重要信息系統(tǒng)和政府網(wǎng)站安全現(xiàn)場(chǎng)檢查工作指南

1、附件：2013年重要信息系統(tǒng)和政府網(wǎng)站安全現(xiàn)場(chǎng)檢查工作指南現(xiàn)場(chǎng)檢查工作是重要信息系統(tǒng)和政府網(wǎng)站安全專項(xiàng)檢查工作的關(guān)鍵環(huán)節(jié)。公安機(jī)關(guān)通過開展現(xiàn)場(chǎng)檢查，實(shí)地了解、核實(shí)重點(diǎn)監(jiān)管對(duì)象網(wǎng)絡(luò)安全工作的基本情況，指出工作中存在的突出問題，并通報(bào)當(dāng)前網(wǎng)絡(luò)安全的形勢(shì)和面臨的威脅，明確今后的工作要求，對(duì)于加強(qiáng)公安機(jī)關(guān)網(wǎng)絡(luò)安全監(jiān)管，督促本地重要信息系統(tǒng)和政府網(wǎng)站責(zé)任部門加強(qiáng)網(wǎng)絡(luò)安全保障工作，有效防范網(wǎng)絡(luò)與信息安全事件（事故）的發(fā)生具有重要意義。為指導(dǎo)各級(jí)公安機(jī)關(guān)做好重要信息系統(tǒng)和政府網(wǎng)站安全現(xiàn)場(chǎng)檢查工作，特制定本指南。一、準(zhǔn)備階段（一）確定檢查對(duì)象為確保專項(xiàng)檢查工作取得實(shí)效，按照全國重要信息系統(tǒng)和政府網(wǎng)站安全專項(xiàng)檢

2、查工作方案（以下簡(jiǎn)稱檢查方案）要求，現(xiàn)場(chǎng)檢查對(duì)象應(yīng)包含以下單位：1、本地行業(yè)主管部門；2、在本級(jí)備案的第三級(jí)（含）以上重要信息系統(tǒng)運(yùn)營使用單位；3、經(jīng)遠(yuǎn)程技術(shù)檢測(cè)發(fā)現(xiàn)存在嚴(yán)重安全隱患的本地政府網(wǎng)站責(zé)任單位；4、本地因信息系統(tǒng)定級(jí)偏低、未定級(jí)備案等原因，可能存在第三級(jí)（含）以上重要信息系統(tǒng)的單位；5、其它根據(jù)本地工作實(shí)際，需要進(jìn)行現(xiàn)場(chǎng)檢查的單位。（二）成立檢查組，明確檢查任務(wù)分工根據(jù)現(xiàn)場(chǎng)檢查對(duì)象的數(shù)量情況，成立若干個(gè)檢查組，明確各組檢查任務(wù)。1、抽調(diào)網(wǎng)安部門相關(guān)人員成立檢查組，每個(gè)檢查組不得少于3人，組長由總隊(duì)領(lǐng)導(dǎo)或科隊(duì)領(lǐng)導(dǎo)擔(dān)任。根據(jù)工作安排，對(duì)重點(diǎn)單位的現(xiàn)場(chǎng)檢查工作應(yīng)請(qǐng)分管網(wǎng)安工作的廳（局）領(lǐng)

3、導(dǎo)臨時(shí)任組長帶隊(duì)檢查；2、將現(xiàn)場(chǎng)檢查對(duì)象合理分配到各檢查組。為保證檢查效果，根據(jù)現(xiàn)場(chǎng)檢查時(shí)間總體安排適當(dāng)分配每個(gè)檢查組的檢查對(duì)象數(shù)量；3、檢查本地行業(yè)主管部門所管轄的企事業(yè)單位時(shí)，應(yīng)會(huì)同行業(yè)主管部門相關(guān)負(fù)責(zé)同志參加；4、各地可根據(jù)實(shí)際情況和檢查工作需要，組織本地有關(guān)專家參加檢查組，為現(xiàn)場(chǎng)檢查工作提供技術(shù)支持。（三）集中對(duì)檢查組成員進(jìn)行培訓(xùn)組織檢查組所有成員開展培訓(xùn)，掌握開展檢查工作必需的業(yè)務(wù)知識(shí)。培訓(xùn)至少包含以下內(nèi)容：國內(nèi)外網(wǎng)絡(luò)安全形勢(shì)和信息安全等級(jí)保護(hù)工作概況（可參考關(guān)于印發(fā)當(dāng)前國內(nèi)外網(wǎng)絡(luò)安全形勢(shì)等有關(guān)材料的通知（公信安20132043號(hào)）；此次專項(xiàng)檢查工作的目的、意義、內(nèi)容和工作要求（可參

4、考檢查方案）；現(xiàn)場(chǎng)檢查階段每一個(gè)步驟的內(nèi)容、方法和要求（可參考本指南）；根據(jù)本年度的等級(jí)保護(hù)工作要點(diǎn)和重點(diǎn)任務(wù)要求，結(jié)合本地工作實(shí)際，應(yīng)該向被檢查單位明確的工作任務(wù)要求；現(xiàn)場(chǎng)檢查工作的著裝要求（制式警服）、語言態(tài)度、紀(jì)律要求等工作要求。（四）掌握被檢查單位的基本情況通過查閱檢查對(duì)象的專項(xiàng)檢查自查報(bào)告、重要信息系統(tǒng)和政府網(wǎng)站安全專項(xiàng)檢查自查表，梳理日常管理工作了解掌握的情況，全面了解掌握被檢查單位網(wǎng)絡(luò)安全工作的情況，重點(diǎn)掌握以下內(nèi)容：1、被檢查單位的基本情況，單位信息系統(tǒng)和政府網(wǎng)站的數(shù)量及定級(jí)備案情況；2、信息系統(tǒng)等級(jí)測(cè)評(píng)和安全建設(shè)整改等工作的開展情況；3、網(wǎng)絡(luò)安全工作組織領(lǐng)導(dǎo)和工作部署、安全管

