《管理制度-公安机关信息安全等级保护检查工作规范 精品.ppt》由会员分享,可在线阅读,更多相关《管理制度-公安机关信息安全等级保护检查工作规范 精品.ppt(47页珍藏版)》请在第一文库网上搜索。
1、职责分工:职责分工:公安机关负责信息安全等级保护工作的指导、监督、检查。 国家保密工作部门负责对涉及国家秘密的信息系统,按照党和国家有关保密规定进行保护。国家密码管理部门负责信息安全等级保护工作中涉及密码工作的指导、监督、检查。 国务院信息化工作办公室负责信息安全等级保护工作中部门间的协调。管理办法第三条定义 公安机关将会同各行业主管部门如省证监公安机关将会同各行业主管部门如省证监会、省保监会、省银监局、电监局等联合开会、省保监会、省银监局、电监局等联合开展工作,例如会同省通信管理局对移动、联展工作,例如会同省通信管理局对移动、联通、铁通、网通等单位开展检查工作,充分通、铁通、网通等单位开展检
2、查工作,充分发挥其管理职能发挥其管理职能. 按照等级保护和监督检查要求,本次将对各单位自定义按照等级保护和监督检查要求,本次将对各单位自定义为三级的信息系统进行现场检查定级为三级的信息系统进行现场检查定级,为以后每年的监督检为以后每年的监督检查奠定基础查奠定基础; 同时本次是首次开展等保检查工作,各单位自同时本次是首次开展等保检查工作,各单位自定级可能存在偏高或过低定级可能存在偏高或过低(如有的三级系统自定为二级如有的三级系统自定为二级)的问的问题,本次监督检查也是协助各单位准确定级的过程题,本次监督检查也是协助各单位准确定级的过程,对自定对自定级不准确的信息系统要通过检查级不准确的信息系统要
3、通过检查, 实现正确定级实现正确定级. 公安网监部门会派出警力深入到公安网监部门会派出警力深入到各单位进行现场检查,这就需要各单各单位进行现场检查,这就需要各单位相关部门和领导给予高度重视和大位相关部门和领导给予高度重视和大力支持,按照等保规范和检查要求,力支持,按照等保规范和检查要求,认真作好前期自定级和检查准备工作认真作好前期自定级和检查准备工作, ,保证检查工作的顺利开展。在此保证检查工作的顺利开展。在此, ,也也对各单位表示诚挚感谢对各单位表示诚挚感谢! !(一)等级保护工作组织开展、实施情况。(一)等级保护工作组织开展、实施情况。安全责任落实情况,信息系统安全岗位和安安全责任落实情况
4、,信息系统安全岗位和安全管理人员设置情况;全管理人员设置情况;(二)按照信息安全法律法规、标准规范的(二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;要求制定具体实施方案和落实情况;(三)信息系统定级备案情况,信息系统变(三)信息系统定级备案情况,信息系统变化及定级备案变动情况;化及定级备案变动情况; (四)信息安全设施建设情况和信息安全整改情(四)信息安全设施建设情况和信息安全整改情况;况; (五)信息安全管理制度建设和落实情况;(五)信息安全管理制度建设和落实情况; (六)信息安全保护技术措施建设和落实情况;(六)信息安全保护技术措施建设和落实情况; (七)选择使用信息
5、安全产品情况;(七)选择使用信息安全产品情况; (八)聘请测评机构按规范要求开展技术测评工(八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;作情况,根据测评结果开展整改情况; (九)自行定期开展自查情况;(九)自行定期开展自查情况; (十)开展信息安全知识和技能培训情况。(十)开展信息安全知识和技能培训情况。(一)等级保护工作部署和组织实施情况(一)等级保护工作部署和组织实施情况1下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。2建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。3依据国家信息安全法律法规、
