安机关信息安全等级保护检查工作规范
(一)开展信息系统安全等级测评,为信息系统安全提供保障。选择由省级(含)以上信息安全等级保护工作协调小组办公室审核并备案的测评机构,对第三级(含)以上信息系统开展等级测评工作。等级测评机构依据《信息系统安全等级保护测评要求》等标准对信息系统进行测评,对照相应等级安全保护要求进行差距分析,排查系统安全漏洞和隐患并分析其风险,提出改进建议,按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告。经测评未达到安全保护要求的,要根据测评报告中的改进建议,制定整改方案并进一步进行整改。各部门要及时向受理备案的公安机关提交等级测评报告。对于重要部门的第二级信息系统,可以参照上述要求开展等级测评工作。
(二)开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平。按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,建立健全并落实符合相应等级要求的安全管理制度:一是信息安全责任制,明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任;二是人员安全管理制度,明确人员录用、离岗、考核、教育培训等管理内容;三是系统建设管理制度,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容;四是系统运维管理制度,明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。建立并落实监督检查机制,定期对各项制度的落实情况进行自查和监督检查。
(三)开展信息安全等级保护安全技术措施建设,提高信息系统安全防护能力。按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,结合行业特点和安全需求,制定符合相应等级要求的信息系统安全技术建设整改方案,开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施,建立并完善信息系统综合防护体系,提高信息系统的安全防护能力和水平。
(四)通过组织开展信息安全教育培训。一是解决安全问题,抵御攻击破坏,减少安全事故,提高安全防范水平,推动网安基础工作,提高我局信息安全保障水平。二是加强学习,加大宣传力度,不断创新工作思路和方法,充分调动多方面工作的积极性,共同做好等级保护工作。
