（三）开展信息系统安全等级测评，使信息系统安全保护状 况逐步达到等级保护要求。选择由省级（含）以上信息安全等级 保护工作协调小组办公室审核并备案的测评机构， 对第三级 （含）以上信息系统开展等级测评工作。等级测评机构依据《信息系统 安全等级保护测评要求》等标准对信息系统进行测评，对照相应 等级安全保护要求进行差距分析， 排查系统安全漏洞和隐患并分 析其风险，提出改进建议，按照公安部制订的信息系统安全等级 测评报告格式编制等级测评报告。经测评未达到安全保护要求 的，要根据测评报告中的改进建议，制定整改方案并进一步进行 整改。各部门要及时向受理备案的公安机关提交等级测评报告。 对于重要部门的第二级信息系统， 可以参照上述要求开展等级测 评工作。

三、落实工作要求

（一）统一组织，加强领导。

要按照“谁主管、谁负责”的原 则，切实加强对信息安全等级保护安全建设整改工作的组织领 导，完善工作机制。要结合各自实际，统一规划和部署安全建设 整改工作，制定安全建设整改工作实施方案。要落实责任部门、 责任人员和安全建设整改经费。 要利用多种形式， 组织开展宣传、 培训工作。

（二）循序渐进，分步实施。

信息系统主管部门可以结合本 行业、本部门信息系统数量、等级、规模等实际情况，按照自上 而下或先重点后一般的顺序开展。重点行业、部门可以根据需要 和实际情况，选择有代表性的第二、三、四级信息系统先进行安 全建设整改和等级测评工作试点、示范，在总结经验的基础上全 面推开。

（三）结合实际，制定规范。

重点行业信息系统主管部门可以按照《信息系统安全等级保护基本要求》等国家标准，结合行 业特点，确定《信息系统安全等级保护基本要求》的具体指标； 在不低于等级保护基本要求的情况下， 结合系统安全保护的特殊 需求，在有关部门指导下制定行业标准规范或细则，指导本行业 信息系统安全建设整改工作。

（四）认真总结，按时报送。

自2009年起，要对定级备案、 等级测评、安全建设整改和自查等工作开展情况进行年度总结， 于每年年底前报同级公安机关网安部门， 各省 （自治区、 直辖市） 公安机关网安部门报公安部网络安全保卫局。 信息系统备案单位 每半年要填写《信息安全等级保护安全建设整改工作情况统计 表》并报受理备案的公安机关。