5、理制度建設(shè)、安全建設(shè)經(jīng)費(fèi)保障和安全責(zé)任制落實(shí)等情況；4、政府網(wǎng)站安全責(zé)任落實(shí)情況，網(wǎng)站防入侵、防攻擊、防篡改的能力情況；5、網(wǎng)絡(luò)安全自查、監(jiān)測(cè)預(yù)警、備份恢復(fù)、應(yīng)急處置等工作開展情況；網(wǎng)絡(luò)安全事件（事故）的發(fā)生情況；6、國外信息技術(shù)產(chǎn)品和服務(wù)的使用情況；7、公安機(jī)關(guān)對(duì)被檢查單位政府網(wǎng)站的技術(shù)檢測(cè)結(jié)果；8、被檢查單位信息與網(wǎng)絡(luò)安全事件（事故）發(fā)生情況；9、2012年對(duì)被檢查單位開展安全檢查的工作情況，查看當(dāng)時(shí)下發(fā)的反饋意見或信息系統(tǒng)安全等級(jí)保護(hù)限期整改通知書，了解相關(guān)情況；10、被檢查單位是否存在下屬企事業(yè)單位，其下屬單位信息安全等級(jí)保護(hù)相關(guān)工作情況等。（五）向被檢查單位下發(fā)檢查通知與被檢查單位聯(lián)

6、系，商定具體檢查時(shí)間和安排，發(fā)送重要信息系統(tǒng)和政府網(wǎng)站安全現(xiàn)場(chǎng)檢查通知書（附件1），請(qǐng)被檢查單位做好相關(guān)檢查準(zhǔn)備工作。具體包括：1、通知被檢查單位應(yīng)到場(chǎng)人員。包括：該單位網(wǎng)絡(luò)安全工作分管領(lǐng)導(dǎo)和主管部門的負(fù)責(zé)同志、網(wǎng)絡(luò)安全具體工作負(fù)責(zé)人和相關(guān)人員。2、通知被檢查單位準(zhǔn)備書面匯報(bào)材料。包括：本單位網(wǎng)絡(luò)安全工作的基本情況；按照檢查方案要求，本單位重要信息系統(tǒng)和政府網(wǎng)站安全自查情況；網(wǎng)絡(luò)與信息安全工作中存在的問題、不足以及下一步工作打算；對(duì)公安機(jī)關(guān)重要信息系統(tǒng)和政府網(wǎng)站安全監(jiān)管工作的意見和建議等。3、通知被檢查單位準(zhǔn)備現(xiàn)場(chǎng)檢查涉及到的有關(guān)工作文件、文檔資料等書面材料。4、如已通報(bào)被檢查單位政府網(wǎng)站存在

7、安全隱患或漏洞，應(yīng)通知被檢查單位匯報(bào)相關(guān)整改工作情況。5、需要和行業(yè)主管部門聯(lián)合進(jìn)行現(xiàn)場(chǎng)檢查的，提前與其溝通聯(lián)系。二、現(xiàn)場(chǎng)檢查階段（一）介紹檢查基本情況并聽取被檢查單位匯報(bào)檢查組介紹檢查有關(guān)要求，并簡(jiǎn)要說明此次專項(xiàng)檢查工作的目的、主要內(nèi)容和有關(guān)要求等具體情況，聽取被檢查單位網(wǎng)絡(luò)與信息安全工作情況匯報(bào)，通報(bào)當(dāng)前國內(nèi)外網(wǎng)絡(luò)安全形勢(shì)，并結(jié)合國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見（國發(fā)201223號(hào)），國家發(fā)改委、公安部、財(cái)政部、國家保密局、國家電子政務(wù)內(nèi)網(wǎng)辦聯(lián)合印發(fā)的關(guān)于進(jìn)一步加強(qiáng)國家電子政務(wù)網(wǎng)絡(luò)建設(shè)和應(yīng)用工作的通知（發(fā)改高技20121986號(hào)），國務(wù)院關(guān)于推進(jìn)物聯(lián)網(wǎng)有序健康發(fā)展的

8、指導(dǎo)意見（國發(fā)20137號(hào)）等文件中對(duì)信息安全等級(jí)保護(hù)工作的最新政策要求和有關(guān)工作要求，與被檢查單位進(jìn)行溝通交流。檢查期間，檢查組要統(tǒng)籌安排時(shí)間，明確工作分工，同步做好溝通交流、核對(duì)材料等相關(guān)工作，并認(rèn)真填寫重要信息系統(tǒng)和政府網(wǎng)站安全現(xiàn)場(chǎng)檢查記錄單（附件2）。（2） 現(xiàn)場(chǎng)檢查的主要內(nèi)容檢查組應(yīng)根據(jù)國家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，按照檢查方案的內(nèi)容和要求，重點(diǎn)核實(shí)以下內(nèi)容：、單位重要信息系統(tǒng)安全保護(hù)工作的相關(guān)情況：（1）網(wǎng)絡(luò)安全工作協(xié)調(diào)（領(lǐng)導(dǎo)）機(jī)制建立運(yùn)行情況檢查內(nèi)容：是否成立了指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)擔(dān)任或授權(quán)；是否設(shè)立了信息安全管理工作的

