实施过程的基本要求

各单位、各部门的重要信息系统要按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。

1．准确定级

信息系统的安全保护等级是信息系统本身的客观自然属性，不应以已采取或将采取什么安全保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的安全等级。定级要站在国家安全、社会稳定的高度统筹考虑信息系统等级，而不仅从行业和信息系统自身安全角度考虑。不能认为信息系统级别定的高，花费的资金和投入的力量多而降低级别。同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。在定级实施过程中，各信息系统要依据国家标准或行业指导意见开展系统定级工作。

2．严格审批

公安机关要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。公安机关公共信息网络安全监察部门对定级不准的备案单位，在通知整改的同时，应当建议备案单位组织专家进行重新定级评审，并报上级主管部门审批。备案单位仍然坚持原定等级的，公安机关公共信息网络安全监察部门可以受理其备案，但应当书面告知其承担由此引发的责任和后果，经上级公安机关公共信息网络安全监察部门同意后，同时通报备案单位上级主管部门。

3．及时备案

信息系统运营、使用单位或者其主管部门应当在信息系统安全保护等级确定后30日内，到公安机关公共信息网络安全监察部门办理备案手续。公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的 10 个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的 10 个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。

4．认真整改

以《信息系统安全等级保护基本要求》为基本目标，针对信息系统安全现状发现的问题进行整改加固，缺什么补什么。做好认真整改工作，落实信息安全责任制，建立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。

5．科学测评

通过对测评机构进行统一的能力评估和严格审核，保证测评机构的水平和能力达到有关标准规范要求。加强对测评机构的安全监督，规范其测评活动，保证为备案单位提供客观、公正和安全的测评服务。