【正文】 整改的需求，制定安全建設(shè)整改方案，有針對性地進(jìn)行安全建設(shè)整改。信息系統(tǒng)安全建設(shè)整改后，按照《管理辦法》的要求進(jìn)行等級測評，檢驗安全建設(shè)整改成效，查找與等級保護(hù)標(biāo)準(zhǔn)要求的差距。經(jīng)測評未達(dá)到安全保護(hù)要求的，要根據(jù)測評報告中的改進(jìn)建議，制定整改方案并進(jìn)一步進(jìn)行整改。對第三級（含）以上信息系統(tǒng)要定期開展等級測評工作，對于重要部門的第二級信息系統(tǒng)，可以參照上述要求開展等級測評工作。各單位、各部門要對測評機構(gòu)和測評人員的測評活動進(jìn)行監(jiān)督管理，與測評機構(gòu)簽訂工作協(xié)議和保密協(xié)議，查驗測評機構(gòu)和測評人員的相關(guān)材料，落實測評過程監(jiān)管措施，防范對信息系統(tǒng)可能造成新的安全風(fēng)險。各單位、各部門要監(jiān)督檢查測評機構(gòu)是否依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》、《信息系統(tǒng)安全等級保護(hù)測評過程指南》等國家標(biāo)準(zhǔn)開展等級測評，是否按照公安部統(tǒng)一制訂的《信息系統(tǒng)安全等級測評報告模版》（公信安[2009]1487號）格式出具測評報告。按照行業(yè)標(biāo)準(zhǔn)規(guī)范開展安全建設(shè)整改的信息系統(tǒng)，可以以國家標(biāo)準(zhǔn)為依據(jù)開展等級測評，也可以行業(yè)標(biāo)準(zhǔn)規(guī)范為依據(jù)開展等級測評。各單位、各部門對信息系統(tǒng)開展等級測評后，每年應(yīng)將等級測評報告向受理備案的公安機關(guān)備案。信息系統(tǒng)運營使用單位應(yīng)當(dāng)根據(jù)信息系統(tǒng)規(guī)模和測評機構(gòu)所投入的成本，合理支付測評服務(wù)費用。測評費用可以參考國家信息化項目人工計費標(biāo)準(zhǔn)或根據(jù)被測設(shè)備數(shù)量與測評項預(yù)算測評費用。（二）信息安全產(chǎn)品的選擇使用為落實《關(guān)于信息安全等級保護(hù)工作的實施意見》中提出的“對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理”的要求，公安部發(fā)布了《關(guān)于調(diào)整更新計算機信息系統(tǒng)安全專用產(chǎn)品檢測執(zhí)行標(biāo)準(zhǔn)規(guī)范的公告》（公信安[2009]1157號），對已有分級標(biāo)準(zhǔn)的29類信息安全產(chǎn)品開展分級檢測工作。對于檢測并審核通過的產(chǎn)品，產(chǎn)品銷售許可證書標(biāo)注產(chǎn)品分級信息，便于用戶根據(jù)信息系統(tǒng)安全需求選擇相應(yīng)等級的產(chǎn)品。《管理辦法》規(guī)定第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用我國自主研發(fā)的信息安全產(chǎn)品。信息安全產(chǎn)品是信息系統(tǒng)安全的重要基礎(chǔ)，信息安全產(chǎn)品的使用和管理是國家信息安全等級保護(hù)制度的重要組成部分，尤其是進(jìn)入到基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)中的信息安全產(chǎn)品將直接影響信息系統(tǒng)安全，甚至危及國家安全、社會穩(wěn)定。因此，各單位、各部門應(yīng)在滿足使用要求的前提下，優(yōu)先選擇國產(chǎn)品。