十一）違反管理辦法其他規(guī)定的。第十四條 檢查發(fā)現(xiàn)需要限期整改的，應(yīng)當(dāng)出具整改通知， 自檢查完畢之日起10個工作日內(nèi)送達(dá)被檢查單位。第十五條 信息系統(tǒng)運(yùn)營使用單位整改完成后，應(yīng)當(dāng)將整改情況報(bào)公安機(jī)關(guān)，公安機(jī)關(guān)應(yīng)當(dāng)對整改情況進(jìn)行檢查。第十六條 公安機(jī)關(guān)實(shí)施信息安全等級保護(hù)監(jiān)督檢查的法律文書和記錄，應(yīng)當(dāng)統(tǒng)一存檔備查。第十七條 受理備案的公安機(jī)關(guān)應(yīng)該配備必要的警力，專門負(fù)責(zé)信息安全等級保護(hù)監(jiān)督、檢查和指導(dǎo)。從事檢查工

11、作的民警應(yīng)當(dāng)經(jīng)過省級以上公安機(jī)關(guān)組織的信息安全等級保護(hù)監(jiān)督檢查崗位培訓(xùn)。第十八條 公安機(jī)關(guān)對檢查工作中涉及的國家秘密、工作秘密、商業(yè)秘密和個人隱私等應(yīng)當(dāng)予以保密。第十九條 公安機(jī)關(guān)進(jìn)行安全檢查時(shí)不得收取任何費(fèi)用。第二十條 本規(guī)范所稱“以上”包含本數(shù)（級）。第二十一條本規(guī)范自發(fā)布之日起實(shí)施。附件 1（此處印制公安機(jī)關(guān)名稱）信息安全等級保護(hù)監(jiān)督檢查通知書X 公信安 檢字號被檢查單位名稱 檢查時(shí)間 檢查地點(diǎn) 檢查單位 承 辦 人 批 準(zhǔn) 人 檢查人員 填發(fā)日期 存根（此處印制公安機(jī)關(guān)名稱）信息安全等級保護(hù)監(jiān)督檢查通知書X 公信安 檢字號 ：根據(jù)中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例和信息安全等級保

12、護(hù)管理辦法規(guī)定，我單位決定于 年 月 日至年 月 日對你單位信息安全等級保護(hù)工作落實(shí)情況進(jìn)行監(jiān)督檢查。具體包括下列事項(xiàng)：1、等級保護(hù)工作組織開展、實(shí)施情況，安全責(zé)任落實(shí)情況，信息系統(tǒng)安全崗位和安全管理人員設(shè)置情況；2、按照信息安全法律法規(guī)、標(biāo)準(zhǔn)規(guī)范制定實(shí)施方案和落實(shí)情況；3、信息系統(tǒng)定級備案情況，信息系統(tǒng)變化及定級備案變動情況；4、信息安全設(shè)施建設(shè)情況和信息安全整改情況；5、信息安全管理制度建設(shè)和落實(shí)情況；6、信息安全保護(hù)技術(shù)措施建設(shè)和落實(shí)情況；7、選擇使用信息安全產(chǎn)品情況；8、聘請測評機(jī)構(gòu)按規(guī)范要求開展技術(shù)測評工作情況，根據(jù)測評結(jié)果開展整改情況；9、自行定期開展自查情況；10、開展信息安全知

13、識和技能培訓(xùn)情況。請你單位有關(guān)人員屆時(shí)參加并做好準(zhǔn)備工作。聯(lián)系人：聯(lián)系電話：（ 公 安 機(jī) 關(guān) 印 章 ） 年月日一式兩份，一份交被通知單位，一份附卷。附件 2(此處印制公安機(jī)關(guān)名稱)信息安全等級保護(hù)監(jiān)督檢查記錄X 公信安 檢字號檢查民警（簽名） 被檢查單位（部門）名稱 檢查時(shí)間年月日檢查地點(diǎn) 被檢查單位信息安全負(fù)責(zé)人 聯(lián)系電話 被檢查單位信息安全聯(lián)系人 聯(lián)系電話 記錄人（簽名）： 被檢查單位人員（簽名）此記錄由公安機(jī)關(guān)存檔信息安全等級保護(hù)監(jiān)督檢查記錄單檢查內(nèi)容檢查結(jié)果（如否說明情況）一、等級保護(hù)工作部署和組織實(shí)施情況1-1 是否下發(fā)開展信息安全等級保護(hù)工作的文件，出臺有關(guān)工作意見或方案，了解