9、職能部門，并明確職責(zé)和任務(wù)要求。檢查方法：聽取被檢查單位相關(guān)工作情況匯報(bào)，查閱該單位網(wǎng)絡(luò)安全工作議事或例會(huì)制度等文檔材料。（2）網(wǎng)絡(luò)安全人員配備和責(zé)任制落實(shí)情況檢查內(nèi)容：是否設(shè)立了單位網(wǎng)絡(luò)安全管理崗位，并明確了職責(zé)和責(zé)任人；是否書面規(guī)定了安全責(zé)任和懲戒措施。檢查方法：查閱該單位網(wǎng)絡(luò)安全工作責(zé)任分工和崗位職責(zé)等文檔材料。（3）網(wǎng)絡(luò)安全規(guī)劃制定落實(shí)情況檢查內(nèi)容：是否對(duì)本單位信息系統(tǒng)的安全建設(shè)制定了總體規(guī)劃；是否制定了相關(guān)工作規(guī)范，確保本單位的信息系統(tǒng)建設(shè)與安全建設(shè)同步規(guī)劃、同步設(shè)計(jì)、同步實(shí)施；是否根據(jù)信息系統(tǒng)的等級(jí)情況，制定了相應(yīng)的安全保護(hù)策略。檢查方法：聽取被檢查單位相關(guān)工作情況匯報(bào)，查閱該單位

10、網(wǎng)絡(luò)安全規(guī)劃和策略等文檔材料。（4）對(duì)網(wǎng)絡(luò)安全工作的重視情況、網(wǎng)絡(luò)安全經(jīng)費(fèi)保障情況以及信息安全等級(jí)保護(hù)工作的組織部署情況檢查內(nèi)容：?jiǎn)挝恢饕?fù)責(zé)同志是否對(duì)網(wǎng)絡(luò)安全工作有重要批示和指示；是否定期組織召開本單位信息安全會(huì)議，研究信息安全等級(jí)保護(hù)等重點(diǎn)工作，是否制定工作計(jì)劃，落實(shí)等級(jí)保護(hù)各項(xiàng)任務(wù)要求，并建立了相關(guān)的考核制度；是否能夠保障網(wǎng)絡(luò)安全所需經(jīng)費(fèi)。檢查方法：聽取被檢查單位相關(guān)工作情況匯報(bào)，查閱該單位網(wǎng)絡(luò)安全工作的相關(guān)考核指標(biāo)、工作部署文件和相關(guān)工作方案、網(wǎng)絡(luò)安全所需的經(jīng)費(fèi)預(yù)算及執(zhí)行等方面文檔材料。（5）有關(guān)網(wǎng)絡(luò)安全管理制度的建立和執(zhí)行情況檢查內(nèi)容：是否制訂了包括人員錄用、安全培訓(xùn)、安全保密、人員

11、離崗等方面在內(nèi)的網(wǎng)絡(luò)安全人員管理制度；是否針對(duì)信息系統(tǒng)建設(shè)過程中的產(chǎn)品采購、服務(wù)外包、系統(tǒng)投入使用前進(jìn)行安全測(cè)試等方面建立了相應(yīng)的管理制度；是否與服務(wù)外包中標(biāo)企業(yè)簽訂了安全保密責(zé)任書。檢查方法：簡(jiǎn)要查看相關(guān)文檔，并詢問日常安全管理制度的執(zhí)行情況。（6）信息系統(tǒng)定級(jí)備案工作開展情況檢查內(nèi)容：本單位所有信息系統(tǒng)是否都確定了安全保護(hù)等級(jí)；信息系統(tǒng)定級(jí)結(jié)果是否經(jīng)過專家評(píng)審和上級(jí)主管部門審批；安全保護(hù)等級(jí)為第二級(jí)（含）以上的信息系統(tǒng)，是否已經(jīng)到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理了備案手續(xù)；信息系統(tǒng)發(fā)生變更是否重新確定安全保護(hù)等級(jí)并備案。檢查方法：聽取被檢查單位相關(guān)工作情況匯報(bào)，查看信息系統(tǒng)定級(jí)報(bào)告和第二級(jí)

12、（含）以上信息系統(tǒng)備案證明。（7）第三級(jí)（含）以上重要信息系統(tǒng)等級(jí)測(cè)評(píng)和安全建設(shè)整改工作開展情況檢查內(nèi)容：?jiǎn)挝坏谌?jí)（含）以上重要信息系統(tǒng)是否開展了等級(jí)測(cè)評(píng)；是否根據(jù)等級(jí)測(cè)評(píng)結(jié)果，制定了信息系統(tǒng)安全建設(shè)整改方案，開展了安全建設(shè)整改工作；所選擇的測(cè)評(píng)機(jī)構(gòu)是否具有相應(yīng)資質(zhì)。檢查方法：聽取被檢查單位相關(guān)工作情況匯報(bào)，根據(jù)被檢查單位在公安機(jī)關(guān)的備案信息，查閱被檢查單位第三級(jí)（含）以上重要信息系統(tǒng)的等級(jí)測(cè)評(píng)報(bào)告文檔、安全建設(shè)整改方案等文檔；核實(shí)等級(jí)測(cè)評(píng)機(jī)構(gòu)是否有推薦資質(zhì)。（8）信息安全自查工作情況檢查內(nèi)容：是否制定了本單位網(wǎng)絡(luò)安全自查工作計(jì)劃并部署實(shí)施；是否定期對(duì)信息系統(tǒng)安全狀況、安全管理制度及措施的落

