信息系统定级、备案、专家评审流程【最新版】

网络安全等级保护之信息系统定级备案工作方案一、项目背景二、目标1.确保信息系统按照国家标准进行等级核定，并备案报送；2.确保信息系统经过定级备案后，按照相应的等级要求进行安全防护；3.确保信息系统运维人员了解并遵守相关标准和法律法规，提高信息系统的安全防护能力。

三、工作内容和流程1.初步准备阶段1.1研究和了解相关标准和规定，形成备案工作方案；1.2确定备案工作的责任部门和责任人；1.3建立备案工作的组织架构和工作流程。

2.信息收集阶段2.1定期向各部门和单位征集信息系统的基本情况、系统架构、业务功能等信息；2.2对收集到的信息进行初步分类和筛选；2.3与各部门和单位进行沟通和协商，明确信息系统的等级需求。

3.系统定级阶段3.1根据收集到的信息，确定信息系统的安全等级；3.2编制信息系统的安全等级评估和定级报告；3.3将评估和定级报告提交相关部门进行审核。

4.备案报送阶段4.1编制信息系统备案申请表；4.2部门负责人审核备案申请表；4.3将备案申请表和评估报告报送至上级部门进行审批；4.4上级部门审核通过后，将备案信息编入国家信息系统备案库。

5.安全防护阶段5.1依据信息系统的安全等级要求，对系统进行相应的安全防护措施布置；5.2组织相关人员进行安全培训，提高其安全防护意识和能力；5.3定期对信息系统进行安全漏洞扫描和漏洞修复；5.4对重要信息系统进行安全监控和事件响应。

6.定期评估和改进阶段6.1根据相关要求，定期对已备案的信息系统进行安全评估；6.2针对评估结果进行安全改进；6.3定期进行网络安全演练和应急演练；6.4根据运行情况和演练结果，不断完善和提高信息系统的安全性。

四、人员要求和资源保障1.确保备案工作的顺利进行，需要具备以下人员：1.1项目经理：负责制定备案工作方案、筹备备案工作、协调相关部门和单位；1.2技术专家：负责信息系统的定级评估和安全防护措施的布置；1.3运维人员：负责信息系统的运维和安全防护；1.4法务人员：负责信息安全法律法规的解释和合规性审查。

信息系统安全等级保护备案证明详细步骤及材料！在整个网络安全体系中，等级保护的作用是不言而喻的，尤其是随着等保2.0的到来，让等级保护变得更加重要，现如今已经成为每家企业必须要做的事情，而且对于部分平台来说，如果没有进行等保备案，则会导致业务无法正常开展。

那么如何办理信息系统安全等级保护备案证明?以下是详细的内容介绍。

第一步：确定需要做备案的系统及系统的安全保护等级备案之前，企业需要先确定需要做等保的信息系统，并确定信息系统的安全保护等级。

信息系统的安全保护等级分为以下五级，一至五级等级逐级增高：第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)，之前介绍过相关内容，本篇文章就不细致介绍了。

需要做等级保护的信息系统有三个特征：①具有确定的主要安全责任主体。

②承载相对独立的业务应用。

③包含相互关联的多个资源。

所以，只要信息系统具有以上三个特征，就需要做等保。

等保2.0时代，APP、网站、公众号、小程序等都可能是定级对象，企业需特别注意。

系统确定之后，就可以给系统定级。

定级依据是《信息系统安全等级保护定级指南》。

企业按照以下流程对信息系统进行定级：确定定级对象-初步确定等级-专家评审-主管部门审核-公安机关备案审查-最终确定的等级。

第二步：准备备案材料定级之后，企业就可以填写、准备备案材料。

备案所需材料主要是《信息安全等级保护备案表》，不同级别的信息系统需要的备案材料有所差异。

二级及其以上的信息系统运行使用单位或主管部门在备案时需要提交的资料有：①信息系统安全定级报告纸质材料，一式两份;②信息系统安全备案表纸质材料，一式两份;③上述备案的电子档，并制作出光盘提交。

第三级以上信息系统同时提供以下材料：1、系统拓扑结构及说明;2、系统安全组织机构和管理制度;3、系统安全保护设施设计实施方案或者改建实施方案;4、系统使用的信息安全产品清单及其认证、销售许可证明;5、测评后符合系统安全保护等级的技术检测评估报告;6、信息系统安全保护等级专家评审意见;7、主管部门审核批准信息系统安全保护等级的意见。

网络信息系统安全等级保护备案要求和流程下载温馨提示:该文档是我店铺精心编制而成，希望大家下载以后，能够帮助大家解决实际的问题。

文档下载后可定制随意修改，请根据实际需要进行相应的调整和使用，谢谢!并且，本店铺为大家提供各种各样类型的实用资料，如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等，如想了解不同资料格式和写法，敬请关注!Download tips: This document is carefully compiled by theeditor.I hope that after you download them,they can help yousolve practical problems. The document can be customized andmodified after downloading,please adjust and use it according toactual needs, thank you!In addition, our shop provides you with various types ofpractical materials,such as educational essays, diaryappreciation,sentence excerpts,ancient poems,classic articles,topic composition,work summary,word parsing,copy excerpts,other materials and so on,want to know different data formats andwriting methods,please pay attention!网络信息系统安全等级保护备案要求与流程详解随着信息化时代的快速发展，网络安全已成为社会关注的焦点。