14、組織開展信息安全等級保護(hù)工作情況是否1-2 是否建立或明確安全管理機(jī)構(gòu)，落實(shí)信息安全責(zé)任，落實(shí)安全管理崗位和人員是否1-3 全法律法規(guī)、標(biāo)準(zhǔn)規(guī)范等要求制定具體信息安全工作規(guī)劃或?qū)嵤┓桨甘欠?-4 是否制定本行業(yè)、本部門信息安全等級保護(hù)行業(yè)標(biāo)準(zhǔn)規(guī)范并組織實(shí)施是否二、信息系統(tǒng)安全等級保護(hù)定級備案情況2-1 是否有未定級、備案信息系統(tǒng)（如有了解其情況），第一級信息系統(tǒng)定級是否準(zhǔn)確是否2-2 現(xiàn)場查看備案的信息系統(tǒng)，核對備案材料。備案單位提交的備案材料與實(shí)際情況是否相符合是否2-3 是否補(bǔ)充提交信息系統(tǒng)安全等級保護(hù)備案登記表表四中有關(guān)備案材料是否2-4 信息系統(tǒng)所承載的業(yè)務(wù)、服務(wù)范圍、安全需求等是否發(fā)

15、生變化，信息系統(tǒng)安全保護(hù)等級是否變更是否2-5 新建信息系統(tǒng)是否在規(guī)劃、設(shè)計(jì)階段確定安全保護(hù)等級并備案是否三、信息安全設(shè)施建設(shè)情況和信息安全整改情況3-1 是否部署和組織開展信息安全建設(shè)整改工作是否3-2 是否制定信息安全建設(shè)規(guī)劃、信息系統(tǒng)安全整改方案是否3-3 是否按照國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)建設(shè)安全設(shè)施，落實(shí)安全措施是否四、信息安全管理制度建立和落實(shí)情況4-1 是否建立基本安全管理制度，包括機(jī)房安全管理、網(wǎng)絡(luò)安全管理、系統(tǒng)運(yùn)行維護(hù)管理、系統(tǒng)安全風(fēng)險(xiǎn)管理、資產(chǎn)和設(shè)備管理、數(shù)據(jù)及信息安全管理、用戶管理、備份與恢復(fù)、密碼管理等制度是否4-2 是否建立安全責(zé)任制，系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員、安全

16、審計(jì)員是否與本單位簽訂信息安全責(zé)任書是否4-3 是否建立安全審計(jì)管理制度、崗位和人員管理制度是否4-4 是否建立技術(shù)測評管理制度，信息安全產(chǎn)品采購、使用管理制度是否4-5 是否建立安全事件報(bào)告和處置管理制度，制定信息系統(tǒng)安全應(yīng)急處置預(yù)案，定期組織開展應(yīng)急處置演練是否4-6 是否建立教育培訓(xùn)制度，是否定期開展信息安全知識和技能培訓(xùn)是否五、信息安全產(chǎn)品選擇和使用情況5-1 是否按照管理辦法要求的條件選擇使用信息安全產(chǎn)品是否5-2 是否要求產(chǎn)品研制、生產(chǎn)單位提供相關(guān)材料。包括營業(yè)執(zhí)照， 產(chǎn)品的版權(quán)或?qū)＠C書，提供的聲明、證明材料，計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證等是否5-3 采用國外信息安全產(chǎn)品

17、的，是否經(jīng)主管部門批準(zhǔn)，并請有關(guān)單位對產(chǎn)品進(jìn)行專門技術(shù)檢測是否六、聘請測評機(jī)構(gòu)開展技術(shù)測評工作情況6-1 是否按照管理辦法的要求部署開展技術(shù)測評工作。對第三級信息系統(tǒng)每年開展一次技術(shù)測評，對第四級信息系統(tǒng)每半年開展一次技術(shù)測評是否6-2 是否按照管理辦法規(guī)定的條件選擇技術(shù)測評機(jī)構(gòu)是否6-3 是否要求技術(shù)測評機(jī)構(gòu)提供相關(guān)材料。包括營業(yè)執(zhí)照、聲明、證明及資質(zhì)材料等是否6-4 是否與測評機(jī)構(gòu)簽訂保密協(xié)議是否6-5 是否要求測評機(jī)構(gòu)制定技術(shù)檢測方案是否6-6 是否對技術(shù)檢測過程進(jìn)行監(jiān)督，采取了哪些監(jiān)督措施是否6-7 是否出具技術(shù)檢測報(bào)告，檢測報(bào)告是否規(guī)范、完整，檢查結(jié)果是否客觀、公正是否6-8 是否根

18、據(jù)技術(shù)檢測結(jié)果，對不符合安全標(biāo)準(zhǔn)要求的，進(jìn)一步進(jìn)行安全整改是否七、定期自查情況7-1 是否定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及安全技術(shù)措施的落實(shí)情況進(jìn)行自查。第三級信息系統(tǒng)是否每年進(jìn)行一次自查，第四級信息系統(tǒng)是否每半年進(jìn)行一次自查是否7-2 經(jīng)自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的，運(yùn)營、使用單位是否進(jìn)一步進(jìn)行安全建設(shè)整改是否情況說明此記錄由公安機(jī)關(guān)存檔（公安機(jī)關(guān)印章） 年月日被檢查單位主管人員（簽名） 附件 3（此處印制公安機(jī)關(guān)名稱）信息系統(tǒng)安全等級保護(hù)限期整改通知書X 公信安 限字第號 ：根據(jù)中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例和信息 安 全 等 級 保 護(hù) 管 理 辦 法 ， 我 單 位 工 作 人 員于 年 月 日對你單位信息安全等級保護(hù)