关于公开征求《广东省公安机关网络安全监督检查规范》意见的公告 公安机关执法公开规定

发布时间:2019-07-26 12:22:20 来源:汕头网警巡查执法 关键词:公安机关执法公开规定
公安机关执法公开规定
原文标题:关于公开征求《广东省公安机关网络安全监督检查规范》意见的公告
原文发布时间:2019-07-05 20:43:19
原文作者:汕头网警巡查执法。
如果您喜欢本文,请关注头条号【汕头网警巡查执法】阅读更多相关文章。
如果您是本文作者,不希望我们转载此文,请联系我们删除。
公安机关执法公开规定

根据广东省公安厅规范性文件办文要求,我厅草拟的《广东省公安机关网络安全监督检查规范》现向社会公开征求意见,征求期限为15日。

广东省公安厅

2019年6月25日

关于公开征求《广东省公安机关网络安全监督检查规范》意见的公告

广东省公安机关网络安全监督检查规范

(征求意见稿)

第一章 总则

第一条 为规范广东省公安机关网络安全监督检查工作,提高重要信息系统、重点网站以及移动互联网、云计算、大数据、工业控制系统、物联网等新技术新应用的安全保护能力,预防网络违法犯罪,维护国家安全、网络安全,保护公民、法人和其他组织合法权益,加强网络安全等级保护工作,制订本安全监督检查规范。

第二条 监督检查法律依据:《中华人民共和国人民警察法》《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《信息安全等级保护管理办法》等有关法律、行政法规。

第三条 本规范适用于广东省公安机关依法对网络运营者履行法律、行政法规规定的网络安全义务和落实网络安全等级保护工作情况进行安全监督检查。

第四条 网络安全监督检查工作由县级以上地方人民政府公安机关网络安全保卫部门组织实施。

上级公安机关应当对下级公安机关开展网络安全监督检查工作情况进行指导和监督。

第五条 公安机关开展网络安全监督检查,应当遵循依法科学管理、保障和促进发展的方针,严格遵守法定权限和程序,不断改进执法方式,全面落实执法责任。

第六条 公安机关及其工作人员对履行网络安全监督检查职责中知悉的个人信息、隐私、商业秘密和国家秘密,应当严格保密,不得泄露、出售或者非法向他人提供。

公安机关及其工作人员在履行网络安全监督检查职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。

第七条 公安机关对网络安全监督检查工作中发现的可能危害国家安全、公共安全、社会秩序的网络安全风险,应当及时通报有关主管部门和单位。

第八条 公安机关应当建立并落实网络安全监督检查工作制度,自觉接受检查对象和人民群众的监督。

关于公开征求《广东省公安机关网络安全监督检查规范》意见的公告

第二章 监督检查对象和内容

第九条 网络安全监督检查,由网络运营者的网络管理机构所在地公安机关实施。网络运营者为个人的,可以由其经常居住地公安机关实施。

第十条 公安机关应当根据网络安全防范需要和网络安全风险隐患的具体情况,及落实网络安全等级保护工作情况,对下列网络运营者开展监督检查:

(一)提供互联网接入、互联网数据中心、内容分发、域名服务的;

(二)提供互联网信息服务的;

(三)提供公共上网服务的;

(四)党政机关、国有企业和事业单位;

(五)其他网络运营者;

对开展前款规定的服务未满一年的,两年内曾发生过网络安全事件、违法犯罪案件的,或者因未履行法定网络安全义务被公安机关予以行政处罚的,应当开展重点监督检查。

第十一条 公安机关应当根据网络运营者履行法定网络安全义务的实际情况,依照国家有关规定和标准,对下列内容进行监督检查:

(一)是否办理联网单位备案手续,并报送接入单位和用户基本信息及其变更情况;

(二)是否制定并落实网络安全管理制度和操作规程,确定网络安全负责人;

(三)是否依法采取记录并留存用户注册信息和上网日志信息的技术措施;

(四)是否采取防范计算机病毒和网络攻击、网络侵入等技术措施;

(五)是否在公共信息服务中对法律、行政法规禁止发布或者传输的信息依法采取相关防范措施;

