信息安全等级保护检查工作规范文档格式.docx

信息安全等级保护检查工作规范文档格式.docx

《信息安全等级保护检查工作规范文档格式.docx》由会员分享，可在线阅读，更多相关《信息安全等级保护检查工作规范文档格式.docx（14页珍藏版）》请在冰豆网上搜索。

3．依据国家信息安全法律法规、标准规范等要求制定具体信

息安全工作规划或实施方案。

4．制定本行业、本部门信息安全等级保护行业标准规范并组织实施。

（二）信息系统安全等级保护定级备案情况

1．了解未定级、备案信息系统情况以及第一级信息系统有关情况，对定级不准的提出调整建议。

2．现场查看备案的信息系统，核对备案材料，备案单位提交的备案材料与实际情况相符合情况。

3．补充提交《信息系统安全等级保护备案登记表》表四中有关备案材料。

4．信息系统所承载的业务、服务范围、安全需求等发生变化情况，以及信息系统安全保护等级变更情况。

5．新建信息系统在规划、设计阶段确定安全保护等级并备案情况。

（三）信息安全设施建设情况和信息安全整改情况

1．部署和组织开展信息安全建设整改工作。

2．制定信息安全建设规划、信息系统安全建设整改方案。

3．按照国家标准或行业标准建设安全设施，落实安全措施。

（四）信息安全管理制度建立和落实情况

1．建立基本安全管理制度，包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度。

2．建立安全责任制，系统管理员、网络管理员、安全管理员、安全审计员是否与本单位签订信息安全责任书。

3．建立安全审计管理制度、岗位和人员管理制度。

4．建立技术测评管理制度，信息安全产品采购、使用管理制度。

5．建立安全事件报告和处置管理制度，制定信息系统安全应急处置预案，定期组织开展应急处置演练。

6．建立教育培训制度，定期开展信息安全知识和技能培训。

（五）信息安全产品选择和使用情况

1．按照《管理办法》要求的条件选择使用信息安全产品。

2．要求产品研制、生产单位提供相关材料。

包括营业执照，产品的版权或专利证书，提供的声明、证明材料，计算机信息系统安全专用产品销售许可证等。

3．采用国外信息安全产品的，经主管部门批准，并请有关单位对产品进行专门技术检测。

（六）聘请测评机构开展技术测评工作情况

1．按照《管理办法》的要求部署开展技术测评工作。

对第三级信息系统每年开展一次技术测评，对第四级信息系统每半年开展一次技术测评。

2．按照《管理办法》规定的条件选择技术测评机构。

3．要求技术测评机构提供相关材料。

包括营业执照、声明、证明及资质材料等。

4．与测评机构签订保密协议。

5．要求测评机构制定技术检测方案。

6．对技术检测过程进行监督，采取了哪些监督措施。

7．出具技术检测报告，检测报告是否规范、完整，检查结果是否客观、公正。

8．根据技术检测结果，对不符合安全标准要求的，进一步进行安全整改。

（七）定期自查情况

1．定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。

第三级信息系统是否每年进行一次自查，第四级信息系统是否每半年进行一次自查。

2．经自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位进一步进行安全建设整改。

第八条各级公安机关按照“谁受理备案，谁负责检查”的原则开展检查工作。

具体要求是：

对跨省或者全国联网运行、跨市或者全省联网运行等跨地域的信息系统，由部、省、市级公安机关分别对所受理备案的信息系统进行检查。

对辖区内独自运行的信息系统，由受理备案的公安机关独自进行检查。

第九条对跨省或者全国联网运行的信息系统进行检查时，需要会同其主管部门。

因故无法会同的，公安机关可以自行开展检查。

第十条公安机关开展检查前，应当提前通知被检查单位，并发送《信息安全等级保护监督检查通知书》（见附件1）。

第十一条检查时，检查民警不得少于两人，并应当向被检

查单位负责人或其他有关人员出示工作证件。

第十二条检查中应当填写《信息系统安全等级保护监督检查记录》（以下简称《监督检查记录》，见附件2）。

检查完毕后，《监督检查记录》应当交被检查单位主管人员阅后签字；

对记录有异

议或者拒绝签名的，监督、检查人员应当注明情况。

