信息安全等级保护培训教材（第1册）

主研发的信息安全产品。信息安全产品是信息系统安全的重要基础，信息安全产品的使用和管理是国家信息安全等级保护制度的重要组成部分，尤其是进入到基础信息网络和重要信息系统中的信息安全产品将直接影响信息系统安全，甚至危及国家安全、社会稳定。因此，各单位、各部门应在满足使用要求的前提下，优先选择国产品。国家信息安全监管部门对进入第三级以上信息系统中使用的信息安全产品进行管理。

七、信息系统安全等级测评工作

等级测评是测评机构依据国家信息安全等级保护制度规定，受有关单位委托，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。信息系统运营使用单位通过开展等级测评，一是可以掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求；二是衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求，是否具备了相应的安全保护能力。

（一）测评机构的选择

为了加强信息安全等级保护等级测评机构建设和管理，规范等级测评活动，保障等级测评工作的顺利开展，公安机关组织对测评机构和测评人员进行安全审查和能力审验。开展等级测评的机构须获得省级（含）以上信息安全等级保护协调（领导）小组办公室颁发的由公安部统一监制的资格证明文件。开展等级测评的人员须获得专门机构颁发的等级测评师证书（等级测评师分为

21

初级、中级和高级三种）和省级（含）以上公安机关网络安全保卫部门颁发的上岗资格证书。

省级（含）以下备案单位可以在本省信息安全等级保护工作协调（领导）小组办公室发布的《信息安全等级保护测评机构推荐目录》中选择测评机构。省级以上各备案单位可以在国家信息安全等级保护工作协调小组办公室发布的《全国信息安全等级保护测评机构推荐目录》中选择测评机构。没有测评机构的省（市）可以在《全国信息安全等级保护测评机构推荐目录》中选择测评机构。

（二）等级测评工作的开展

各单位、各部门在开展信息系统安全建设整改之前，可以通过等级测评进行信息系统安全现状分析，明确信息系统安全建设整改的需求，制定安全建设整改方案。信息系统安全建设整改后，按照《管理办法》的要求进行等级测评，经测评未达到安全保护要求的，要根据测评报告中的改进建议，制定整改方案并进一步进行整改。对第三级（含）以上信息系统要定期开展等级测评工作，对于重要部门的第二级信息系统，可以参照上述要求开展等级测评工作。

各单位、各部门要对测评机构和测评人员的测评活动进行监督管理，与测评机构签订工作协议和保密协议，查验测评机构和测评人员的相关材料，落实测评过程监管措施，防范对信息系统可能造成新的安全风险。各单位、各部门要监督检查测评机构是否依据《信息系统安全等级保护测评要求》、《信息系统安全等级

22

保护测评过程指南》等国家标准开展等级测评，是否按照公安部统一制订的《信息系统安全等级测评报告模版》（公信安[2009]1487号）格式出具测评报告。

按照行业标准规范开展安全建设整改的信息系统，可以以国家标准为依据开展等级测评，也可以行业标准规范为依据开展等级测评。各单位、各部门对信息系统开展等级测评后，每年应将等级测评报告向受理备案的公安机关备案。信息系统运营使用单位应当根据信息系统规模和测评机构所投入的成本，合理支付测评服务费用。测评费用可以参考国家信息化项目人工计费标准或根据被测设备数量与测评项预算测评费用。

八、安全自查和监督检查

备案单位、行业主管部门、公安机关要分别建立并落实监督检查机制，定期对等级保护制度各项要求的落实情况进行自查和监督检查。

（一）备案单位的定期自查

备案单位应按照《管理办法》的相关要求，对等级保护工作落实情况进行自查，掌握信息系统安全状况、安全管理制度及技术保护措施的落实情况等，及时发现安全隐患和存在的突出问题，有针对性地采取技术和管理措施。备案单位应当配合公安机关的监督检查工作，如实提供有关资料及文件。当第三级（含）以上信息系统发生事件、案件时，备案单位应当及时向受理备案的公安机关报告。

23

（二）行业主管部门的督导检查

行业主管部门要建立督导检查制度，组织制定本行业、本部门的信息安全等级保护检查工作规范，定期组织对本行业、本部门等级保护工作开展情况进行检查，督促落实信息安全等级保护制度，达到重点督促，以点带面的目的。

（三）公安机关的监督检查

1、部、省、市三级公安机关网络安全保卫部门要按照“谁受理备案、谁负责检查”的原则，依据《公安机关信息安全等级保护检查工作规范（试行）》（公信安[2008]736号），定期对备案单位等级保护工作开展和实施情况进行监督检查。

2、对于有主管部门的，公安机关要积极会同主管部门开展，充分发挥主管部门的作用，建立监督检查的配合机制。

3、公安机关应按照“严格依法，热情服务”的要求开展检查工作，遵守检查纪律，规范检查程序，主动、热情地为信息系统运营使用单位提供服务和指导。

4、对备案单位重要信息系统发生的事件、案件及时进行调查和立案侦查，并指导其开展应急处置工作，为备案单位重要信息系统安全提供有力支持。

九、工作要求

（一）统一部署，同步实施

各行业主管（监管）部门是本行业等级保护工作的主管部门，应按照“谁主管、谁负责”的原则组织开展等级保护工作，结合本行业信息系统数量、等级、规模等实际情况，统一部署、规划，

24

同步实施安全建设工程，从中央到省、地市，一级抓一级，层层抓落实。

（二）加强宣传，树立典型

行业主管部门和信息系统运营使用单位应建立与公安机关的联络机制和工作机制，利用多种形式，组织开展宣传、培训工作，利用电视电话会议或集中形式组织本行业、本部门学习信息安全等级保护有关政策、标准和技术。组织开展经验交流，发现、培养并树立工作典型，在行业内宣传推广先进经验。公安部利用《信息安全等级保护工作简报》和信息通报机制，为各部委、中央企业提供认真、有效的服务。

（三）认真总结，及时报送

自2009年起，各部门要对定级备案、等级测评、安全建设整改和自查等工作开展情况进行年度总结，于每年年底前报同级公安机关网络安全保卫部门，各省（自治区、直辖市）公安机关网络安全保卫部门报公安部网络安全保卫局。为了统计各单位、各部门信息安全等级保护安全建设整改工作进展情况，各信息系统备案单位每半年要填写《信息安全等级保护安全建设整改工作情况统计表》（见《指导意见》附件），分别于每年六月份和十二月份报受理备案的公安机关。

25