國家信息安全監(jiān)管部門對進(jìn)入第三級以上信息系統(tǒng)中使用的信息安全產(chǎn)品進(jìn)行管理。（三）信息系統(tǒng)安全建設(shè)整改方案的制定信息系統(tǒng)安全建設(shè)整改方案主要包括以下內(nèi)容：項目背景；政策和技術(shù)標(biāo)準(zhǔn)依據(jù)；安全需求分析；安全建設(shè)整改技術(shù)方案設(shè)計；安全建設(shè)整改管理體系設(shè)計；信息系統(tǒng)安全產(chǎn)品選型及技術(shù)指標(biāo)；安全建設(shè)整改后信息系統(tǒng)殘余風(fēng)險分析；安全建設(shè)整改項目實施計劃；項目預(yù)算。十、信息安全等級保護(hù)安全建設(shè)整改工作的檢查監(jiān)督備案單位、行業(yè)主管部門、公安機關(guān)要分別建立并落實監(jiān)督檢查機制，定期對等級保護(hù)制度各項要求的落實情況進(jìn)行自查和監(jiān)督檢查。（一）備案單位的定期自查備案單位應(yīng)按照《管理辦法》的相關(guān)要求，對等級保護(hù)工作落實情況進(jìn)行自查，掌握信息系統(tǒng)安全狀況、安全管理制度及技術(shù)保護(hù)措施的落實情況等，及時發(fā)現(xiàn)安全隱患和存在的突出問題，有針對性地采取技術(shù)和管理措施。備案單位應(yīng)當(dāng)配合公安機關(guān)的監(jiān)督檢查工作，如實提供有關(guān)資料及文件。當(dāng)?shù)谌墸ê┮陨闲畔⑾到y(tǒng)發(fā)生事件、案件時，備案單位應(yīng)當(dāng)及時向受理備案的公安機關(guān)報告。（二）行業(yè)主管部門的督導(dǎo)檢查行業(yè)主管部門要建立督導(dǎo)檢查制度，組織制定本行業(yè)、本部門的信息安全等級保護(hù)檢查工作規(guī)范，定期組織對本行業(yè)、本部門等級保護(hù)工作開展情況進(jìn)行檢查，督促落實信息安全等級保護(hù)制度，達(dá)到重點督促，以點帶面的目的。（三）公安機關(guān)的監(jiān)督檢查部、省、市三級公安機關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門要按照“誰受理備案、誰負(fù)責(zé)檢查”的原則，依據(jù)《公安機關(guān)信息安全等級保護(hù)檢查工作規(guī)范（試行）》（公信安[2008]736號），定期對備案單位等級保護(hù)工作開展和實施情況進(jìn)行監(jiān)督檢查。對于有主管部門的，公安機關(guān)要積極會同主管部門開展，充分發(fā)揮主管部門的作用，建立監(jiān)督檢查的配合機制。公安機關(guān)應(yīng)按照“嚴(yán)格依法，熱情服務(wù)”的要求開展檢查工作，遵守檢查紀(jì)律，規(guī)范檢查程序，主動、熱情地為信息系統(tǒng)運營使用單位提供服務(wù)和指導(dǎo)。對備案單位重要信息系統(tǒng)發(fā)生的事件、案件及時進(jìn)行調(diào)查和立案偵查，并指導(dǎo)其開展應(yīng)急處置工作，為備案單位重要信息系統(tǒng)安全提供有力支持。十一、總體工作要求（一）高度重視，加強領(lǐng)導(dǎo)。等級保護(hù)安全建設(shè)整改工作任務(wù)艱巨，責(zé)任重大。各單位、各部門一定要高度重視，要按照“誰主管、誰負(fù)責(zé)”的原則，切實加強對等級保護(hù)安全建設(shè)整改工作的組織領(lǐng)導(dǎo)，落實責(zé)任部門、責(zé)任人員和安全建設(shè)整改經(jīng)費，完善工作機制。各行業(yè)主管（監(jiān)管）部門是本行業(yè)等級保護(hù)工作的主管部門，應(yīng)按照時間要求，結(jié)合本行業(yè)信息系統(tǒng)數(shù)量、等級、規(guī)模等實際情況，合理部署總體工作進(jìn)度，從中央到省、地市，一級抓一級，層層抓落實。