公安機關(guān)信息安全等級保護檢查工作規(guī)范（試行）第一條為規(guī)范公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門開展信息安全等級保護檢查工作，根據(jù)《信息安全等級保護管理辦法》（以下簡稱《管理辦法》），制定本規(guī)范。

第二條公安機關(guān)信息安全等級保護檢查工作是指公安機關(guān)依據(jù)有關(guān)規(guī)定，會同主管部門對非涉密重要信息系統(tǒng)運營使用單位等級保護工作開展和落實情況進行檢查，督促、檢查其建設(shè)安全設(shè)施、落實安全措施、建立并落實安全管理制度、落實安全責(zé)任、落實責(zé)任部門和人員。

第三條信息安全等級保護檢查工作由市（地）級以上公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門負(fù)責(zé)實施。

每年對第三級信息系統(tǒng)的運營使用單位信息安全等級保護工作檢查一次，每半年對第四級信息系統(tǒng)的運營使用單位信息安全等級保護工作檢查一次。

第四條公安機關(guān)開展檢查工作，應(yīng)當(dāng)按照“嚴(yán)格依法，熱情服務(wù)”的原則，遵守檢查紀(jì)律，規(guī)范檢查程序，主動、熱情地為運營使用單位提供服務(wù)和指導(dǎo)。

第五條信息安全等級保護檢查工作采取詢問情況，查閱、核對材料，調(diào)看記錄、資料，現(xiàn)場查驗等方式進行。

第六條檢查的主要內(nèi)容：（一）等級保護工作組織開展、實施情況。

安全責(zé)任落實情況，信息系統(tǒng)安全崗位和安全管理人員設(shè)置情況；（二）按照信息安全法律法規(guī)、標(biāo)準(zhǔn)規(guī)范的要求制定具體實施方案和落實情況；（三）信息系統(tǒng)定級備案情況，信息系統(tǒng)變化及定級備案變動情況；（四）信息安全設(shè)施建設(shè)情況和信息安全整改情況；（五）信息安全管理制度建設(shè)和落實情況；（六）信息安全保護技術(shù)措施建設(shè)和落實情況；（七）選擇使用信息安全產(chǎn)品情況；（八）聘請測評機構(gòu)按規(guī)范要求開展技術(shù)測評工作情況，根據(jù)測評結(jié)果開展整改情況；（九）自行定期開展自查情況；（十）開展信息安全知識和技能培訓(xùn)情況。

第七條檢查項目：（一）等級保護工作部署和組織實施情況1．下發(fā)開展信息安全等級保護工作的文件，出臺有關(guān)工作意見或方案，組織開展信息安全等級保護工作情況。

2．建立或明確安全管理機構(gòu)，落實信息安全責(zé)任，落實安全管理崗位和人員。

3．依據(jù)國家信息安全法律法規(guī)、標(biāo)準(zhǔn)規(guī)范等要求制定具體信息安全工作規(guī)劃或?qū)嵤┓桨浮?/p>

4．制定本行業(yè)、本部門信息安全等級保護行業(yè)標(biāo)準(zhǔn)規(guī)范并組織實施。

（二）信息系統(tǒng)安全等級保護定級備案情況1．了解未定級、備案信息系統(tǒng)情況以及第一級信息系統(tǒng)有關(guān)情況，對定級不準(zhǔn)的提出調(diào)整建議。

2．現(xiàn)場查看備案的信息系統(tǒng)，核對備案材料，備案單位提交的備案材料與實際情況相符合情況。

3．補充提交《信息系統(tǒng)安全等級保護備案登記表》表四中有關(guān)備案材料。

4．信息系統(tǒng)所承載的業(yè)務(wù)、服務(wù)范圍、安全需求等發(fā)生變化情況，以及信息系統(tǒng)安全保護等級變更情況。

5．新建信息系統(tǒng)在規(guī)劃、設(shè)計階段確定安全保護等級并備案情況。

（三）信息安全設(shè)施建設(shè)情況和信息安全整改情況1．部署和組織開展信息安全建設(shè)整改工作。

2．制定信息安全建設(shè)規(guī)劃、信息系統(tǒng)安全建設(shè)整改方案。

3．按照國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)建設(shè)安全設(shè)施，落實安全措施。

（四）信息安全管理制度建立和落實情況1．建立基本安全管理制度，包括機房安全管理、網(wǎng)絡(luò)安全管理、系統(tǒng)運行維護管理、系統(tǒng)安全風(fēng)險管理、資產(chǎn)和設(shè)備管理、數(shù)據(jù)及信息安全管理、用戶管理、備份與恢復(fù)、密碼管理等制度。

2．建立安全責(zé)任制，系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員、安全審計員是否與本單位簽訂信息安全責(zé)任書。

3．建立安全審計管理制度、崗位和人員管理制度。

4．建立技術(shù)測評管理制度，信息安全產(chǎn)品采購、使用管理制度。

5．建立安全事件報告和處置管理制度，制定信息系統(tǒng)安全應(yīng)急處置預(yù)案，定期組織開展應(yīng)急處置演練。

6．建立教育培訓(xùn)制度，定期開展信息安全知識和技能培訓(xùn)。

（五）信息安全產(chǎn)品選擇和使用情況1．按照《管理辦法》要求的條件選擇使用信息安全產(chǎn)品。

2．要求產(chǎn)品研制、生產(chǎn)單位提供相關(guān)材料。

包括營業(yè)執(zhí)照，產(chǎn)品的版權(quán)或?qū)＠C書，提供的聲明、證明材料，計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證等。