6、标准规范等要求制定具体信息安全工作规划或实施方案。4制定本行业、本部门信息安全等级保护行业标准规范并组织实施。第七条第七条 检查项目:检查项目: (二)信息系统安全等级保护定级备案情况(二)信息系统安全等级保护定级备案情况1了解未定级、备案信息系统情况以及第一级信息系统有关情况,对定级不准的提出调整建议。2现场查看备案的信息系统,核对备案材料,备案单位提交的备案材料与实际情况相符合情况。3补充提交信息系统安全等级保护备案登记表表四中有关备案材料。4信息系统所承载的业务、服务范围、安全需求等发生变化情况,以及信息系统安全保护等级变更情况。5新建信息系统在规划、设计阶段确定安全保护等级并备案情况。
7、 (三)信息安全设施建设情况和信息安全整改(三)信息安全设施建设情况和信息安全整改情况情况1部署和组织开展信息安全建设整改工作。2制定信息安全建设规划、信息系统安全建设整改方案。3按照国家标准或行业标准建设安全设施,落实安全措施。(四)信息安全管理制度建立和落实情况(四)信息安全管理制度建立和落实情况1建立基本安全管理制度,包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度。2建立安全责任制,系统管理员、网络管理员、安全管理员、安全审计员是否与本单位签订信息安全责任书。3建立安全审计管理制度、岗位和人员管
8、理制度。4建立技术测评管理制度,信息安全产品采购、使用管理制度。5建立安全事件报告和处置管理制度,制定信息系统安全应急处置预案,定期组织开展应急处置演练。6建立教育培训制度,定期开展信息安全知识和技能培训。国家信息安全等级保护制度首先是信息安全等级保护管理制度。管理制度分总制度和专项制度,构成信息安全等级保护制度体系。总制度要求各部门、各单位根据其业务的重要程度、信息系统资源的经济和社会价值级别及其面临的风险,参照国家有关信息安全等级保护标准,确定相应的安全保护等级,并合理进行建设、使用、管理。重要的专项制度包括如:系统建设、运行、使用安全等级管理和风险管理制度;系统资源安全管理制度;用户管理
9、制度等。安全技术部分是指计算机及其安全功能构成的分安全级别的信息系统。分安全级别的安全信息系统,其安全功能和安全保护技术替人起了一定的安全管理和保护的作用,但安全信息系统也需人来支配,因此,安全管理制度建设十分重要,必须严格管理、规范管理。拥有完善的信息安全管理制度却未实现严格的执行和管理,安全管理工作未去落实,制度形同虚设,更谈不上信息系统的安全保护。各单位是否严格落实信息安全管理制度也是我们监管检查的重点。定期开展信息安全知识和技能培训是提高人员安全意识的重要手段,是真正实现信息安全的重要保障。 (五)信息安全产品选择和使用情况(五)信息安全产品选择和使用情况1按照管理办法要求的条件选择使
10、用信息安全产品。2要求产品研制、生产单位提供相关材料。包括营业执照,产品的版权或专利证书,提供的声明、证明材料,计算机信息系统安全专用产品销售许可证等。3采用国外信息安全产品的,经主管部门批准,并请有关单位对产品进行专门技术检测。信息安全等级保护产品是国家信息等级保护的基础,没有符合国家信息安全等级保护标准的系列产品,信息信息系统就无法实现安全等级保护。国家基础信息网络和重要信息系统等级保护建设与管理所需的系列信息安全等级保护产品的可靠和可控性是国家信息安全等级保护之关键。有鉴于此,机构网站将建立整套完备的等级保护产品目录,对凡是通过国家和我省等级保护审核认证的产品予以集中公布,以便于各单位在
11、系统建设和整改时采购明确、产品对象清晰。第七条第七条 检查项目:检查项目: (六)聘请测评机构开展技术测评工作情况(六)聘请测评机构开展技术测评工作情况1按照管理办法的要求部署开展技术测评工作。对第三级信息系统每年开展一次技术测评,对第四级信息系统每半年开展一次技术测评。2按照管理办法规定的条件选择技术测评机构。3要求技术测评机构提供相关材料。包括营业执照、声明、证明及资质材料等。 4与测评机构签订保密协议。5要求测评机构制定技术检测方案。6对技术检测过程进行监督,采取了哪些监督措施。7出具技术检测报告,检测报告是否规范、完整,检查结果是否客观、公正。8根据技术检测结果,对不符合安全标准要求的
