网络安全等级测评

一、测评程序

计算机信息系统运营、使用单位委托安全测评机构测评，应当提交下列资料：

（一）安全测评委托书；

（二）计算机信息系统应用需求、系统结构拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息安全产品清单。

安全测评机构在收到委托材料后，应当与委托方协商制订安全测评计划，开展安全测评工作，并出具安全测评报告。

经测评，计算机信息系统安全状况未达到国家有关规定和标准的要求的，委托单位应当根据测评报告的建议，完善计算机信息系统安全建设，并重新提出安全测评委托。

二、测评监督

测评机构对计算机信息系统进行使用前安全测评，应当预先报告地级以上市公安机关公共信息网络安全监察部门。安全测评报告由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门。

三、日常测评

计算机信息系统投入使用后，存在下列情形之一的，应当进行安全自查，同时委托安全测评机构进行安全测评：

（一）变更关键部件；

（二）安全测评时间满一年；

（三）发生危害计算机信系统安全的案件或安全事故；

（四）公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评；

（五）其他应当进行安全自查和安全测评的情形。

第三级计算机信息系统应当每年至少进行一次安全自查和安全测评，第四级计算机信息系统应当每半年至少进行一次安全自查和安全测评，第五级计算机信息系统应当依据特殊安全要求进行安全自查和安全测评。

自查报告连同测评报告应当由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门。

四、测评争议解决

申请单位认为安全测评报告的合法性和真实性存在重大问题的，可以向本单位所在地公安机关公共信息网络安全监察部门提出申诉，提交异议申诉书及有关证明材料。公安机关公共信息网络安全监察部门应当在收到申诉材料后30个工作日内进行核查，作出异议处理决定。

系统安全建设

运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。

PS：系统建设整改。对于未达到安全等级保护要求的，运营、使用单位应当进行整改。整改完成应当将整改报告报公安机关备案。

监督检查

公安机关依据信息安全等级保护管理规范，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。

PS：受理备案的公安机会对三级、四级信息系统进行检查，检查频次同测评频次。五级信息系统接受国家制定的专门部门检查。