前面,我们谈到2007年的1360号文,从《信息安全等级保护政策培训教程》中,我们发现全国重要信息系统等级保护定级工作完成后,公安部向中央的领导同志做了专报《关于全国重要信息系统安全等级保护定级工作情况的报告》(公部 [2008]11号),并得到中央领导批示,我们无从得知这个专报的具体内容,相信也是等级保护路上的一个关键性的文件。
那么,在2008年还有一些我们能够直接看得到的政策文件,其中有一个是规范公安机关的文件,那就是《公安机关信息安全等级保护检查工作规范(试行)》(公信安【2008】736号)。
![闲话等级保护:公安机关如何监督检查等级保护落实情况?]( "闲话等级保护:公安机关如何监督检查等级保护落实情况?")
该规范的制定依据还是《信息安全等级保护管理办法》,其目的和作用是为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作。公安机关主要是对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员,为公安在开展等级保护检查工作中提供了规范。
信息安全等级保护检查工作不是任何层级的公安都参与的一项工作,而是由市(地)级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。如今,第四级等级保护对象也是每一年测评一次,那么相对应的检查可能也要与之匹配了。具体情况,以各地公安实际情况为准。
信息安全等级保护检查工作的方式是采取询问情况,查阅、核对材料,调看记录、资料,现场查验等。
(一)等级保护工作组织开展、实施情况。安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;
(二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;
(三)信息系统定级备案情况,信息系统变化及定级备案变动情况;
(八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;
1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。
2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。
3.依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。
4.制定本行业、本部门信息安全等级保护行业标准规范并组织实施。
![闲话等级保护:公安机关如何监督检查等级保护落实情况?]( "闲话等级保护:公安机关如何监督检查等级保护落实情况?")
公安机关遵照的是“谁受理备案,谁负责检查”的原则开展检查工作,规范赋予公安可以会同其他主管部门,也可以自行开展检查的权力等。以及在检查过程中,公安机关发现不符合信息安全等级保护有关管理规范和技术标准要求,通知其运营使用单位限期整改,并发送《信息系统安全等级保护限期整改通知书》等。
该规范即讲明了公安机关检查的内容和项目,也明确了公安机关可以依据有关法律法规要求信息系统运营使用单位及时整改,以及对拒不整改者进行行政处罚等,还对公安人员在对我们信息系统运营使用单位检查时进行了规范。
该规范,为公安机关开展检查工作提供了指引,是公安机关开展检查工作的重要抓手。同时,也是明确了信息系统运营使用单位临检前应该注意或准备有关资料和内容。迎检单位则应该明白一点,就是在公安机关检查过程中,迎检用的材料是日常工作中踏踏实实做出来的,是一个政策文件和内部管理制度,结合自身信息系统环境落地产生的。所以,运营使用单位的工作要在平时做扎实,而不是临时抱佛脚胡乱弄一通造一些所谓的“迎检资料”,那样对信息系统安全毫无益处,发生安全事件这些材料也无济于事,反而会对真正的网络安全防护带来更大的隐忧。
务实不无需,扎实开展工作,材料真实,是满足公安机关检查要求真正应对方式方法,又能真实提升自身网络安全,还能在工作中体现自身价值。所有的弄虚作假,都是掩耳盗铃,虽然我们看不起掩耳盗铃之人,不过成年人的世界里更多的掩耳盗铃之事却非常多。
原文始发于微信公众号(祺印说信安):闲话等级保护:公安机关如何监督检查等级保护落实情况?
评论