13、實(shí)情況進(jìn)行了自查；是否對(duì)自查中發(fā)現(xiàn)的安全威脅和隱患進(jìn)行了整改；是否對(duì)公安機(jī)關(guān)監(jiān)督檢查時(shí)指出的問題進(jìn)行了整改。檢查方法：聽取被檢查單位相關(guān)工作情況匯報(bào)，查閱自查計(jì)劃、自查報(bào)告等相關(guān)文檔材料。同時(shí)查閱，根據(jù)公安機(jī)關(guān)檢查反饋意見或整改通知書要求，有關(guān)整改工作的部署實(shí)施材料。（9）重要信息系統(tǒng)安全監(jiān)測(cè)預(yù)警、容災(zāi)備份等工作情況檢查內(nèi)容：是否對(duì)單位第三級(jí)（含）以上重要信息系統(tǒng)安全運(yùn)行狀況進(jìn)行了監(jiān)測(cè)，對(duì)報(bào)警情況進(jìn)行了及時(shí)處置；是否建立了重要系統(tǒng)和數(shù)據(jù)的容災(zāi)備份安全管理制度和技術(shù)措施，并定期進(jìn)行備份和恢復(fù)操作。檢查方法：聽取被檢查單位相關(guān)工作情況匯報(bào)，查看監(jiān)測(cè)預(yù)警記錄、備份和恢復(fù)記錄等有關(guān)文檔材料。（10）安

14、全事件應(yīng)急處置工作情況檢查內(nèi)容：是否制定了安全事件應(yīng)急預(yù)案；是否定期對(duì)應(yīng)急預(yù)案進(jìn)行演練并修改完善；應(yīng)急預(yù)案的執(zhí)行是否有足夠的資源保障。檢查方法：聽取被檢查單位相關(guān)工作情況匯報(bào)，查閱應(yīng)急預(yù)案、應(yīng)急演練報(bào)告、應(yīng)急保障技術(shù)支撐隊(duì)伍名單等有關(guān)文檔材料。 （11）行業(yè)主管部門履職情況檢查內(nèi)容：作為行業(yè)主管部門，是否掌握本行業(yè)信息系統(tǒng)底數(shù)，系統(tǒng)定級(jí)、備案、測(cè)評(píng)和整改數(shù)量；是否出臺(tái)了推進(jìn)行業(yè)信息安全等級(jí)保護(hù)制度落實(shí)的指導(dǎo)意見或相關(guān)技術(shù)標(biāo)準(zhǔn)；是否定期開展了行業(yè)網(wǎng)絡(luò)安全培訓(xùn)；是否定期對(duì)行業(yè)網(wǎng)絡(luò)安全工作開展監(jiān)督檢查和指導(dǎo)。 檢查方法：聽取被檢查單位相關(guān)工作情況匯報(bào)，查閱行業(yè)信息系統(tǒng)有關(guān)統(tǒng)計(jì)數(shù)據(jù)、行業(yè)等級(jí)保護(hù)文件和

15、標(biāo)準(zhǔn)規(guī)范、行業(yè)網(wǎng)絡(luò)安全培訓(xùn)工作計(jì)劃或報(bào)告、行業(yè)網(wǎng)絡(luò)安全檢查工作報(bào)告等有關(guān)文檔材料。、單位政府網(wǎng)站安全保護(hù)工作的相關(guān)情況：（1）網(wǎng)站安全責(zé)任部門和責(zé)任人的落實(shí)情況檢查內(nèi)容：是否落實(shí)了單位政府網(wǎng)站安全責(zé)任部門和安全責(zé)任人。檢查方法：聽取被檢查單位相關(guān)工作情況匯報(bào)，查閱網(wǎng)站安全責(zé)任部門安全責(zé)任分工、崗位職責(zé)等文檔材料。（2）網(wǎng)站定級(jí)備案、安全測(cè)評(píng)和整改工作情況檢查內(nèi)容：?jiǎn)挝徽W(wǎng)站是否確定了安全保護(hù)等級(jí)并按要求到公安機(jī)關(guān)備案；是否進(jìn)行了安全測(cè)評(píng)，并根據(jù)測(cè)評(píng)結(jié)果進(jìn)行了整改。檢查方法：聽取被檢查單位相關(guān)工作情況匯報(bào)，查閱網(wǎng)站定級(jí)備案、安全測(cè)評(píng)和建設(shè)整改等有關(guān)文檔材料。（3）網(wǎng)站安全管理制度的建立和落實(shí)情