《监督检查记录》应当存档备查。

第十三条检查时，发现不符合信息安全等级保护有关管理规范和技术标准要求，具有下列情形之一的，应当通知其运营使

用单位限期整改，并发送《信息系统安全等级保护限期整改通知书》（以下简称《整改通知》，见附件3）。

逾期不改正的，给予警

告，并向其上级主管部门通报（通报书见附件4）：

（一）未按照《管理办法》开展信息系统定级工作的；

（二）信息系统安全保护等级定级不准确的；

（三）未按《管理办法》规定备案的；

（四）备案材料与备案单位、备案系统不符合的；

（五）未按要求及时提交《信息系统安全等级保护备案登记表》表四的有关内容的；

（六）系统发生变化，安全保护等级未及时进行调整并重新备案的；

（七）未按《管理办法》规定落实安全管理制度、技术措施的；

（八）未按《管理办法》规定开展安全建设整改和安全技术测评的；

（九）未按《管理办法》规定选择使用信息安全产品和测评机构的；

（十）未定期开展自查的；

（十一）违反《管理办法》其他规定的。

第十四条检查发现需要限期整改的，应当出具《整改通知》，自检查完毕之日起10个工作日内送达被检查单位。

第十五条信息系统运营使用单位整改完成后，应当将整改

情况报公安机关，公安机关应当对整改情况进行检查。

第十六条公安机关实施信息安全等级保护监督检查的法律文书和记录，应当统一存档备查。

第十七条受理备案的公安机关应该配备必要的警力，专门负责信息安全等级保护监督、检查和指导。

从事检查工作的民警应当经过省级以上公安机关组织的信息安全等级保护监督检查岗位培训。

第十八条公安机关对检查工作中涉及的国家秘密、工作秘密、商业秘密和个人隐私等应当予以保密。

第十九条公安机关进行安全检查时不得收取任何费用。

第二十条本规范所称“以上”包含本数（级）。

第二十一条本规范自发布之日起实施。

附件1

（此处印制公安机关名称）

信息安全等级保护监督检查通知书

X公信安检字[]号被检查单位名称

检查时间

检查地点

检查单位

承办人

批准人

检查人员

填发日期

存根

X公信安检字[]号

：

根据《中华人民共和国计算机信息系统安全保护条例》和《信息安全等级保护管理办法》规定，我单位决定于年月日至年月日对你单位信息安全等级保护工作落实情况进行监督检查。

具体包括下列事项：

□1、等级保护工作组织开展、实施情况，安全责任落实情况，信

息系统安全岗位和安全管理人员设置情况；

□2、按照信息安全法律法规、标准规范制定实施方案和落实情况；

□3、信息系统定级备案情况，信息系统变化及定级备案变动情况；

□4、信息安全设施建设情况和信息安全整改情况；

□5、信息安全管理制度建设和落实情况；

□6、信息安全保护技术措施建设和落实情况；

□7、选择使用信息安全产品情况；

□8、聘请测评机构按规范要求开展技术测评工作情况，根据测评结果开展整改情况；

□9、自行定期开展自查情况；

□10、开展信息安全知识和技能培训情况。

请你单位有关人员届时参加并做好准备工作。

联系人：

联系电话：

（公安机关印章）年月日

一式两份，一份交被通知单位，一份附卷。

附件2

信息安全等级保护监督检查记录

检查民警（签名）被检查单位（部门）名称

检查时间年月日

检查地点

被检查单位信息安全负责人联系电话

被检查单位信息安全联系人联系电话

记录人（签名）：

被检查单位人员（签名）

此记录由公安机关存档

信息安全等级保护监督检查记录单

检查内容

检查结果

（如否说明情况）

一、等级保护工作部署和组织实施情况

1-1是否下发开展信息安全等级保护工作的文件，出台有关工作

意见或方案，了解组织开展信息安全等级保护工作情况

□是

□否

1-2是否建立或明确安全管理机构，落实信息安全责任，落实安

全管理岗位和人员

1-3全法律法规、标准规范等要求制定具体信息安全工作规划或

实施方案

1-4是否制定本行业、本部门信息安全等级保护行业标准规范并

组织实施

二、信息系统安全等级保护定级备案情况

2-1是否有未定级、备案信息系统（如有了解其情况），第一级

信息系统定级是否准确

2-2现场查看备案的信息系统，核对备案材料。

备案单位提交的

备案材料与实际情况是否相符合

2-3是否补充提交《信息系统安全等级保护备案登记表》表四中