（二）加強宣傳，樹立典型。行業(yè)主管部門和信息系統(tǒng)運營使用單位應(yīng)建立與公安機關(guān)的聯(lián)絡(luò)機制和工作機制，利用多種形式，組織開展宣傳、培訓(xùn)工作，利用電視電話會議或集中形式組織本行業(yè)、本部門學(xué)習(xí)信息安全等級保護(hù)有關(guān)政策、標(biāo)準(zhǔn)和技術(shù)。組織開展經(jīng)驗交流，發(fā)現(xiàn)、培養(yǎng)并樹立工作典型，在行業(yè)內(nèi)宣傳推廣先進(jìn)經(jīng)驗。公安部利用《信息安全等級保護(hù)工作簡報》和信息通報機制，為各部委、中央企業(yè)提供認(rèn)真、有效的服務(wù)。（三）認(rèn)真總結(jié)，及時報送。自2009年起，各部門要對定級備案、等級測評、安全建設(shè)整改和自查等工作開展情況進(jìn)行年度總結(jié)，于每年年底前報同級公安機關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門，各?。ㄗ灾螀^(qū)、直轄市）公安機關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門報公安部網(wǎng)絡(luò)安全保衛(wèi)局。為了統(tǒng)計各單位、各部門信息安全等級保護(hù)安全建設(shè)整改工作進(jìn)展情況，各信息系統(tǒng)備案單位每半年要填寫《信息安全等級保護(hù)安全建設(shè)整改工作情況統(tǒng)計表》（見《指導(dǎo)意見》附件），分別于每年六月份和十二月份報受理備案的公安機關(guān)。附件：國家信息安全等級保護(hù)安全建設(shè)指導(dǎo)專家委員會職責(zé)一、配合公安部宣傳信息安全等級保護(hù)安全建設(shè)相關(guān)政策，根據(jù)等級保護(hù)安全建設(shè)總體部署，指導(dǎo)備案單位研究擬定信息安全等級保護(hù)安全建設(shè)的貫徹實施意見和建設(shè)規(guī)劃；二、宣傳國家信息安全等級保護(hù)安全建設(shè)相關(guān)技術(shù)標(biāo)準(zhǔn)，并結(jié)合行業(yè)特點，研究、指導(dǎo)備案單位等級保護(hù)安全建設(shè)相關(guān)技術(shù)標(biāo)準(zhǔn)的行業(yè)應(yīng)用，指導(dǎo)備案單位研究擬定行業(yè)技術(shù)標(biāo)準(zhǔn)規(guī)范；三、參與備案單位信息安全等級保護(hù)安全建設(shè)整改方案的論證、評審，指導(dǎo)備案單位信息安全等級保護(hù)安全建設(shè)工作；四、了解掌握并研究探索行業(yè)開展信息安全等級保護(hù)安全建設(shè)工作中安全管理、安全技術(shù)和工程建設(shè)、工程管理等最佳實踐，總結(jié)成功經(jīng)驗，樹立典型并提出推廣意見；五、跟蹤國內(nèi)外信息安全技術(shù)最新發(fā)展，組織和引導(dǎo)信息安全研究機構(gòu)和企業(yè)開展信息安全等級保護(hù)共性技術(shù)和關(guān)鍵技術(shù)專題研究，推動等級保護(hù)技術(shù)研究工作，促進(jìn)信息安全產(chǎn)業(yè)發(fā)展；六、研究提出完善國家信息安全等級保護(hù)政策體系和技術(shù)體系的意見和建議。國家信息安全等級保護(hù)安全建設(shè)指導(dǎo)專家委員會專家名單 主 任： 沈昌祥 中國工程院 院 士副主任： 方濱興 中國工程院 院 士委 員：（北京）有限公司 總 裁趙呈東 北京啟明星辰信息技術(shù)有限公司 總 監(jiān)孫 鐵 北京神州綠盟科技有限公司 技術(shù)顧問32 / 32