16、況檢查內(nèi)容：?jiǎn)挝徽W(wǎng)站是否建立了安全事件報(bào)告處置制度、網(wǎng)站內(nèi)容管理及信息發(fā)布審核制度、網(wǎng)站用戶個(gè)人信息保護(hù)制度等安全管理制度。檢查方法：聽取被檢查單位相關(guān)工作情況匯報(bào)，簡(jiǎn)單查閱相關(guān)制度文檔材料。（4）網(wǎng)站安全保護(hù)技術(shù)措施落實(shí)情況檢查內(nèi)容：?jiǎn)挝徽W(wǎng)站是否有防攻擊、防篡改、防竊密等安全技術(shù)措施。檢查方法：聽取被檢查單位相關(guān)工作情況匯報(bào)，結(jié)合此次政府網(wǎng)站遠(yuǎn)程檢測(cè)結(jié)果，詢問相關(guān)技術(shù)措施的落實(shí)情況和有效性。同時(shí)，如該單位政府網(wǎng)站經(jīng)檢測(cè)發(fā)現(xiàn)存在安全隱患或漏洞，并已經(jīng)書面告知，檢查其整改工作落實(shí)情況。（5）網(wǎng)站安全事件應(yīng)急處置情況檢查內(nèi)容：?jiǎn)挝徽W(wǎng)站是否制訂了安全事件應(yīng)急處置預(yù)案；是否定期組織演練；是

17、否有應(yīng)急保障技術(shù)支撐隊(duì)伍。檢查方法：聽取被檢查單位相關(guān)工作情況匯報(bào)，查閱應(yīng)急預(yù)案、應(yīng)急演練報(bào)告、安全事件處置報(bào)告、應(yīng)急保障技術(shù)支撐隊(duì)伍名單等有關(guān)文檔材料。（三）現(xiàn)場(chǎng)檢查總結(jié)檢查組成員對(duì)現(xiàn)場(chǎng)檢查情況進(jìn)行合議，對(duì)不明確的情況與被檢查單位進(jìn)行核實(shí)后向組長報(bào)告檢查情況。檢查組結(jié)合現(xiàn)場(chǎng)檢查情況，肯定其工作成績(jī)，明確指出其存在的問題和不足，提出相關(guān)工作要求和意見建議，并對(duì)現(xiàn)場(chǎng)檢查之后的意見反饋等有關(guān)工作進(jìn)行說明。三、總結(jié)反饋階段（一）反饋檢查結(jié)果各檢查組在開展現(xiàn)場(chǎng)檢查后，要認(rèn)真匯總分析被檢查單位的情況，對(duì)被檢查單位重要信息系統(tǒng)和政府網(wǎng)站安全保護(hù)工作開展較好的，要在檢查后的10個(gè)工作日內(nèi)，向被檢查單位反饋重

18、要信息系統(tǒng)和政府網(wǎng)站安全專項(xiàng)檢查的反饋意見（附件3），肯定其工作成績(jī)，指出工作中的薄弱環(huán)節(jié)和不足，提出下一步工作要求和意見建議。（二）對(duì)存在嚴(yán)重安全問題的單位發(fā)整改通知或約談1、被檢查單位存在以下情況之一的，向被檢查單位發(fā)送信息系統(tǒng)安全等級(jí)保護(hù)限期整改通知書（附件4）：（1）單位網(wǎng)絡(luò)與信息安全責(zé)任不清，未明確相關(guān)責(zé)任部門和人員的；（2）單位存在未定級(jí)備案信息系統(tǒng)，或信息系統(tǒng)定級(jí)明顯不準(zhǔn)的；（3）單位第三級(jí)（含）以上重要信息系統(tǒng)從未開展過等級(jí)測(cè)評(píng)的；（4）單位第三級(jí)（含）以上重要信息系統(tǒng)存在嚴(yán)重安全隱患，沒有落實(shí)整改措施的（通過查閱信息系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告獲?。?（5）經(jīng)核實(shí)，單位政府網(wǎng)站存在嚴(yán)重

19、安全隱患的；（6）其它嚴(yán)重影響重要信息系統(tǒng)和政府網(wǎng)站安全的情況。2、對(duì)在現(xiàn)場(chǎng)檢查階段發(fā)現(xiàn)的不重視網(wǎng)絡(luò)安全工作、對(duì)公安機(jī)關(guān)限期整改意見不落實(shí)的單位，要約談其單位責(zé)任領(lǐng)導(dǎo)和相關(guān)責(zé)任人，要求其到公安機(jī)關(guān)解釋原因，說明情況，提出下一步的改進(jìn)措施。如果被約談單位有上級(jí)主管部門，約談的相關(guān)情況要通報(bào)其上級(jí)主管部門。（三）檢查材料匯總歸檔和工作總結(jié)各檢查組要及時(shí)匯總檢查材料，指定專人對(duì)檢查過程中的文檔進(jìn)行歸檔。檢查結(jié)束后，要召開公安機(jī)關(guān)內(nèi)部總結(jié)會(huì)議，通報(bào)前期檢查工作情況，匯總現(xiàn)場(chǎng)檢查工作中發(fā)現(xiàn)的突出問題，總結(jié)檢查工作經(jīng)驗(yàn)，不斷完善檢查工作內(nèi)容和方式方法，研究建立檢查工作的長效工作機(jī)制。 附件：1、重要信息系