有关备案材料

2-4信息系统所承载的业务、服务范围、安全需求等是否发生变

化，信息系统安全保护等级是否变更

2-5新建信息系统是否在规划、设计阶段确定安全保护等级并备

案

三、信息安全设施建设情况和信息安全整改情况

3-1是否部署和组织开展信息安全建设整改工作

3-2是否制定信息安全建设规划、信息系统安全整改方案

3-3是否按照国家标准或行业标准建设安全设施，落实安全措施

四、信息安全管理制度建立和落实情况

4-1是否建立基本安全管理制度，包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、

数据及信息安全管理、用户管理、备份与恢复、密码管理等制度

4-2是否建立安全责任制，系统管理员、网络管理员、安全管理

员、安全审计员是否与本单位签订信息安全责任书

4-3是否建立安全审计管理制度、岗位和人员管理制度

4-4是否建立技术测评管理制度，信息安全产品采购、使用管理

制度

4-5是否建立安全事件报告和处置管理制度，制定信息系统安全

应急处置预案，定期组织开展应急处置演练

4-6是否建立教育培训制度，是否定期开展信息安全知识和技能

培训

五、信息安全产品选择和使用情况

5-1是否按照《管理办法》要求的条件选择使用信息安全产品

5-2是否要求产品研制、生产单位提供相关材料。

包括营业执照，产品的版权或专利证书，提供的声明、证明材料，计算机信息系

统安全专用产品销售许可证等

5-3采用国外信息安全产品的，是否经主管部门批准，并请有关

单位对产品进行专门技术检测

六、聘请测评机构开展技术测评工作情况

6-1是否按照《管理办法》的要求部署开展技术测评工作。

对第

三级信息系统每年开展一次技术测评，对第四级信息系统每半年开展一次技术测评

6-2是否按照《管理办法》规定的条件选择技术测评机构

6-3是否要求技术测评机构提供相关材料。

包括营业执照、声明、

证明及资质材料等

6-4是否与测评机构签订保密协议

6-5是否要求测评机构制定技术检测方案

6-6是否对技术检测过程进行监督，采取了哪些监督措施

6-7是否出具技术检测报告，检测报告是否规范、完整，检查结

果是否客观、公正

6-8是否根据技术检测结果，对不符合安全标准要求的，进一步

进行安全整改

七、定期自查情况

7-1是否定期对信息系统安全状况、安全保护制度及安全技术措

施的落实情况进行自查。

第三级信息系统是否每年进行一次自查，第四级信息系统是否每半年进行一次自查

7-2经自查，信息系统安全状况未达到安全保护等级要求的，运

营、使用单位是否进一步进行安全建设整改

情况说明

（公安机关印章）年月日

被检查单位主管人员（签名）

附件3

信息系统安全等级保护限期整改通知书

X公信安限字[]第号

根据《中华人民共和国计算机信息系统安全保护条例》和《信息安全等级保护管理办法》，我单位工作人员于年月日对你单位信息安全等级保护工作进行了监督

检查，发现存在下列违规行为（□1有关信息系统安全保护状况不符

合国家信息安全等级保护管理规范和技术标准的要求；

□2未按照

《信息安全等级保护管理办法》开展有关工作；

□3不符合其他有关

信息安全规定的行为）1．（具体的不符合行为描述，可自行添加）；

2．；

根据，请你单位于年月日前改正，并在期限届满前将整改情况函告我单位。

在期限届满之前，你单位应当采取必要的安全保护管理和技

术措施，确保信息系统安全。

（公安机关印章）

被检查单位：

年月日

一式两份，一份交被检查单位，一份附卷。

附件4

信息安全等级保护检查情况通报书

Ｘ公信安通字[]第号被通报单位名称

通报事由

办理单位承办人批准人填发日期

Ｘ公信安通字[]第号

根据《中华人民共和国计算机信息系统安全保护条例》和《信息安全等级保护管理办法》，我单位工作人员

于年月日对

单位信息安全等级保护工作进行了监督检查，发现存在违规行为并发出《信息系统安全等级保护限期整改

通知书》（X公信安限字[]第号）。

但在整改期限结束后，

未收到整改结果报告，我单位于年月日对其做出了警告处罚。

鉴于你单位为其上级主管部门，建议你单位督促其按照《信息系统安全等级保护限期整改通知书》的要求开展整改工作，并及时反馈结果。

特此通报。