信息系统运营使用单位或主管部门在初步确定信息系统安全保护等级后,为了保证定级合理、准确,可聘请领域专家进行评审。等级确定后,信息系统运营使用单位需要提交备案资料,对信息系统的定级的准确性进行审核。
1.信息系统等级评审
初步确定信息系统安全保护等级后,可以聘请专家进行评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。对拟确定为第四级以上信息系统的,由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。
2.信息系统等级的审批信息
系统运营、使用单位初步确定了安全保护等级等级保护后,有主管部门的,应当经主管部门审核批准。单位自建的信息系统(与上级单位无关),等级确定后是否上报上级主管部门审批,由单位自行决定。这里的主管部门一般是指行业的上级主管部门或监管部门。其跨省或者全国统一联网运行的信息系统,必须由其上级主管部门统一定级、统一审批,确保同类系统不因地区的差异而造成不一致的问题。
3.公安机关审核
《信息安全等级保护管理方法》第十五条规定:信息系统运营、使用单位或者其主管部门应当在信息系统安全保护等级确定后30日内,到公安机关办理备案手续。公安机关收到备案材料后,应对信息系统所定安全保护等级的准确性进行审核。经审核合格的,公安机关出具《信息系统安全等级保护备案证明》。
公安机关的审核是定级工作的最后一道防线,应严格审核、高度重视。
对定级不准的备案单位,在通知整改的同时,应当建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。备案单位仍然坚持原定等级的,公安机关可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报备案单位上级主管部门。
4.等级变更在信息系统
的运行过程中,安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更,尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化,可能影响到系统的安全保护等级时,应重新定级。