《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 一起回看等級保護重要政策文件736號之等級保護檢查工作規(guī)范

一起回看等級保護重要政策文件736號之等級保護檢查工作規(guī)范

2021-09-25
來源:祺印說信安
關鍵詞: 等級保護 規(guī)范

  前面,我們談到2007年的1360號文,從公安部初版的《信息安全等級保護政策培訓教程》中,我們發(fā)現(xiàn)全國重要信息系統(tǒng)等級保護定級工作完成后,公安部向中央的領導同志做了專報《關于全國重要信息系統(tǒng)安全等級保護定級工作情況的報告》(公部 [2008]11號),并得到中央領導批示,我們無從得知這個專報的具體內容,相信也是等級保護路上的一個關鍵性的文件。那么,在2008年還有一些我們能夠直接看得到的政策文件,其中有一個是規(guī)范公安機關的文件,那就是《公安機關信息安全等級保護檢查工作規(guī)范(試行)》(公信安【2008】736號)。

  該規(guī)范的制定依據(jù)還是《信息安全等級保護管理辦法》,其目的和作用是為規(guī)范公安機關公共信息網(wǎng)絡安全監(jiān)察部門開展信息安全等級保護檢查工作。公安機關主要是對非涉密重要信息系統(tǒng)運營使用單位等級保護工作開展和落實情況進行檢查,督促、檢查其建設安全設施、落實安全措施、建立并落實安全管理制度、落實安全責任、落實責任部門和人員,為公安在開展等級保護檢查工作中提供了規(guī)范。

  信息安全等級保護檢查工作不是任何層級的公安都參與的一項工作,而是由市(地)級以上公安機關公共信息網(wǎng)絡安全監(jiān)察部門負責實施。每年對第三級信息系統(tǒng)的運營使用單位信息安全等級保護工作檢查一次,每半年對第四級信息系統(tǒng)的運營使用單位信息安全等級保護工作檢查一次。

  如今,第四級等級保護對象也是每一年測評一次,那么相對應的檢查可能也要與之匹配了。具體情況,以各地公安實際情況為準。

  圖片

  信息安全等級保護檢查工作的方式是采取詢問情況,查閱、核對材料,調看記錄、資料,現(xiàn)場查驗等。

  檢查內容則包括:

  (一)等級保護工作組織開展、實施情況。安全責任落實情況,信息系統(tǒng)安全崗位和安全管理人員設置情況;

  (二)按照信息安全法律法規(guī)、標準規(guī)范的要求制定具體實施方案和落實情況;

  (三)信息系統(tǒng)定級備案情況,信息系統(tǒng)變化及定級備案變動情況;

  (四)信息安全設施建設情況和信息安全整改情況;

 ?。ㄎ澹┬畔踩芾碇贫冉ㄔO和落實情況;

 ?。┬畔踩Wo技術措施建設和落實情況;

 ?。ㄆ撸┻x擇使用信息安全產(chǎn)品情況;

 ?。ò耍┢刚垳y評機構按規(guī)范要求開展技術測評工作情況,根據(jù)測評結果開展整改情況;

 ?。ň牛┳孕卸ㄆ陂_展自查情況;

 ?。ㄊ╅_展信息安全知識和技能培訓情況。

  檢查項目包括:(一)等級保護工作部署和組織實施情況;(二)信息系統(tǒng)安全等級保護定級備案情況;(三)信息安全設施建設情況和信息安全整改情況;(四)信息安全管理制度建立和落實情況;(五)信息安全產(chǎn)品選擇和使用情況;(六)聘請測評機構開展技術測評工作情況;(七)定期自查情況;這七項,各自對應有詳細要求,在此試舉例(一)等級保護工作部署和組織實施情況1.下發(fā)開展信息安全等級保護工作的文件,出臺有關工作意見或方案,組織開展信息安全等級保護工作情況。2.建立或明確安全管理機構,落實信息安全責任,落實安全管理崗位和人員。3.依據(jù)國家信息安全法律法規(guī)、標準規(guī)范等要求制定具體信息安全工作規(guī)劃或實施方案。4.制定本行業(yè)、本部門信息安全等級保護行業(yè)標準規(guī)范并組織實施。

  公安機關遵循的是“誰受理備案,誰負責檢查”的原則開展檢查工作,規(guī)范賦予公安可以會同其他主管部門,也可以自行開展檢查的權力等。以及在檢查過程中,公安機關發(fā)現(xiàn)不符合信息安全等級保護有關管理規(guī)范和技術標準要求,通知其運營使用單位限期整改,并發(fā)送《信息系統(tǒng)安全等級保護限期整改通知書》等。

  該規(guī)范即講明了公安機關檢查的內容和項目,也明確了公安機關可以依據(jù)有關法律法規(guī)要求信息系統(tǒng)運營使用單位及時整改,以及對拒不整改者進行行政處罰等,還對公安人員在對我們信息系統(tǒng)運營使用單位檢查時進行了規(guī)范。

  該規(guī)范,為公安機關開展檢查工作提供了指引,是公安機關開展檢查工作的重要抓手。同時,也是明確了信息系統(tǒng)運營使用單位臨檢前應該注意或準備有關資料和內容。

  迎檢單位也就是網(wǎng)絡運營者則應該明白一點,就是在公安機關檢查過程中,迎檢材料必須是日常踏踏實實工作產(chǎn)生的真實合規(guī)材料,是一個合規(guī)要求和內部管理制度相契合,結合自身信息系統(tǒng)環(huán)境落地產(chǎn)生的。所以,信息系統(tǒng)運營使用單位的工作要在平時做扎實,而不是臨時抱佛腳胡亂弄一通造一些所謂的“迎檢資料”,那樣對信息系統(tǒng)安全毫無益處,發(fā)生安全事件時,這些造假的材料絕對幫助不了自己單位提升網(wǎng)絡安全,也不會能規(guī)避責任,最終只是竹籃打水一場空,無濟于事。

  工作要扎實,材料要真實,用心開展工作,做名副其實的合規(guī)性工作,自然可以滿足公安機關檢查要求,又能真實提升自身信息系統(tǒng)安全,還能在工作中體現(xiàn)自身價值。只有人人都提升安全意識,做好安全工作,才能帶來地區(qū)性的網(wǎng)絡安全水平的提升。所謂網(wǎng)絡安全為人民,網(wǎng)絡安全靠人民,做好網(wǎng)絡安全工作也是為人民服務,我們每一個從業(yè)者又是網(wǎng)絡安全的依靠。




電子技術圖片.png

本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。