1、工作目的

公安機關(guān)開(kāi)展等級保護監督檢查，其目的在于全面了解掌握各行業(yè)、各地區、各單位網(wǎng)絡(luò )安全等級保護定級備案、等級測評、安全建設整改等工作部署和貫徹落實(shí)情況，總結開(kāi)展網(wǎng)絡(luò )安全等級保護工作的成功經(jīng)驗，查找分析工作中存在的突出問(wèn)題，督促、指導各備案單位進(jìn)一步落實(shí)網(wǎng)絡(luò )安全等級保護制度的各項要求，建立健全等級保護監督檢查工作的長(cháng)效機制。檢查核實(shí)信息系統運營(yíng)使用、建設單位的等級保護工作開(kāi)展和落實(shí)情況，重點(diǎn)督促、檢查安全設施、安全措施、安全管理制度、安全責任、責任部門(mén)和人員。

2、網(wǎng)絡(luò )安全等級保護監督檢查內容

網(wǎng)絡(luò )安全等級保護主要圍繞下面10個(gè)內容進(jìn)行全面檢查。

① 等級保護工作組織開(kāi)展、實(shí)施情況。安全責任落實(shí)情況，信息系統安全崗位和安全管理人員設置情況；

② 按照網(wǎng)絡(luò )安全法律法規、標準規范的要求制定具體實(shí)施方案和落實(shí)情況；

③ 信息系統定級備案情況，信息系統變化及定級備案變動(dòng)情況；

④ 網(wǎng)絡(luò )安全設施建設情況和網(wǎng)絡(luò )安全整改情況；

⑤ 網(wǎng)絡(luò )安全管理制度建設和落實(shí)情況；

⑥ 網(wǎng)絡(luò )安全保護技術(shù)措施建設和落實(shí)情況；

⑦ 選擇使用網(wǎng)絡(luò )安全產(chǎn)品情況；

⑧ 聘請測評機構按規范要求開(kāi)展技術(shù)測評工作情況，根據測評結果開(kāi)展整改情況；

⑨ 自行定期開(kāi)展自查情況；

⑩ 開(kāi)展網(wǎng)絡(luò )安全知識和技能培訓情況。

具體展開(kāi)來(lái)講，主要項目如下。

（1）等級保護工作部署和組織實(shí)施情況

① 是否下發(fā)開(kāi)展網(wǎng)絡(luò )安全等級保護工作的文件，出臺有關(guān)工作意見(jiàn)或方案，了解組織開(kāi)展網(wǎng)絡(luò )安全等級保護工作。

② 是否建立或明確安全管理機構，落實(shí)網(wǎng)絡(luò )安全責任，落實(shí)安全管理崗位和人員。

③ 是否依據國家網(wǎng)絡(luò )安全法律法規、標準規范等要求制定具體網(wǎng)絡(luò )安全工作規劃或實(shí)施方案。

④ 是否制定本行業(yè)、本部門(mén)網(wǎng)絡(luò )安全等級保護行業(yè)標準規范并組織實(shí)施。

（2）信息系統安全等級保護定級備案情況

① 是否存在未定級、備案信息系統情況以及定級信息系統有關(guān)情況，定級信息系統是否存在定級不準。

② 現場(chǎng)查看備案的信息系統，核對備案材料，備案單位提交的備案材料是否與實(shí)際情況相符合。

③ 是否補充提交《信息系統安全等級保護備案登記表》中有關(guān)備案材料。

④ 信息系統所承載的業(yè)務(wù)、服務(wù)范圍、安全需求等是否發(fā)生變化，以及信息系統安全保護等級是否變更。

⑤ 新建信息系統是否在規劃、設計階段確定安全保護等級并備案。

（3）網(wǎng)絡(luò )安全設施建設情況和網(wǎng)絡(luò )安全整改情況

① 是否部署和組織開(kāi)展網(wǎng)絡(luò )安全建設整改工作。

② 是否制定網(wǎng)絡(luò )安全建設規劃、信息系統安全建設整改方案。

③ 是否按照國家標準或行業(yè)標準建設安全設施，落實(shí)安全措施。

（4）網(wǎng)絡(luò )安全管理制度建立和落實(shí)情況

① 是否建立基本安全管理制度，包括機房安全管理、網(wǎng)絡(luò )安全管理、系統運行維護管理、系統安全風(fēng)險管理、資產(chǎn)和設備管理、數據及信息安全管理、用戶(hù)管理、備份與恢復、密碼管理等制度。