20、統(tǒng)和政府網(wǎng)站安全專項(xiàng)檢查通知書2、重要信息系統(tǒng)和政府網(wǎng)站安全現(xiàn)場(chǎng)檢查記錄單3、重要信息系統(tǒng)和政府網(wǎng)站安全專項(xiàng)檢查反饋意見4、信息系統(tǒng)安全等級(jí)保護(hù)限期整改通知書（此處印制公安機(jī)關(guān)名稱）重要信息系統(tǒng)和政府網(wǎng)站安全專項(xiàng)檢查通知書公信安 檢字 號(hào) 被檢查單位名稱 檢查時(shí)間 檢查地點(diǎn) 檢查單位 承 辦 人 批 準(zhǔn) 人 檢查人員 填發(fā)日期 附件1：存根（此處印制公安機(jī)關(guān)名稱）重要信息系統(tǒng)和政府網(wǎng)站安全專項(xiàng)檢查通知書 公信安 檢字 號(hào) ：根據(jù)中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例和信息安全等級(jí)保護(hù)管理辦法規(guī)定，我單位決定于 年 月 日至 年 月 日對(duì)你單位重要信息系統(tǒng)和政府網(wǎng)站安全保護(hù)工作開展情況進(jìn)行監(jiān)督

21、檢查。請(qǐng)你該單位網(wǎng)絡(luò)安全工作分管領(lǐng)導(dǎo)和主管部門的負(fù)責(zé)同志、網(wǎng)絡(luò)安全具體工作負(fù)責(zé)人和相關(guān)人員參加，并準(zhǔn)備好相關(guān)匯報(bào)材料、工作文件和管理文檔等資料，以備核查。檢查工作聯(lián)系人： 聯(lián)系 ： 附件：現(xiàn)場(chǎng)檢查內(nèi)容及所需的備查材料清單（公安機(jī)關(guān)印章） 年 月 日 附件：現(xiàn)場(chǎng)檢查內(nèi)容及所需的備查材料清單1、單位重要信息系統(tǒng)和政府網(wǎng)站安全保護(hù)工作匯報(bào)材料重點(diǎn)包括：被檢查單位本單位網(wǎng)絡(luò)安全工作的基本情況；按照檢查方案要求，本單位重要信息系統(tǒng)和政府網(wǎng)站安全自查情況；網(wǎng)絡(luò)與信息安全工作中存在的問題、不足以及下一步工作打算；對(duì)公安機(jī)關(guān)重要信息系統(tǒng)和政府網(wǎng)站安全監(jiān)管工作的意見和建議等。2、單位重要信息系統(tǒng)安全保護(hù)工作的相

22、關(guān)情況（1）網(wǎng)絡(luò)安全工作協(xié)調(diào)（領(lǐng)導(dǎo)）機(jī)制建立運(yùn)行情況。需要查閱該單位網(wǎng)絡(luò)安全工作議事或例會(huì)制度等文檔材料。（2）網(wǎng)絡(luò)安全人員配備和責(zé)任制落實(shí)情況。需要查閱該單位網(wǎng)絡(luò)安全工作責(zé)任分工和崗位職責(zé)等文檔材料。（3）網(wǎng)絡(luò)安全規(guī)劃制定落實(shí)情況。需要查閱該單位網(wǎng)絡(luò)安全規(guī)劃和策略等文檔材料。（4）對(duì)網(wǎng)絡(luò)安全工作的重視情況、網(wǎng)絡(luò)安全經(jīng)費(fèi)保障情況以及信息安全等級(jí)保護(hù)工作的組織部署情況。需要查閱該單位網(wǎng)絡(luò)安全工作的相關(guān)考核指標(biāo)、工作部署文件和相關(guān)工作方案、網(wǎng)絡(luò)安全所需的經(jīng)費(fèi)預(yù)算及執(zhí)行等方面文檔材料。（5）有關(guān)網(wǎng)絡(luò)安全管理制度的建立和執(zhí)行情況。需要查閱單位人員錄用、安全培訓(xùn)、安全保密、人員離崗等方面的網(wǎng)絡(luò)安全人員管

23、理制度；產(chǎn)品采購、服務(wù)外包、系統(tǒng)投入使用前進(jìn)行安全測(cè)試等方面信息系統(tǒng)建設(shè)管理制度；與服務(wù)外包中標(biāo)企業(yè)簽訂的安全保密責(zé)任書等材料。（6）信息系統(tǒng)定級(jí)備案工作開展情況。需要查看信息系統(tǒng)定級(jí)報(bào)告和第二級(jí)（含）以上信息系統(tǒng)備案證明。（7）第三級(jí)（含）以上重要信息系統(tǒng)等級(jí)測(cè)評(píng)和安全建設(shè)整改工作開展情況。查閱被檢查單位第三級(jí)（含）以上重要信息系統(tǒng)的等級(jí)測(cè)評(píng)報(bào)告、安全建設(shè)整改方案等文檔。（8）信息安全自查工作情況。需要查閱自查計(jì)劃、自查報(bào)告等相關(guān)文檔材料。同時(shí)根據(jù)公安機(jī)關(guān)檢查反饋意見或整改通知書要求，有關(guān)整改工作的部署實(shí)施材料。（9）重要信息系統(tǒng)安全監(jiān)測(cè)預(yù)警、容災(zāi)備份等工作情況。需要查看單位信息安全監(jiān)測(cè)預(yù)警