网站定级备案流程网站定级备案流程包括：确定定级对象、确定信息系统级别、确定系统服务等级、确定业务信息等级、确定信息系统级别、专家评审与审批、主管单位审批。

1、确定定级对象各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求确定定级对象。

2、确定信息系统级别各信息系统主管部门和运营使用单位要按照《管理办法》和《定级指南》，初步确定定级对象的安全保护等级。

3、确定系统服务等级系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。

系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定。

4、确定业务信息等级业务信息安全是指确保信息系统内信息的保密性、完整性和可用性等。

业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。

5、确定信息系统级别SAG的级别，其中S为业务信息等级，A为系统服务等级，G取两者中大的。

6、专家评审与审批《信息安全等级保护管理办法》第十条信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。

有主管部门的，应当经主管部门审核批准。

跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

初步确定信息系统安全保护等级后，可以聘请专家进行评审。

信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。

7、主管单位审批没有主管单位的，或者感觉系统就是自己用不需要主管单位批准的完全可以省略这一步。

目前大部分的主管单位其实不想掺合各下属单位定级备案，怕负责任吧。

信息系统定级备案1. 引言信息系统定级备案是指根据国家相关法律法规的要求，将信息系统按照一定的等级进行备案，以保证信息系统的安全性和可靠性。

本文将介绍信息系统定级备案的概念、目的、流程和注意事项。

2. 概念信息系统定级备案是指对信息系统进行等级评定，并在相关管理部门进行备案登记的过程。

信息系统的等级评定是根据信息系统的重要性和风险程度进行评估，以确定相应的保护要求和措施。

3. 目的信息系统定级备案的目的是保护国家信息安全，防止信息系统遭受各种安全威胁和风险，确保信息系统的正常运行和有效使用。

通过定级备案，可以明确信息系统的安全需求，为后续的安全保护工作提供依据。

4. 流程信息系统定级备案的流程主要包括申请、评估和备案三个步骤。

4.1 申请申请者需要填写相应的信息系统定级备案申请表格，并提供相关证明材料，包括信息系统的用途、功能、架构、关键技术及安全防护措施等。

申请表格通常包括以下内容：•申请人信息：申请人的名称、地址、联系方式等；•信息系统基本情况：信息系统的名称、用途、功能、所属部门等；•信息系统安全控制措施：信息系统的安全防护措施、关键技术等；•信息系统风险评估：对信息系统的风险进行评估，包括系统漏洞、恶意代码、物理安全等方面的风险。

4.2 评估评估由相关管理部门进行，主要是对申请的信息系统进行安全风险评估和等级评定。

评估的内容包括：•安全风险评估：对信息系统的安全风险进行评估，包括系统漏洞、数据泄露、恶意攻击等；•等级评定：根据评估结果，对信息系统进行等级评定，通常包括一级、二级、三级等不同等级。

4.3 备案备案是指将评估通过的信息系统进行登记备案，并颁发备案证书。

备案证书包括以下内容：•备案单位信息：备案单位的名称、地址、联系方式等；•信息系统信息：备案的信息系统的名称、等级、备案编号等；•备案日期：备案的时间。

5. 注意事项在进行信息系统定级备案时，需要注意以下事项：•提前准备：申请者需要提前准备好申请所需的材料，确保信息的真实性和完整性；•安全控制要求：申请者需要了解并满足相关的安全控制要求，确保信息系统的安全性；•保密性要求：备案单位需要对备案信息进行保密，防止泄露。

等保2.0：信息系统定级、备案、专家评审流程一．系统定级请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南（见第二步相关材料文件夹）定级，定级对象的运营使用单位应组织专家召开专家定级评审会（专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师），出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案（备案审查不通过运营使用单位重新组织定级工作）。

解读：1、等保2.0定级备案流程：确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。

2、信息系统定级备案工作，甲方可以自己独立完成，也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。

3、定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。

（附件1）4、等级保护对象的安全保护等级分为以下五级：a)第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益：b)第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；c)第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

5、定级范围：包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。

6、以上信息确定好，根据甲方信息系统及机房实际情况，编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。

（附件2、3）7、定级备案表和定级报告编写完成，下一步进行专家评审工作，专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师，专家现场会根据甲方负责人对公司及信息系统的介绍，提出定级是否合理相关建议并形成专家评审意见表；专家评审流程：根据要求确定专家评审名单、编辑专家评审会议程（附件4）、专家签到表（附件5）、信息系统定级专家评审意见表（附件6）、被定级单位及信息系统介绍PPT（附件7）。

系统定级流程
系统定级的流程一般包括以下步骤：
1. 确定定级对象：首先需要明确需要进行等级保护的对象，如某个特定的信息系统或网络。

2. 初步确定等级：根据等级保护相关管理文件，确定等级保护对象的安全保护等级。

等级保护对象的级别由两个定级要素决定，包括受侵害的客体和对客体的侵害程度。

对于关键信息基础设施，“定级原则上不低于三级”，且第三级及以上信息系统每年或每半年就要进行一次测评。

3. 专家评审：邀请专家对初步确定的等级进行评审，确保定级结果的准确性和合理性。

4. 主管部门审批：将初步确定的等级报送主管部门进行审批，确保定级结果符合相关法律法规和政策要求。

5. 公安机构备案审查：将最终确定的级别报送公安机构进行备案审查，确保定级结果符合国家网络安全标准。

6. 最终确定的级别：经过上述流程后，最终确定系统或网络的定级结果，为后续的安全保护工作提供依据。

需要注意的是，不同行业的系统定级标准可能存在差异，因此在具体操作时应根据相关法律法规和政策要求进行操作。

同时，为了确保定级结果的准确性和合理性，建议在定级过程中邀请专业的网络安全机构或专家进行协助。

信息系统安全等级保护法规及依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下：1、《中华人民国计算机信息系统安全保护条例》（国务院147号令）2、《信息安全等级保护管理办法》（公通字[2007]43号）3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。