12、,进一步进行安全整改。湖北网盾信息安全等级保护测评中心暨湖北星野科技发展有限公司是经湖北省发改委批准成立、省民政厅注册登记、省公安厅审核备案的等级测评机构,并获得省物价局的测评收费许可。 各单位可自行与之联系,商洽等级测评事宜。 (七)定期自查情况(七)定期自查情况1定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。第三级信息系统是否每年进行一次自查,第四级信息系统是否每半年进行一次自查。2经自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位进一步进行安全建设整改。第八条第八条 各级公安机关按照各级公安机关按照“谁受理备案,谁受理备案,谁负责检查谁负责检查”的原
13、则开展检查工作。具的原则开展检查工作。具体要求是:体要求是: 对跨省或者全国联网运行、跨市或者全省联网运行等跨地域的信息系统,由部、省、市级公安机关分别对所受理备案的信息系统进行检查。 对辖区内独自运行的信息系统,由受理备案的公安机关独自进行检查。第十三条第十三条 检查时,发现不符合信息安全等级保护有关管检查时,发现不符合信息安全等级保护有关管理规范和技术标准要求,具有下列情形之一的,应当通知理规范和技术标准要求,具有下列情形之一的,应当通知其运营使用单位限期整改,并发送其运营使用单位限期整改,并发送信息系统安全等级保信息系统安全等级保护限期整改通知书护限期整改通知书(以下简称(以下简称整改通
14、知整改通知)。逾期不)。逾期不改正的,给予警告,并向其上级主管部门通报改正的,给予警告,并向其上级主管部门通报(通报书格(通报书格式):式): (一)未按照管理办法开展信息系统定级工作的;(二)信息系统安全保护等级定级不准确的; 本次定级是等保工作的首次定级,本次定级是等保工作的首次定级,是对各单位系统定级情况的一次大摸是对各单位系统定级情况的一次大摸底,是协助各单位准确定级的过程;底,是协助各单位准确定级的过程;已自定级的单位,要通过监督检查和已自定级的单位,要通过监督检查和安全技术测评,对定级过高或偏低的安全技术测评,对定级过高或偏低的系统,逐步落实准确定级;各单位必系统,逐步落实准确定级
15、;各单位必须聘请在省公安厅备案的具有测评资须聘请在省公安厅备案的具有测评资质的等级测评机构。质的等级测评机构。(三)未按(三)未按管理办法管理办法规定备案的;规定备案的;(四)备案材料与备案单位、备案系统不符合的;(四)备案材料与备案单位、备案系统不符合的;(五)未按要求及时提交(五)未按要求及时提交信息系统安全等级保护备信息系统安全等级保护备案登记表案登记表表四的有关内容的;表四的有关内容的;(六)系统发生变化,安全保护等级未及时进行调整(六)系统发生变化,安全保护等级未及时进行调整并重新备案的;并重新备案的; (七)未按(七)未按管理办法管理办法规定落实安全管理制度、技规定落实安全管理制度
16、、技术措施的;术措施的; (八)未按(八)未按管理办法管理办法规定开展安全建设整规定开展安全建设整改和安全技术测评的;改和安全技术测评的; (九)未按(九)未按管理办法管理办法规定选择使用信息安规定选择使用信息安全产品和测评机构的;全产品和测评机构的; (十)未定期开展自查的;(十)未定期开展自查的; (十一)违反(十一)违反管理办法管理办法其他规定的。其他规定的。第十四条第十四条 检查发现需要限期整改的,应当出检查发现需要限期整改的,应当出具具整改通知整改通知,自检查完毕之日起,自检查完毕之日起10个工作个工作日内送达被检查单位。日内送达被检查单位。第十五条第十五条 信息系统运营使用单位整改完成后,信息系统运营使用单位整改完成后,应当将整改情况报公安机关,公安机关应当对应当将整改情况报公安机关,公安机关应当对整改情况进行检查。整改情况进行检查。第十六条第十六条 公安机关实施信息安全等级保护监公安机关实施信息安全等级保护监督检查的法律文书和记录,应当统一存档备查。督检查的法律文书和记录,应当统一存档备查。根据国家四部委根据国家四部委关于开展全国重要系统安全等关于开展全国重要系统安全等级