前面,我們談到2007年的1360號(hào)文,從公安部初版的《信息安全等級(jí)保護(hù)政策培訓(xùn)教程》中,我們發(fā)現(xiàn)全國重要信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作完成后,公安部向中央的領(lǐng)導(dǎo)同志做了專報(bào)《關(guān)于全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作情況的報(bào)告》(公部 [2008]11號(hào)),并得到中央領(lǐng)導(dǎo)批示,我們無從得知這個(gè)專報(bào)的具體內(nèi)容,相信也是等級(jí)保護(hù)路上的一個(gè)關(guān)鍵性的文件。那么,在2008年還有一些我們能夠直接看得到的政策文件,其中有一個(gè)是規(guī)范公安機(jī)關(guān)的文件,那就是《公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范(試行)》(公信安【2008】736號(hào))。
該規(guī)范的制定依據(jù)還是《信息安全等級(jí)保護(hù)管理辦法》,其目的和作用是為規(guī)范公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門開展信息安全等級(jí)保護(hù)檢查工作。公安機(jī)關(guān)主要是對(duì)非涉密重要信息系統(tǒng)運(yùn)營使用單位等級(jí)保護(hù)工作開展和落實(shí)情況進(jìn)行檢查,督促、檢查其建設(shè)安全設(shè)施、落實(shí)安全措施、建立并落實(shí)安全管理制度、落實(shí)安全責(zé)任、落實(shí)責(zé)任部門和人員,為公安在開展等級(jí)保護(hù)檢查工作中提供了規(guī)范。
信息安全等級(jí)保護(hù)檢查工作不是任何層級(jí)的公安都參與的一項(xiàng)工作,而是由市(地)級(jí)以上公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門負(fù)責(zé)實(shí)施。每年對(duì)第三級(jí)信息系統(tǒng)的運(yùn)營使用單位信息安全等級(jí)保護(hù)工作檢查一次,每半年對(duì)第四級(jí)信息系統(tǒng)的運(yùn)營使用單位信息安全等級(jí)保護(hù)工作檢查一次。
如今,第四級(jí)等級(jí)保護(hù)對(duì)象也是每一年測評(píng)一次,那么相對(duì)應(yīng)的檢查可能也要與之匹配了。具體情況,以各地公安實(shí)際情況為準(zhǔn)。
圖片
信息安全等級(jí)保護(hù)檢查工作的方式是采取詢問情況,查閱、核對(duì)材料,調(diào)看記錄、資料,現(xiàn)場查驗(yàn)等。
檢查內(nèi)容則包括:
?。ㄒ唬┑燃?jí)保護(hù)工作組織開展、實(shí)施情況。安全責(zé)任落實(shí)情況,信息系統(tǒng)安全崗位和安全管理人員設(shè)置情況;
?。ǘ┌凑招畔踩煞ㄒ?guī)、標(biāo)準(zhǔn)規(guī)范的要求制定具體實(shí)施方案和落實(shí)情況;
?。ㄈ┬畔⑾到y(tǒng)定級(jí)備案情況,信息系統(tǒng)變化及定級(jí)備案變動(dòng)情況;
?。ㄋ模┬畔踩O(shè)施建設(shè)情況和信息安全整改情況;
(五)信息安全管理制度建設(shè)和落實(shí)情況;
?。┬畔踩Wo(hù)技術(shù)措施建設(shè)和落實(shí)情況;
?。ㄆ撸┻x擇使用信息安全產(chǎn)品情況;
?。ò耍┢刚?qǐng)測評(píng)機(jī)構(gòu)按規(guī)范要求開展技術(shù)測評(píng)工作情況,根據(jù)測評(píng)結(jié)果開展整改情況;
?。ň牛┳孕卸ㄆ陂_展自查情況;
?。ㄊ╅_展信息安全知識(shí)和技能培訓(xùn)情況。
