11.1 公安機關監督檢查工作的法規依據
第11章
網絡安全監管
本章主要介紹公安機關開展信息安全等級保護安全監管的法規依據,給出監督檢查的工作目的、檢查內容和項目、檢查方式、檢查原則和檢查要求,最後給出信息系統運營使用單位不符合監管要求的處理方式。
11.1公安機關監督檢查工作的法規依據
11.1.1中華人民共和國計算機信息系統安全保護條例
1994年2月18日,中華人民共和國國務院令第147號發佈《中華人民共和國計算機信息系統安全保護條例》,對公安機關開展信息系統等級保護監督檢查工作在法律上給出明確說明。
第六條公安部主管全國計算機信息系統安全保護工作。
第九條計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定。
第十七條公安機關對計算機信息系統安全保護工作行使下列監督職權:
監督、檢查、指導計算機信息系統安全保護工作;
查處危害計算機信息系統安全的違法犯罪案件;
履行計算機信息系統安全保護工作的其他監督職責。
第二十條違反本條例的規定,有下列行為之一的,由公安機關處以警告或者停機整頓:
(一)違反計算機信息系統安全等級保護制度,危害計算機信息系統安全的;
(二)違反計算機信息系統國際聯網備案制度的;
(三)不按照規定時間報告計算機信息系統中發生的案件的;
(四)接到公安機關要求改進安全狀況的通知后,在限期內拒不改進的;
(五)有危害計算機信息系統安全的其他行為的。
第三十條公安部可以根據本條例制定實施辦法。
國務院令第147號,一是明確公安行使監督檢查信息系統安全保護工作的職權;二是確定了等級保護是計算機信息系統安全保護的一項制度;三是出台配套的規章和技術標準;四是明確公安部門在等級保護工作中的牽頭地位。
在國務院令第147號的法規指導下,公安機關在信息系統安全等級保護監督檢查方面制定了對應的實施條例和方法。
11.1.2中華人民共和國警察法
2012年10月26日修訂的《中華人民共和國警察法》第六條第十二款規定,公安機關人民警察依法履行“監督管理計算機信息系統的安全保護工作。”實施信息安全等級保護是公安機關保障重要信息系統安全的重要手段。組織開展信息安全等級保護工作室公安機關在信息網絡領域開展的面向全社會的管理監察工作,是公安機關在信息化、網際空間安全方面開展的一項新的職責。
11.1.3關於信息安全等級保護工作的實施意見
2004年9月15日,公安部聯合其他部門發佈《關於信息安全等級保護工作的實施意見》(公通字〔2004〕66號),文件就開展等級保護監督檢查工作給出具體實施意見。
在“信息安全等級保護制度的原則”描述中,對“指導監督,重點保護”原則明確指出:“國家指定信息安全監管職能部門通過備案、指導、檢查、督促整改等方式,對重要信息和信息系統的信息安全保護工作進行指導監督”。這裏的信息安全監管職能部門是指公安機關負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。
在“信息安全等級保護制度的基本內容”一節中明確規定:“國家對不同安全保護級別的信息和信息系統實行不同強度的監管政策”。具體來講:第一級依照國家管理規範和技術標準進行自主保護;第二級在信息安全監管職能部門指導下依照國家管理規範和技術標準進行自主保護;第三級依照國家管理規範和技術標準進行自主保護,信息安全監管職能部門對其進行監督、檢查;第四級依照國家管理規範和技術標準進行自主保護,信息安全監管職能部門對其進行強制監督、檢查;第五級依照國家管理規範和技術標準進行自主保護,國家指定專門部門、專門機構進行專門監督。
在“實施信息安全等級保護工作的要求”中指出,“公安機關按照等級保護的管理規範和技術標準的要求,重點對第三、第四級信息和信息系統的安全等級保護狀況進行監督檢查”。發現確定的安全保護等級不符合等級保護的管理規範和技術標準的,要通知信息和信息系統的主管部門及運營、使用單位進行整改;發現存在安全隱患或未達到等級保護的管理規範和技術標準要求的,要限期整改,使信息和信息系統的安全保護措施更加完善。對信息系統中使用的信息安全產品的等級進行監督檢查。
11.1.4信息安全等級保護管理辦法
2007年6月22日發佈的《信息安全等級保護管理辦法》(公通字〔2007〕43號)是為規範信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設,根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規而制定的辦法。該方法對公安機關開展監督檢查工作給出具體方法指導。
《信息安全等級保護管理辦法》第二條規定:“國家通過制定統一的信息安全等級保護管理規範和技術標準,組織公民、法人和其他組織對信息系統分等級實行安全保護,對等級保護工作的實施進行監督、管理”。
《信息安全等級保護管理辦法》第三條規定:“公安機關負責信息安全等級保護工作的監督、檢查、指導”。
《信息安全等級保護管理辦法》第八條規定:“國家有關信息安全監管部門對其信息安全等級保護工作進行監督管理。第三級信息系統,國家信息安全監管部門對該級信息系統信息安全等級保護工作進行監督、檢查。第四級信息系統,國家信息安全監管部門對該級信息系統信息安全等級保護工作進行強制監督、檢查。第五級信息系統,國家指定專門部門對該級信息系統信息安全等級保護工作進行專門監督、檢查。”
11.1.5公安機關信息安全等級保護檢查工作規範
2008年6月10日,為配合《信息安全等級保護管理辦法》(公通字〔2007〕43號)的貫徹實施,嚴格規範公安機關信息安全等級保護檢查工作,實現檢查工作的規範化、制度化,公安部制定了《公安機關信息安全等級保護檢查工作規範(試行)》(公信安〔2008〕736號)。文件就檢查內容、檢查項目、檢查規範、檢查要求、違規處理進行了詳細說明,同時給出信息安全等級保護監督檢查通知書、信息安全等級保護監督檢查記錄、信息系統安全等級保護限期整改通知書、信息安全等級保護檢查情況通報書的格式規範,為公安機關開展信息安全等級保護檢查工作給出具體規範指導。
11.1.6關於開展信息安全等級保護專項監督檢查工作的通知
2010年9月1日,公安部十一局為了推動信息安全等級保護工作,加強信息安全等級保護制度建設,提高我國重要信息系統和信息網絡的安全水平,下發了《關於信息安全等級保護專項監督檢查工作的通知》(公信安〔2010〕1175號)。通知文件圍繞檢查目的、檢查內容、檢查方式、進度安排給出具體工作要求。