湘公建议复字〔2019〕10号 A类
同意公开
湖南省公安厅
对省十三届人大二次会议第1367号建议
的答复
王赛代表:
您提出的第1367号建议《关于对党政机关的网络安全检测不应收费的建议》收悉,经湖南省公安厅研究,并综合省发改委、国安厅意见,现就相关问题答复如下:
一、关于“公安机关检测监督和设置缴费问题”。根据《人民警察法》第六条第十二项规定,公安机关监督管理计算机信息系统的安全保护工作,根据《计算机信息系统安全保护条例》第十七条规定,公安机关对计算机信息系统保护工作行使下列监督职权:(一)负责监督、检查、指导计算机信息系统的安全保护工作;(二)查处危害计算机信息系统安全的违法犯罪案件;(三)履行计算机信息系统安全保护工作的其他监督职责。公安机关对网络安全保护工作依法开展检查、监督、指导不收取任何费用。
二、关于“授权两家网络公司搞检测的问题”。根据《中华人民共和国计算机信息系统安全保护条例》相关规定和中央办公厅《关于加强信息安全保障工作的意见》文件精神,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合成立了国家信息安全等级保护工作领导小组,负责全面推进国家信息安全等级保护工作。按照《网络安全法》和国家等级保护制度要求,公安部制定印发《网络安全等级保护测评机构管理办法》。等级测评机构推荐证书是由国家等级保护工作领导小组办公室按照《网络安全等级保护测评机构管理办法》规定,对申报企事业单位进行严格审查、检查、培训和能力认证后统一颁发,国家等保办每年组织对全国测评机构开展监督检查和能力验证,全国已有179家测评机构取得推荐证书,我省只有金盾、华中两家机构。在我省开展等级测评业务的不局限于金盾、华中两家测评机构,取得国家等保办推荐证书的179家测评机构都可以在湘开展等级测评业务,不存在具有垄断地位。根据《网络安全等级保护测评机构管理办法》第十九条规定, 等级测评工作不受地域、行业、领域限制。用户单位可以自主选择取得国家等保办推荐证书的179家测评机构中任意一家开展等级测评。当前,我省除了金盾、华中两家本地测评机构开展测评业务外,还有15家异地测评机构在湘开展等级测评,主要包括:电力行业信息安全等级保护测评中心、公安部信息安全等级保护评估中心、国家计算机网络与信息安全管理中心、浪潮软件集团有限公司软件评测实验室、深圳市网安计算机安全检测技术有限公司、武汉安域信息安全技术有限公司、浙江东安检测技术有限公司、信息产业信息安全测评中心、中国金融电子化公司测评中心、四川安美勤网络安全资讯有限公司等。
三、关于“规定必须达到多少安保等级问题”。根据《信息安全等级保护管理办法》第六条规定,国家信息安全等级保护坚持自主定级、自主保护原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定(保护等级由低到高分为1-5级)。用户单位的信息系统安全保护等级的确定是依据《信息系统安全等级保护定级指南》(国标GB/T22240-2008),根据系统重要程度自主定级,并聘请行业专家评审确定后,报公安机关备案。不是由公安机关强行规定安全保护等级。
四、关于“检测费用问题”。等级测评是用户单位直接与测评机构签订的一种服务协议,它是一种商业行为、市场行为,费用是依据网络信息系统的重要程度、项目规模大小、测评内容及范围、用户单位具体需求等因素决定。公安机关负责对安全等级测评行为和测评项目质量进行监督检查,不干预任何商业收费行为。会办单位发改委意见:按照《网络安全法》第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年要进行检测评估。因此,对自愿委托第三方机构开展的检测、评估,按谁委托谁付费的原则实行。会办单位国安厅意见:等级测评工作是指取得国家等保办等级测评资质的第三方测评机构依据国家网络安全等级保护制度要求,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络安全保护状况进行检测评估的活动(含信息系统、数据资源等),是对信息系统的网络安全根据国家标准进行的安全体检活动,属于第三方市场检测行为。
五、关于“涉密系统网络安全保护问题”。根据《信息安全等级保护管理办法》第四章规定,涉密网络信息系统建设和安全保护工作由国家保密工作部门负责,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准进行安全保护。涉密网络信息系统安全防护工作的监督检查指导不属于公安机关监管职责范围。
湖南省公安厅
2019年4月29日
联系单位:省公安厅督办室
联系电话:0731-84597726
抄送:省人大联工委
省政府办公厅