前面,我们谈到2007年的1360号文,从公安部初版的《信息安全等级保护政策培训教程》中,我们发现全国重要信息系统等级保护定级工作完成后,公安部向中央的领导同志做了专报《关于全国重要信息系统安全等级保护定级工作情况的报告》(公部 [2008]11号),并得到中央领导批示,我们无从得知这个专报的具体内容,相信也是等级保护路上的一个关键性的文件。那么,在2008年还有一些我们能够直接看得到的政策文件,其中有一个是规范公安机关的文件,那就是《公安机关信息安全等级保护检查工作规范(试行)》(公信安【2008】736号)。
该规范的制定依据还是《信息安全等级保护管理办法》,其目的和作用是为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作。公安机关主要是对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员,为公安在开展等级保护检查工作中提供了规范。
信息安全等级保护检查工作不是任何层级的公安都参与的一项工作,而是由市(地)级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。
如今,第四级等级保护对象也是每一年测评一次,那么相对应的检查可能也要与之匹配了。具体情况,以各地公安实际情况为准。
信息安全等级保护检查工作的方式是采取询问情况,查阅、核对材料,调看记录、资料,现场查验等。(一)等级保护工作组织开展、实施情况。安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;(二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;(三)信息系统定级备案情况,信息系统变化及定级备案变动情况;(八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;检查项目包括:(一)等级保护工作部署和组织实施情况;(二)信息系统安全等级保护定级备案情况;(三)信息安全设施建设情况和信息安全整改情况;(四)信息安全管理制度建立和落实情况;(五)信息安全产品选择和使用情况;(六)聘请测评机构开展技术测评工作情况;(七)定期自查情况;这七项,各自对应有详细要求,在此试举例(一)等级保护工作部署和组织实施情况1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。3.依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。4.制定本行业、本部门信息安全等级保护行业标准规范并组织实施。
公安机关遵循的是“谁受理备案,谁负责检查”的原则开展检查工作,规范赋予公安可以会同其他主管部门,也可以自行开展检查的权力等。以及在检查过程中,公安机关发现不符合信息安全等级保护有关管理规范和技术标准要求,通知其运营使用单位限期整改,并发送《信息系统安全等级保护限期整改通知书》等。该规范即讲明了公安机关检查的内容和项目,也明确了公安机关可以依据有关法律法规要求信息系统运营使用单位及时整改,以及对拒不整改者进行行政处罚等,还对公安人员在对我们信息系统运营使用单位检查时进行了规范。该规范,为公安机关开展检查工作提供了指引,是公安机关开展检查工作的重要抓手。同时,也是明确了信息系统运营使用单位临检前应该注意或准备有关资料和内容。迎检单位也就是网络运营者则应该明白一点,就是在公安机关检查过程中,迎检材料必须是日常踏踏实实工作产生的真实合规材料,是一个合规要求和内部管理制度相契合,结合自身信息系统环境落地产生的。所以,信息系统运营使用单位的工作要在平时做扎实,而不是临时抱佛脚胡乱弄一通造一些所谓的“迎检资料”,那样对信息系统安全毫无益处,发生安全事件时,这些造假的材料绝对帮助不了自己单位提升网络安全,也不会能规避责任,最终只是竹篮打水一场空,无济于事。工作要扎实,材料要真实,用心开展工作,做名副其实的合规性工作,自然可以满足公安机关检查要求,又能真实提升自身信息系统安全,还能在工作中体现自身价值。只有人人都提升安全意识,做好安全工作,才能带来地区性的网络安全水平的提升。所谓网络安全为人民,网络安全靠人民,做好网络安全工作也是为人民服务,我们每一个从业者又是网络安全的依靠。