檢查項(xiàng)目包括:(一)等級(jí)保護(hù)工作部署和組織實(shí)施情況;(二)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)備案情況;(三)信息安全設(shè)施建設(shè)情況和信息安全整改情況;(四)信息安全管理制度建立和落實(shí)情況;(五)信息安全產(chǎn)品選擇和使用情況;(六)聘請(qǐng)測評(píng)機(jī)構(gòu)開展技術(shù)測評(píng)工作情況;(七)定期自查情況;這七項(xiàng),各自對(duì)應(yīng)有詳細(xì)要求,在此試舉例(一)等級(jí)保護(hù)工作部署和組織實(shí)施情況1.下發(fā)開展信息安全等級(jí)保護(hù)工作的文件,出臺(tái)有關(guān)工作意見或方案,組織開展信息安全等級(jí)保護(hù)工作情況。2.建立或明確安全管理機(jī)構(gòu),落實(shí)信息安全責(zé)任,落實(shí)安全管理崗位和人員。3.依據(jù)國家信息安全法律法規(guī)、標(biāo)準(zhǔn)規(guī)范等要求制定具體信息安全工作規(guī)劃或?qū)嵤┓桨浮?.制定本行業(yè)、本部門信息安全等級(jí)保護(hù)行業(yè)標(biāo)準(zhǔn)規(guī)范并組織實(shí)施。
公安機(jī)關(guān)遵循的是“誰受理備案,誰負(fù)責(zé)檢查”的原則開展檢查工作,規(guī)范賦予公安可以會(huì)同其他主管部門,也可以自行開展檢查的權(quán)力等。以及在檢查過程中,公安機(jī)關(guān)發(fā)現(xiàn)不符合信息安全等級(jí)保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求,通知其運(yùn)營使用單位限期整改,并發(fā)送《信息系統(tǒng)安全等級(jí)保護(hù)限期整改通知書》等。
該規(guī)范即講明了公安機(jī)關(guān)檢查的內(nèi)容和項(xiàng)目,也明確了公安機(jī)關(guān)可以依據(jù)有關(guān)法律法規(guī)要求信息系統(tǒng)運(yùn)營使用單位及時(shí)整改,以及對(duì)拒不整改者進(jìn)行行政處罰等,還對(duì)公安人員在對(duì)我們信息系統(tǒng)運(yùn)營使用單位檢查時(shí)進(jìn)行了規(guī)范。
該規(guī)范,為公安機(jī)關(guān)開展檢查工作提供了指引,是公安機(jī)關(guān)開展檢查工作的重要抓手。同時(shí),也是明確了信息系統(tǒng)運(yùn)營使用單位臨檢前應(yīng)該注意或準(zhǔn)備有關(guān)資料和內(nèi)容。
迎檢單位也就是網(wǎng)絡(luò)運(yùn)營者則應(yīng)該明白一點(diǎn),就是在公安機(jī)關(guān)檢查過程中,迎檢材料必須是日常踏踏實(shí)實(shí)工作產(chǎn)生的真實(shí)合規(guī)材料,是一個(gè)合規(guī)要求和內(nèi)部管理制度相契合,結(jié)合自身信息系統(tǒng)環(huán)境落地產(chǎn)生的。所以,信息系統(tǒng)運(yùn)營使用單位的工作要在平時(shí)做扎實(shí),而不是臨時(shí)抱佛腳胡亂弄一通造一些所謂的“迎檢資料”,那樣對(duì)信息系統(tǒng)安全毫無益處,發(fā)生安全事件時(shí),這些造假的材料絕對(duì)幫助不了自己單位提升網(wǎng)絡(luò)安全,也不會(huì)能規(guī)避責(zé)任,最終只是竹籃打水一場空,無濟(jì)于事。
工作要扎實(shí),材料要真實(shí),用心開展工作,做名副其實(shí)的合規(guī)性工作,自然可以滿足公安機(jī)關(guān)檢查要求,又能真實(shí)提升自身信息系統(tǒng)安全,還能在工作中體現(xiàn)自身價(jià)值。只有人人都提升安全意識(shí),做好安全工作,才能帶來地區(qū)性的網(wǎng)絡(luò)安全水平的提升。所謂網(wǎng)絡(luò)安全為人民,網(wǎng)絡(luò)安全靠人民,做好網(wǎng)絡(luò)安全工作也是為人民服務(wù),我們每一個(gè)從業(yè)者又是網(wǎng)絡(luò)安全的依靠。