運營����、使用單位應(yīng)當參照《信息安全技術(shù) 信息系統(tǒng)安全管理要求》(GB/T)、《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》(GB/T)����、《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范,制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度����。
信息系統(tǒng)建設(shè)完成后,運營����、使用單位或者其主管部門應(yīng)當選擇符合本辦法規(guī)定條件的測評機構(gòu),依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標準����,定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當每年至少進行一次等級測評����,第四級信息系統(tǒng)應(yīng)當每半年至少進行一次等級測評,第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行等級測評����。
信息系統(tǒng)運營����、使用單位及其主管部門應(yīng)當定期對信息系統(tǒng)安全狀況����、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應(yīng)當每年至少進行一次自查����,第四級信息系統(tǒng)應(yīng)當每半年至少進行一次自查,第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行自查����。
經(jīng)測評或者自查,信息系統(tǒng)安全狀況未達到安全保護等級要求的����,運營、使用單位應(yīng)當制定方案進行整改����。