(六)是否按照法律规定的要求为公安机关依法维护国家安全、防范调查恐怖活动、侦查犯罪提供技术支持和协助;

(七)落实个人信息安全保护的情况:

1.是否对其收集的用户信息严格保密,并建立健全用户信息保护制度;

2.收集、使用个人信息,是否公开收集、使用规则,是否明示收集、使用信息的目的、方式和范围,是否经被收集者同意;

3.是否收集与其提供的服务无关的个人信息,是否违反法律、行政法规的规定和双方的约定收集、使用个人信息,是否依照法律、行政法规的规定和与用户的约定处理其保存的个人信息;

4.是否泄露、篡改、毁损其收集的个人信息;是否未经被收集者同意向他人提供个人信息;

5.是否采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,是否立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;

6.在个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息时,或者发现网络运营者收集、存储的其个人信息有错误时;网络运营者接到投诉或要求后,是否采取了措施予以删除或者更正;

7.是否存在窃取或者以其他非法方式获取个人信息、非法出售或者非法向他人提供个人信息,尚不构成犯罪的情况;

(八)落实信息和应用软件管理措施的情况:

1.是否加强了对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,立即停止了传输该信息,采取了消除等处置措施,防止了信息扩散,保存了有关记录,并向有关主管部门进行了报告;

2.发送的电子信息、提供的应用软件,是否设置了恶意程序,是否含有法律、行政法规禁止发布或者传输的信息;

3.是否履行了安全管理义务,知道其用户存在前款规定行为的时,停止了提供服务,采取了消除等处置措施,保存了有关记录,并向有关主管部门进行了报告;

(九)是否履行本规范第十二条、第十三条规定的网络安全等级保护等义务。

第十二条 网络安全等级保护监督检查的主要内容:

(一)等级保护工作组织开展、实施情况。安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;

(二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;

(三)信息系统定级情况,二级以上信息系统备案变动情况;

(四)信息安全设施建设情况和信息安全整改情况;

(五)信息安全管理制度建设和落实情况;

(六)信息安全保护技术措施建设和落实情况;

(七)选择使用信息安全产品情况;

(八)三级以上信息系统聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;

(九)自行定期开展自查情况;

(十)开展信息安全知识和技能培训情况。

第十三条 网络安全等级保护检查项目:

(一)等级保护工作部署和组织实施情况

1.是否下发开展网络安全等级保护工作的文件,出台有关工作意见或方案,组织开展网络安全等级保护工作情况。

2.是否建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。

3.是否依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。

4.是否制定本行业、本部门网络安全等级保护行业标准规范并组织实施。

(二)信息系统安全等级保护定级备案情况

1.了解未定级、备案信息系统情况以及第一级信息系统有关情况,对定级不准的提出调整建议。

2.现场查看备案的信息系统,核对备案材料,备案单位提交的备案材料与实际情况相符合情况。

3.补充提交《信息系统安全等级保护备案登记表》表四中有关备案材料。

4.信息系统所承载的业务、服务范围、安全需求等发生变化情况,以及信息系统安全保护等级变更情况。

5.新建信息系统在规划、设计阶段确定安全保护等级并备案情况。

(三)信息安全设施建设情况和信息安全整改情况

1.是否部署和组织开展信息安全建设整改工作。

2.是否制定信息安全建设规划、信息系统安全建设整改方案。

3.是否按照国家标准或行业标准建设安全设施,落实安全措施。

(四)信息安全管理制度建立和落实情况

1.是否建立基本安全管理制度,包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度。

2.是否建立安全责任制,系统管理员、网络管理员、安全管理员、安全审计员是否与本单位签订信息安全责任书。

3.是否建立安全审计管理制度、岗位和人员管理制度。

4.是否建立技术测评管理制度,信息安全产品采购、使用管理制度。

5.是否建立安全事件报告和处置管理制度,制定信息系统安全应急处置预案,定期组织开展应急处置演练。

6.是否建立教育培训制度,是否定期开展信息安全知识和技能培训。

(五)信息安全产品选择和使用情况

1.是否按照法律法规要求的条件选择使用信息安全产品。

2.是否要求产品研制、生产单位提供相关材料。包括营业执照,产品的版权或专利证书,提供的声明、证明材料,计算机信息系统安全专用产品销售许可证等。

3.采用国外信息安全产品的,是否经主管部门批准,并请有关单位对产品进行专门技术检测。

(六)聘请测评机构开展技术测评工作情况

1.是否按照法律法规的要求部署开展技术测评工作。对第三级信息系统每年开展一次技术测评,对第四级信息系统每半年开展一次技术测评。

2.是否按照法律法规规定的条件选择技术测评机构。

3.是否要求技术测评机构提供相关材料。包括营业执照、声明、证明及资质材料等。

4.是否与测评机构签订保密协议。

5.是否要求测评机构制定技术检测方案。

6.是否对技术检测过程进行监督,采取了哪些监督措施。

7.是否出具技术检测报告,检测报告是否规范、完整,检查结果是否客观、公正。

8.是否根据技术检测结果,对不符合安全标准要求的,进一步进行安全整改。

(七)定期自查情况

1.是否定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。第三级信息系统是否每年进行一次自查,第四级信息系统是否每半年进行一次自查。

2.经自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位是否进一步进行安全建设整改。

第十四条 关键信息基础设施监督检查项目:

除本规范第十一条的规定检查内容外,对关键信息基础设施的运营者还应当检查以下内容:

(一)建设的关键信息基础设施是否确保其具有支持业务稳定、持续运行的性能,是否保证安全技术措施同步规划、同步建设、同步使用;

(二)是否设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;

(三)是否定期对从业人员进行网络安全教育、技术培训和技能考核;

(四)是否对重要系统和数据库进行容灾备份;

(五)是否制定网络安全事件应急预案,并定期进行演练;

(六)采购网络产品和服务,可能影响国家安全的,是否通过国家网信部门会同国务院有关部门组织的国家安全审查;

(七)采购网络产品和服务,是否按照规定与提供者签订安全保密协议,明确安全和保密义务与责任;

(八)在中华人民共和国境内运营中收集和产生的个人信息和重要数据,是否在境内存储。因业务需要,确需向境外提供的,是否按照国家网信部门会同国务院有关部门制定的办法进行安全评估;

(九)是否自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

第十五条公安机关还应当根据提供互联网服务的类型,对下列内容进行监督检查:

(一)对提供互联网接入服务的,监督检查是否记录并留存网络地址及分配使用情况;

(二)对提供互联网数据中心服务的,监督检查是否记录所提供的主机托管、主机租用和虚拟空间租用的用户信息;

(三)对提供互联网域名服务的,监督检查是否记录网络域名申请、变动信息,是否对违法域名依法采取处置措施;

(四)对提供互联网信息服务的,监督检查是否依法采取用户发布信息管理措施,是否对已发布或者传输的法律、行政法规禁止发布或者传输的信息依法采取处置措施,并保存相关记录;

(五)对提供互联网内容分发服务的,监督检查是否记录内容分发网络与内容源网络链接对应情况;

(六)对提供互联网公共上网服务的,监督检查是否采取符合国家标准的网络与信息安全保护技术措施。

第十六条在国家重大网络安全保卫任务期间,对与国家重大网络安全保卫任务相关的网络运营者,公安机关可以对下列内容开展专项安全监督检查:

(一)是否制定重大网络安全保卫任务所要求的工作方案、明确网络安全责任分工并确定网络安全管理人员;

(二)是否组织开展网络安全风险评估,并采取相应风险管控措施堵塞网络安全漏洞隐患;

(三)是否制定网络安全应急处置预案并组织开展应急演练,应急处置相关设施是否完备有效;

(四)是否依法采取重大网络安全保卫任务所需要的其他网络安全防范措施;