3．采用國外信息安全產(chǎn)品的，經(jīng)主管部門批準(zhǔn)，并請有關(guān)單位對產(chǎn)品進行專門技術(shù)檢測。

（六）聘請測評機構(gòu)開展技術(shù)測評工作情況1．按照《管理辦法》的要求部署開展技術(shù)測評工作。

對第三級信息系統(tǒng)每年開展一次技術(shù)測評，對第四級信息系統(tǒng)每半年開展一次技術(shù)測評。

2．按照《管理辦法》規(guī)定的條件選擇技術(shù)測評機構(gòu)。

3．要求技術(shù)測評機構(gòu)提供相關(guān)材料。

包括營業(yè)執(zhí)照、聲明、證明及資質(zhì)材料等。

4．與測評機構(gòu)簽訂保密協(xié)議。

5．要求測評機構(gòu)制定技術(shù)檢測方案。

6．對技術(shù)檢測過程進行監(jiān)督，采取了哪些監(jiān)督措施。

7．出具技術(shù)檢測報告，檢測報告是否規(guī)范、完整，檢查結(jié)果是否客觀、公正。

8．根據(jù)技術(shù)檢測結(jié)果，對不符合安全標(biāo)準(zhǔn)要求的，進一步進行安全整改。

（七）定期自查情況1．定期對信息系統(tǒng)安全狀況、安全保護制度及安全技術(shù)措施的落實情況進行自查。

第三級信息系統(tǒng)是否每年進行一次自查，第四級信息系統(tǒng)是否每半年進行一次自查。

2．經(jīng)自查，信息系統(tǒng)安全狀況未達(dá)到安全保護等級要求的，運營、使用單位進一步進行安全建設(shè)整改。

第八條各級公安機關(guān)按照“誰受理備案，誰負(fù)責(zé)檢查”的原則開展檢查工作。

具體要求是：對跨省或者全國聯(lián)網(wǎng)運行、跨市或者全省聯(lián)網(wǎng)運行等跨地域的信息系統(tǒng)，由部、省、市級公安機關(guān)分別對所受理備案的信息系統(tǒng)進行檢查。

對轄區(qū)內(nèi)獨自運行的信息系統(tǒng)，由受理備案的公安機關(guān)獨自進行檢查。

第九條對跨省或者全國聯(lián)網(wǎng)運行的信息系統(tǒng)進行檢查時，需要會同其主管部門。

因故無法會同的，公安機關(guān)可以自行開展檢查。

第十條公安機關(guān)開展檢查前，應(yīng)當(dāng)提前通知被檢查單位，并發(fā)送《信息安全等級保護監(jiān)督檢查通知書》。

第十一條檢查時，檢查民警不得少于兩人，并應(yīng)當(dāng)向被檢查單位負(fù)責(zé)人或其他有關(guān)人員出示工作證件。

第十二條檢查中應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級保護監(jiān)督檢查記錄》（以下簡稱《監(jiān)督檢查記錄》）。

檢查完畢后，《監(jiān)督檢查記錄》應(yīng)當(dāng)交被檢查單位主管人員閱后簽字；對記錄有異議或者拒絕簽名的，監(jiān)督、檢查人員應(yīng)當(dāng)注明情況。

《監(jiān)督檢查記錄》應(yīng)當(dāng)存檔備查。

第十三條檢查時，發(fā)現(xiàn)不符合信息安全等級保護有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求，具有下列情形之一的，應(yīng)當(dāng)通知其運營使用單位限期整改，并發(fā)送《信息系統(tǒng)安全等級保護限期整改通知書》（以下簡稱《整改通知》）。

逾期不改正的，給予警告，并向其上級主管部門通報：（一）未按照《管理辦法》開展信息系統(tǒng)定級工作的；（二）信息系統(tǒng)安全保護等級定級不準(zhǔn)確的；（三）未按《管理辦法》規(guī)定備案的；（四）備案材料與備案單位、備案系統(tǒng)不符合的；（五）未按要求及時提交《信息系統(tǒng)安全等級保護備案登記表》表四的有關(guān)內(nèi)容的；（六）系統(tǒng)發(fā)生變化，安全保護等級未及時進行調(diào)整并重新備案的；（七）未按《管理辦法》規(guī)定落實安全管理制度、技術(shù)措施的；（八）未按《管理辦法》規(guī)定開展安全建設(shè)整改和安全技術(shù)測評的；（九）未按《管理辦法》規(guī)定選擇使用信息安全產(chǎn)品和測評機構(gòu)的；（十）未定期開展自查的；（十一）違反《管理辦法》其他規(guī)定的。

第十四條檢查發(fā)現(xiàn)需要限期整改的，應(yīng)當(dāng)出具《整改通知》，自檢查完畢之日起10個工作日內(nèi)送達(dá)被檢查單位。

第十五條信息系統(tǒng)運營使用單位整改完成后，應(yīng)當(dāng)將整改情況報公安機關(guān)，公安機關(guān)應(yīng)當(dāng)對整改情況進行檢查。

第十六條公安機關(guān)實施信息安全等級保護監(jiān)督檢查的法律文書和記錄，應(yīng)當(dāng)統(tǒng)一存檔備查。

第十七條受理備案的公安機關(guān)應(yīng)該配備必要的警力，專門負(fù)責(zé)信息安全等級保護監(jiān)督、檢查和指導(dǎo)。

從事檢查工作的民警應(yīng)當(dāng)經(jīng)過省級以上公安機關(guān)組織的信息安全等級保護監(jiān)督檢查崗位培訓(xùn)。

第十八條公安機關(guān)對檢查工作中涉及的國家秘密、工作秘密、商業(yè)秘密和個人隱私等應(yīng)當(dāng)予以保密。

第十九條公安機關(guān)進行安全檢查時不得收取任何費用。

第二十條本規(guī)范所稱“以上”包含本數(shù)（級）。

第二十一條本規(guī)范自發(fā)布之日起實施。