② 是否建立安全責任制，系統管理員、網(wǎng)絡(luò )管理員、安全管理員、安全審計員是否與本單位簽訂網(wǎng)絡(luò )安全責任書(shū)。

③ 是否建立安全審計管理制度、崗位和人員管理制度。

④ 是否建立技術(shù)測評管理制度，網(wǎng)絡(luò )安全產(chǎn)品采購、使用管理制度。

⑤ 是否建立安全事件報告和處置管理制度，制定信息系統安全應急處置預案，定期組織開(kāi)展應急處置演練。

⑥ 是否建立教育培訓制度，是否定期開(kāi)展網(wǎng)絡(luò )安全知識和技能培訓。

（5）網(wǎng)絡(luò )安全產(chǎn)品選擇和使用情況

① 是否按照《網(wǎng)絡(luò )安全等級保護管理辦法》要求的條件選擇使用網(wǎng)絡(luò )安全產(chǎn)品。

② 是否要求產(chǎn)品研制、生產(chǎn)單位提供相關(guān)材料。包括營(yíng)業(yè)執照，產(chǎn)品的版權或專(zhuān)利證書(shū)，提供的聲明、證明材料，計算機信息系統安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證等。

③ 采用國外網(wǎng)絡(luò )安全產(chǎn)品的，是否經(jīng)主管部門(mén)批準，并請有關(guān)單位對產(chǎn)品進(jìn)行專(zhuān)門(mén)技術(shù)檢測。

（6）聘請測評機構開(kāi)展技術(shù)測評工作情況

① 是否按照《網(wǎng)絡(luò )安全等級保護管理辦法》的要求部署開(kāi)展技術(shù)測評工作。對第三級信息系統每年開(kāi)展一次技術(shù)測評，對第四級信息系統每半年開(kāi)展一次技術(shù)測評。

② 是否按照《網(wǎng)絡(luò )安全等級保護管理辦法》規定的條件選擇技術(shù)測評機構。

③ 是否要求技術(shù)測評機構提供相關(guān)材料。包括營(yíng)業(yè)執照、聲明、證明及資質(zhì)材料等。

④ 是否與測評機構簽訂保密協(xié)議。

⑤ 是否要求測評機構制定技術(shù)檢測方案。

⑥ 是否對技術(shù)檢測過(guò)程進(jìn)行監督，采取了哪些監督措施。

⑦ 是否出具技術(shù)檢測報告，檢測報告是否規范、完整，檢查結果是否客觀(guān)、公正。

⑧ 是否根據技術(shù)檢測結果，對不符合安全標準要求的，進(jìn)一步進(jìn)行安全整改。

（7）定期自查情況

① 是否定期對信息系統安全狀況、安全保護制度及安全技術(shù)措施的落實(shí)情況進(jìn)行自查。第三級信息系統是否每年進(jìn)行一次自查，第四級信息系統是否每半年進(jìn)行一次自查。

② 經(jīng)自查，信息系統安全狀況未達到安全保護等級要求的，運營(yíng)、使用單位是否進(jìn)一步進(jìn)行安全建設整改。

公安機關(guān)在對信息系統檢查時(shí)，下發(fā)《網(wǎng)絡(luò )安全等級保護監督檢查通知書(shū)》和《網(wǎng)絡(luò )安全等級保護監督檢查記錄》，就上述檢查內容進(jìn)行告知。

3、檢查方式和檢查要求

① 公安機關(guān)開(kāi)展檢查工作，應當按照“嚴格依法，熱情服務(wù)”的原則，遵守檢查紀律，規范檢查程序，主動(dòng)、熱情地為運營(yíng)使用單位提供服務(wù)和指導。