24、記錄、備份和恢復(fù)記錄等有關(guān)文檔材料。（10）安全事件應(yīng)急處置工作情況。需要查閱單位應(yīng)急預(yù)案、應(yīng)急演練報(bào)告、應(yīng)急保障技術(shù)支撐隊(duì)伍名單等有關(guān)文檔材料。 （11）行業(yè)主管部門履職情況（行業(yè)主管部門特殊要求。需要查閱行業(yè)信息系統(tǒng)有關(guān)統(tǒng)計(jì)數(shù)據(jù)、行業(yè)等級(jí)保護(hù)文件和標(biāo)準(zhǔn)規(guī)范、行業(yè)網(wǎng)絡(luò)安全培訓(xùn)工作計(jì)劃或報(bào)告、行業(yè)網(wǎng)絡(luò)安全檢查工作報(bào)告等有關(guān)文檔材料。3、單位政府網(wǎng)站安全保護(hù)工作的相關(guān)情況（1）網(wǎng)站安全責(zé)任部門和責(zé)任人的落實(shí)情況。需要查閱網(wǎng)站安全責(zé)任部門安全責(zé)任分工、崗位職責(zé)等文檔材料。（2）網(wǎng)站定級(jí)備案、安全測(cè)評(píng)和整改工作情況。需要查閱網(wǎng)站定級(jí)備案、安全測(cè)評(píng)和建設(shè)整改等文檔材料。（3）網(wǎng)站安全管理制度的建立和落

25、實(shí)情況。需要查閱相關(guān)制度文檔材料和執(zhí)行記錄。（4）網(wǎng)站安全保護(hù)技術(shù)措施落實(shí)情況。如果經(jīng)技術(shù)檢測(cè)存在安全隱患，需要查閱其整改工作落實(shí)情況。（5）網(wǎng)站安全事件應(yīng)急處置情況。需要查閱應(yīng)急預(yù)案、應(yīng)急演練報(bào)告、安全事件處置報(bào)告、應(yīng)急保障技術(shù)支撐隊(duì)伍名單等有關(guān)文檔材料。一式兩份，一份交被通知單位，一份附卷。附件2：重要信息系統(tǒng)和政府網(wǎng)站安全現(xiàn)場(chǎng)檢查記錄單檢查組成員： 檢查時(shí)間： 被檢查單位名稱： 責(zé)任部門： 被檢查單位領(lǐng)導(dǎo)： 職務(wù)： 被檢查單位其他同志： 被檢查單位聯(lián)系人： 聯(lián)系 ： 一、單位重要信息系統(tǒng)安全保護(hù)工作的相關(guān)情況（共12項(xiàng)）序號(hào)檢查項(xiàng)結(jié)果記錄檢查記錄1、網(wǎng)絡(luò)安全工作協(xié)調(diào)（領(lǐng)導(dǎo)）機(jī)制建立運(yùn)行情

26、況1-1是否成立了指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組是 否1-2信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組的最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)是 否1-3是否設(shè)立信息安全管理工作的職能部門是 否1-4信息安全管理職能部門是否明確職責(zé)和任務(wù)要求是 否2、網(wǎng)絡(luò)安全人員配備和責(zé)任制落實(shí)情況2-1是否設(shè)立單位信息安全管理崗位，并明確了職責(zé)和責(zé)任人是 否2-2是否書面規(guī)定了網(wǎng)絡(luò)安全管理人員的安全責(zé)任和懲戒措施是 否3、網(wǎng)絡(luò)安全規(guī)劃制定落實(shí)情況3-1是否對(duì)本單位信息系統(tǒng)的安全建設(shè)制定了總體規(guī)劃是 否3-2是否制定相關(guān)工作規(guī)范，確保本單位的信息系統(tǒng)建設(shè)與安全建設(shè)同步規(guī)劃、同步設(shè)計(jì)、同步實(shí)施是 否3-3是否根據(jù)信

27、息系統(tǒng)的等級(jí)劃分情況，制訂安全保護(hù)總體策略是 否4、對(duì)網(wǎng)絡(luò)安全工作的重視情況、網(wǎng)絡(luò)安全經(jīng)費(fèi)保障情況以及信息安全等級(jí)保護(hù)工作的組織部署情況4-1單位主要負(fù)責(zé)同志是否對(duì)網(wǎng)絡(luò)安全工作有重要批示和指示是 否4-2是否定期組織召開本單位信息安全會(huì)議，研究信息安全等級(jí)保護(hù)等重點(diǎn)工作，制定工作計(jì)劃，落實(shí)等級(jí)保護(hù)各項(xiàng)任務(wù)要求，并建立相關(guān)的考核制度是 否4-3是否能夠保障網(wǎng)絡(luò)安全所需的費(fèi)用是 否2012年經(jīng)費(fèi)預(yù)算數(shù)額 萬元；落實(shí)執(zhí)行數(shù)額 萬元；2013年經(jīng)費(fèi)預(yù)算數(shù)額 萬元。5、有關(guān)網(wǎng)絡(luò)安全管理制度的建立和執(zhí)行情況5-1是否制訂了包括人員錄用、安全培訓(xùn)、技術(shù)考核、安全保密、人員離崗等方面在內(nèi)的網(wǎng)絡(luò)安全人員管理制度