(五)是否按照要求向公安机关报告网络安全防范措施及落实情况。

对防范恐怖袭击的重点目标的网络安全监督检查,按照前款规定的内容执行。

关于公开征求《广东省公安机关网络安全监督检查规范》意见的公告

第三章 监督检查程序

第十七条 制订监督检查方案,确定检查对象、检查重点、检查方式,通过查询的方式对检查对象网络安全工作基本情况进行了解掌握。

第十八条 做好检查准备事项。检查前预先准备好《公安机关网络安全监督检查通知书》《公安机关网络安全监督检查记录单》等相关法律文书、材料、工具等。

第十九条 公安机关开展网络安全监督检查,可以采取现场监督检查或者远程检测的方式进行。

第二十条 公安机关开展网络安全现场监督检查时,人民警察不得少于二人,并应当出示人民警察证和县级以上地方人民政府公安机关出具的监督检查通知书。

第二十一条 公安机关开展网络安全现场监督检查可以根据需要采取以下措施:

(一)进入营业场所、机房、工作场所;

(二)要求监督检查对象的负责人或者网络安全管理人员对监督检查事项做出说明;

(三)查阅、复制与网络安全监督检查事项相关的信息;

(四)查看网络与信息安全保护技术措施运行情况。

第二十二条 公安机关对网络运营者是否存在网络安全漏洞,可以开展远程检测。

公安机关开展远程检测,应当事先告知监督检查对象检查时间、检查范围等事项或者公开相关检查事项,不得干扰、破坏监督检查对象网络的正常运行。

第二十三条 公安机关开展现场监督检查或者远程检测,可以委托具有相应技术能力的网络安全服务机构提供技术支持。

网络安全服务机构及其工作人员对工作中知悉的个人信息、隐私、商业秘密和国家秘密,应当严格保密,不得泄露、出售或者非法向他人提供。公安机关应当严格监督网络安全服务机构落实网络安全管理与保密责任。

第二十四条 公安机关开展现场监督检查,应当制作监督检查记录,并由开展监督检查的人民警察和监督检查对象的负责人或者网络安全管理人员签名。监督检查对象负责人或者网络安全管理人员对监督检查记录有异议的,应当允许其作出说明;拒绝签名的,人民警察应当在监督检查记录中注明。

公安机关开展远程检测,应当制作监督检查记录,并由二名以上开展监督检查的人民警察在监督检查记录上签名。

委托网络安全服务机构提供技术支持的,技术支持人员应当一并在监督检查记录上签名。

第二十五条 公安机关在网络安全监督检查中,发现网络运营者存在网络安全风险隐患,应当督促指导其采取措施消除风险隐患,并在监督检查记录上注明;发现有违法行为,但情节轻微或者未造成后果的,应当责令其限期五日内完成整改。

监督检查对象在整改期限届满前认为已经整改完毕的,可以向公安机关书面提出提前复查申请。

公安机关应当自整改期限届满或者收到监督检查对象提前复查申请之日起三个工作日内,对整改情况进行复查,并在复查结束后三个工作日内反馈复查结果。

第二十六条 监督检查过程中收集的资料、制作的各类文书等材料,应当按照规定立卷存档。

关于公开征求《广东省公安机关网络安全监督检查规范》意见的公告

第四章 法律责任

第二十七条 违反本规范的,依照《中华人民共和国网络安全法》等法律法规处罚,构成犯罪的,依法追究刑事责任。

关于公开征求《广东省公安机关网络安全监督检查规范》意见的公告

第五章 附则

第三十三条 本规范自201X年X月X日起施行。

附件1 公安机关网络安全监督检查通知书(模版).doc

附件2 公安机关网络安全监督检查记录单(模版).doc

附件3 公安机关网络安全监督检查反馈意见(模版).doc

附件4 公安机关网络安全监督检查限期整改通知书(模版).doc

附件5 公安机关网络安全监督检查立卷存档(模版).doc

关于公开征求《广东省公安机关网络安全监督检查规范》意见的公告

来源:广东省公安厅


正文完,原文标题:关于公开征求《广东省公安机关网络安全监督检查规范》意见的公告
原文发布时间:2019-07-05 20:43:19
原文作者:汕头网警巡查执法。

公安机关执法公开规定 公安机关执法公开规定




本文关键词:公安机关执法公开规定
猜你喜欢