② 檢查工作采取詢(xún)問(wèn)情況，查閱、核對材料，調看記錄、資料，現場(chǎng)查驗等方式進(jìn)行。

③ 每年對第三級信息系統的運營(yíng)使用單位網(wǎng)絡(luò )安全等級保護工作檢查一次，每半年對第四級信息系統的運營(yíng)使用單位網(wǎng)絡(luò )安全等級保護工作檢查一次。公安機關(guān)按照“誰(shuí)受理備案，誰(shuí)負責檢查”的原則開(kāi)展檢查工作。具體要求是：對跨省或者全國聯(lián)網(wǎng)運行、跨市或者全省聯(lián)網(wǎng)運行等跨地域的信息系統，由部、省、市級公安機關(guān)分別對所受理備案的信息系統進(jìn)行檢查。對轄區內獨自運行的信息系統，由受理備案的公安機關(guān)獨自進(jìn)行檢查。對跨省或者全國聯(lián)網(wǎng)運行的信息系統進(jìn)行檢查時(shí)，需要會(huì )同其主管部門(mén)。因故無(wú)法會(huì )同的，公安機關(guān)可以自行開(kāi)展檢查。

④ 公安機關(guān)開(kāi)展檢查前，應當提前通知被檢查單位，并發(fā)送《網(wǎng)絡(luò )安全等級保護監督檢查通知書(shū)》。

⑤ 檢查時(shí)，檢查民警不得少于兩人，從事檢查工作的民警應當經(jīng)過(guò)省級以上公安機關(guān)組織的網(wǎng)絡(luò )安全等級保護監督檢查崗位培訓。并應當向被檢查單位負責人或其他有關(guān)人員出示工作證件。檢查中填寫(xiě)《信息系統安全等級保護監督檢查記錄》。檢查完畢后，《信息系統安全等級保護監督檢查記錄》應當交被檢查單位主管人員閱后簽字；對記錄有異議或者拒絕簽名的，監督、檢查人員應當注明情況?！缎畔⑾到y安全等級保護監督檢查記錄》應當存檔備查。

⑥ 公安機關(guān)實(shí)施網(wǎng)絡(luò )安全等級保護監督檢查的法律文書(shū)和記錄，應當統一存檔備查。并對檢查工作中涉及的國家秘密、工作秘密、商業(yè)秘密和個(gè)人隱私等應當予以保密。

⑦ 對備案單位重要信息系統發(fā)生的事件、案件及時(shí)進(jìn)行調查和立案偵查，并制定單位開(kāi)展應急處置工作，為備案單位提供有力支持。

⑧ 公安機關(guān)進(jìn)行安全檢查時(shí)不得收取任何費用。

4、公安機關(guān)對不符合監督檢查工作要求的處理

檢查時(shí)，發(fā)現不符合網(wǎng)絡(luò )安全等級保護有關(guān)管理規范和技術(shù)標準要求，具有下列情形之一的，應當通知其運營(yíng)使用單位限期整改，并發(fā)送《信息系統安全等級保護限期整改通知書(shū)》。逾期不改正的，給予警告，并向其上級主管部門(mén)通報：

（一）未按照《網(wǎng)絡(luò )安全等級保護管理辦法》開(kāi)展信息系統定級工作的；

（二）信息系統安全保護等級定級不準確的；

（三）未按《網(wǎng)絡(luò )安全等級保護管理辦法》規定備案的；

（四）備案材料與備案單位、備案系統不符合的；

（五）未按要求及時(shí)提交《信息系統安全等級保護備案登記表》的有關(guān)內容的；

（六）系統發(fā)生變化，安全保護等級未及時(shí)進(jìn)行調整并重新備案的；

（七）未按《網(wǎng)絡(luò )安全等級保護管理辦法》規定落實(shí)安全管理制度、技術(shù)措施的；

（八）未按《網(wǎng)絡(luò )安全等級保護管理辦法》規定開(kāi)展安全建設整改和安全技術(shù)測評的；

（九）未按《網(wǎng)絡(luò )安全等級保護管理辦法》規定選擇使用網(wǎng)絡(luò )安全產(chǎn)品和測評機構的；

（十）未定期開(kāi)展自查的；

（十一）違反《網(wǎng)絡(luò )安全等級保護管理辦法》其他規定的。

公安機關(guān)針對檢查發(fā)現的問(wèn)題，需要信息系統單位限期整改的，應當出具《整改通知》，自檢查完畢之日起 10 個(gè)工作日內送達被檢查單位。同時(shí)，信息系統運營(yíng)使用單位整改完成后，應當將整改情況報公安機關(guān)，公安機關(guān)應當對整改情況進(jìn)行檢查。

來(lái)源： 計算機與網(wǎng)絡(luò )安全