28、是 否5-2是否針對(duì)信息系統(tǒng)建設(shè)過程中的產(chǎn)品采購、服務(wù)外包、系統(tǒng)投入使用前進(jìn)行安全測(cè)試等方面建立了相應(yīng)的管理制度是否5-3是否與服務(wù)外包中標(biāo)企業(yè)簽訂了安全保密責(zé)任書是 否6、信息系統(tǒng)定級(jí)備案工作開展情況6-1本單位所有信息系統(tǒng)是否都確定了安全保護(hù)等級(jí)是 否系統(tǒng)總數(shù) 個(gè)，三級(jí)系統(tǒng)數(shù)量 個(gè)，二級(jí)系統(tǒng)數(shù)量 個(gè)。6-2信息系統(tǒng)定級(jí)結(jié)果是否經(jīng)過專家評(píng)審和上級(jí)主管部門審批是 否6-3安全保護(hù)等級(jí)為第二級(jí)（含）以上的信息系統(tǒng)，是否已經(jīng)到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理了備案手續(xù)是 否6-4信息系統(tǒng)所承載的業(yè)務(wù)、服務(wù)范圍、安全需求等是否發(fā)生變化，信息系統(tǒng)安全保護(hù)等級(jí)是否變更是 否6-5新建信息系統(tǒng)是否在規(guī)劃、

29、設(shè)計(jì)階段確定安全保護(hù)等級(jí)并備案是 否新建信息系統(tǒng)數(shù)量 個(gè)7、第三級(jí)（含）以上信息系統(tǒng)等級(jí)測(cè)評(píng)和安全建設(shè)整改工作開展情況7-1單位第三級(jí)（含）以上重要信息系統(tǒng)是否開展了等級(jí)測(cè)評(píng)是 否三級(jí)（含）以上系統(tǒng)數(shù)量 個(gè)已開展測(cè)評(píng)的系統(tǒng)數(shù)量 個(gè)測(cè)評(píng)時(shí)間 7-2是否根據(jù)等級(jí)測(cè)評(píng)結(jié)果，制定了信息系統(tǒng)安全建設(shè)整改方案，開展了安全建設(shè)整改工作是 否已完成安全建設(shè)整改的信息系統(tǒng)數(shù)量 個(gè)7-3所選擇的測(cè)評(píng)機(jī)構(gòu)是否具有相應(yīng)資質(zhì)是 否等級(jí)測(cè)評(píng)機(jī)構(gòu)名稱 8、信息安全自查工作情況8-1是否對(duì)本單位網(wǎng)絡(luò)與信息安全檢查工作制定了計(jì)劃、明確了要求并部署實(shí)施是 否8-2是否定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行了自查

30、是 否自查周期 8-3是否對(duì)自查中發(fā)現(xiàn)的安全威脅和隱患進(jìn)行了整改是 否8-4是否對(duì)公安機(jī)關(guān)監(jiān)督檢查時(shí)指出的問題進(jìn)行了整改是 否9、重要信息系統(tǒng)安全監(jiān)測(cè)預(yù)警、容災(zāi)備份等工作情況9-1是否對(duì)單位三級(jí)（含）以上重要信息系統(tǒng)安全運(yùn)行狀況進(jìn)行監(jiān)測(cè)，對(duì)報(bào)警情況進(jìn)行及時(shí)處置是 否9-2是否建立了重要系統(tǒng)和數(shù)據(jù)的容災(zāi)備份安全管理制度和技術(shù)措施，并定期進(jìn)行備份和恢復(fù)操作是 否10、安全事件應(yīng)急處置工作情況10-1是否制定了安全事件應(yīng)急預(yù)案是 否10-2是否定期對(duì)應(yīng)急預(yù)案進(jìn)行演練是 否演練周期 演練記錄 10-3應(yīng)急預(yù)案的執(zhí)行是否有足夠的資源保障是 否11、行業(yè)主管部門履職情況11-1作為行業(yè)主管部門，是否掌握本行業(yè)信息系統(tǒng)底數(shù)，系統(tǒng)定級(jí)、備案、測(cè)評(píng)和整改數(shù)量是 否行業(yè)信息系統(tǒng)底數(shù) 系統(tǒng)定級(jí)數(shù)量 備案數(shù)量 測(cè)評(píng)數(shù)量 整改數(shù)量 11-2是否出臺(tái)了推進(jìn)行業(yè)信息安全等級(jí)保護(hù)制度落實(shí)的指導(dǎo)意見或相關(guān)技術(shù)標(biāo)準(zhǔn)是 否11-3是否定期開展了行業(yè)網(wǎng)絡(luò)安全培訓(xùn)是 否網(wǎng)絡(luò)安全培訓(xùn)次數(shù) 11-4是否定期對(duì)行業(yè)網(wǎng)絡(luò)安全工作開展監(jiān)督檢查和指導(dǎo)是 否12、對(duì)公安機(jī)關(guān)網(wǎng)絡(luò)安全監(jiān)管工作的意見和建議記錄人： 記錄時(shí)間：二、單位政府網(wǎng)站安全保護(hù)工作的相關(guān)情況（共6項(xiàng)）序號(hào)檢查項(xiàng)結(jié)果記錄檢查記錄1、網(wǎng)站安全責(zé)任部門工作情況1-1是否落實(shí)了單位政府網(wǎng)站安全責(zé)任部門和安全責(zé)任人是 否安全責(zé)任部門 安全責(zé)任人 2、網(wǎng)站定級(jí)備案、安全測(cè)評(píng)和整改