五、实施信息安全等级保护工作的要求 信息安全等级保护工作要突出重点、分级负责、分类指导、分 步实施，按照谁主管谁负责、谁运营谁负责的要求，明确主管部门 以及信息系统建设、运行、维护、使用单位和个人的安全责任，分 别落实等级保护措施。实施信息安全等级保护应当做好以下六个方 面工作：

（一）完善标准，分类指导。 制定系统完整的信息安全 等级保护管理规范和技术标准，并根据工作开展的实际情况不断补 充完善。信息安全监管职能部门对不同重要程度的信息和信息系统 的安全等级保护工作给予相应的指导，确保等级保护工作顺利开 展。

（二）科学定级，严格备案。 信息和信息系统的运营、 使用单位按照等级保护的管理规范和技术标准，确定其信息和信息 系统的安全保护等级，并报其主管部门审批同意。 对于包含多个子系统的信息系统，在保障信息系统安全互联和 有效信息共享的前提下，应当根据等级保护的管理规定、技术标准和信息系统内各子系统的重要程度，分别确定安全保护等级。跨地 域的大系统实行纵向保护和属地保护相结合的方式。 国务院信息化工作办公室组织国内有关信息安全专家成立信 息安全保护等级专家评审委员会。重要的信息和信息系统的运营、 使用单位及其主管部门在确定信息和信息系统的安全保护等级时， 应请信息安全保护等级专家评审委员会给予咨询评审。 安全保护等级在三级以上的信息系统，由运营、使用单位报送 本地区地市级公安机关备案。跨地域的信息系统由其主管部门向其 所在地的同级公安机关进行总备案，分系统分别由当地运营、使用 单位向本地地市级公安机关备案。 信息安全产品使用的分等级管理以及信息安全事件分等级响 应、处置的管理办法由公安部会同保密局、国密办、信息产业部和 认监委等部门制定。

（三）建设整改，落实措施。 对已有的信息系统，其运 营、使用单位根据已经确定的信息安全保护等级，按照等级保护的 管理规范和技术标准，采购和使用相应等级的信息安全产品，建设 安全设施，落实安全技术措施，完成系统整改。对新建、改建、扩 建的信息系统应当按照等级保护的管理规范和技术标准进行信息 系统的规划设计、建设施工。

（四）自查自纠，落实要求。 信息和信息系统的运营、 使用单位及其主管部门按照等级保护的管理规范和技术标准，对已 经完成安全等级保护建设的信息系统进行检查评估，发现问题及时 整改，加强和完善自身信息安全等级保护制度的建设，加强自我保护。

（五）建立制度，加强管理。 信息和信息系统的运营、 使用单位按照与本系统安全保护等级相对应的管理规范和技术标 准的要求， 定期进行安全状况检测评估， 及时消除安全隐患和漏洞， 建立安全制度，制定不同等级信息安全事件的响应、处置预案，加 强信息系统的安全管理。信息和信息系统的主管部门应当按照等级 保护的管理规范和技术标准的要求做好监督管理工作，发现问题， 及时督促整改。