信息系统定级备案

网络安全等级保护之信息系统定级备案工作方案一、项目背景二、目标1.确保信息系统按照国家标准进行等级核定，并备案报送；2.确保信息系统经过定级备案后，按照相应的等级要求进行安全防护；3.确保信息系统运维人员了解并遵守相关标准和法律法规，提高信息系统的安全防护能力。

三、工作内容和流程1.初步准备阶段1.1研究和了解相关标准和规定，形成备案工作方案；1.2确定备案工作的责任部门和责任人；1.3建立备案工作的组织架构和工作流程。

2.信息收集阶段2.1定期向各部门和单位征集信息系统的基本情况、系统架构、业务功能等信息；2.2对收集到的信息进行初步分类和筛选；2.3与各部门和单位进行沟通和协商，明确信息系统的等级需求。

3.系统定级阶段3.1根据收集到的信息，确定信息系统的安全等级；3.2编制信息系统的安全等级评估和定级报告；3.3将评估和定级报告提交相关部门进行审核。

4.备案报送阶段4.1编制信息系统备案申请表；4.2部门负责人审核备案申请表；4.3将备案申请表和评估报告报送至上级部门进行审批；4.4上级部门审核通过后，将备案信息编入国家信息系统备案库。

5.安全防护阶段5.1依据信息系统的安全等级要求，对系统进行相应的安全防护措施布置；5.2组织相关人员进行安全培训，提高其安全防护意识和能力；5.3定期对信息系统进行安全漏洞扫描和漏洞修复；5.4对重要信息系统进行安全监控和事件响应。

6.定期评估和改进阶段6.1根据相关要求，定期对已备案的信息系统进行安全评估；6.2针对评估结果进行安全改进；6.3定期进行网络安全演练和应急演练；6.4根据运行情况和演练结果，不断完善和提高信息系统的安全性。

四、人员要求和资源保障1.确保备案工作的顺利进行，需要具备以下人员：1.1项目经理：负责制定备案工作方案、筹备备案工作、协调相关部门和单位；1.2技术专家：负责信息系统的定级评估和安全防护措施的布置；1.3运维人员：负责信息系统的运维和安全防护；1.4法务人员：负责信息安全法律法规的解释和合规性审查。

信息系统安全等级保护备案证明详细步骤及材料！在整个网络安全体系中，等级保护的作用是不言而喻的，尤其是随着等保2.0的到来，让等级保护变得更加重要，现如今已经成为每家企业必须要做的事情，而且对于部分平台来说，如果没有进行等保备案，则会导致业务无法正常开展。

那么如何办理信息系统安全等级保护备案证明?以下是详细的内容介绍。

第一步：确定需要做备案的系统及系统的安全保护等级备案之前，企业需要先确定需要做等保的信息系统，并确定信息系统的安全保护等级。

信息系统的安全保护等级分为以下五级，一至五级等级逐级增高：第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)，之前介绍过相关内容，本篇文章就不细致介绍了。

需要做等级保护的信息系统有三个特征：①具有确定的主要安全责任主体。

②承载相对独立的业务应用。

③包含相互关联的多个资源。

所以，只要信息系统具有以上三个特征，就需要做等保。

等保2.0时代，APP、网站、公众号、小程序等都可能是定级对象，企业需特别注意。

系统确定之后，就可以给系统定级。

定级依据是《信息系统安全等级保护定级指南》。

企业按照以下流程对信息系统进行定级：确定定级对象-初步确定等级-专家评审-主管部门审核-公安机关备案审查-最终确定的等级。

第二步：准备备案材料定级之后，企业就可以填写、准备备案材料。

备案所需材料主要是《信息安全等级保护备案表》，不同级别的信息系统需要的备案材料有所差异。

二级及其以上的信息系统运行使用单位或主管部门在备案时需要提交的资料有：①信息系统安全定级报告纸质材料，一式两份;②信息系统安全备案表纸质材料，一式两份;③上述备案的电子档，并制作出光盘提交。

第三级以上信息系统同时提供以下材料：1、系统拓扑结构及说明;2、系统安全组织机构和管理制度;3、系统安全保护设施设计实施方案或者改建实施方案;4、系统使用的信息安全产品清单及其认证、销售许可证明;5、测评后符合系统安全保护等级的技术检测评估报告;6、信息系统安全保护等级专家评审意见;7、主管部门审核批准信息系统安全保护等级的意见。

信息系统定级与备案工作介绍本文主要介绍信息系统安全保护等级的确定，定级工作的流程和要求，备案工作的流程和要求等。

一、信息系统安全保护等级的划分与保护（一）信息系统定级工作原则信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。

定级工作的主要内容包括：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核，具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字〔2007〕861号）要求执行。

各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，根据所属信息系统的重要程度和遭到破坏后的危害程度，确定信息系统的安全保护等级。

同时，按照所定等级，依照相应等级的管理规范和技术标准，建设信息安全保护设施，建立安全制度，落实安全责任，对信息系统进行保护。

在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。

运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任；公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。

由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序，也会影响国家安全、社会稳定、公共利益，因此，国家必然要对重要信息系统的安全进行监管。

（二）信息系统安全保护等级信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为五级，从第一级到第五级逐级增高。

（三）信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

1.受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面：一是公民、法人和其他组织的合法权益；二是社会秩序、公共利益；三是国家安全。

附件1信息系统安全等级保护定级报告一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定。

1.业务信息描述。

描述信息系统处理的主要业务信息等。

2.业务信息受到破坏时所侵害客体的确定。

说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全，社会秩序和公众利益，公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3.信息受到破坏后对侵害客体的侵害程度的确定。

说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4.业务信息安全等级的确定。

依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定。

1.系统服务描述。

描述信息系统的服务范围、服务对象等。

2.系统服务受到破坏时所侵害客体的确定。

说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全，社会秩序和公众利益，公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3.系统服务受到破坏后对侵害客体的侵害程度的确定。

说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4.系统服务安全等级的确定。

依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

（三）安全保护等级的确定。

信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。

附件2：信息系统安全等级保护备案表备 案 单 位： （盖章） 备 案 日 期：受理备案单位： （盖章） 受 理 日 期：备案表编号：中华人民共和国公安部监制填表说明一、制表依据。

网站定级备案流程网站定级备案流程包括：确定定级对象、确定信息系统级别、确定系统服务等级、确定业务信息等级、确定信息系统级别、专家评审与审批、主管单位审批。

1、确定定级对象各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求确定定级对象。

2、确定信息系统级别各信息系统主管部门和运营使用单位要按照《管理办法》和《定级指南》，初步确定定级对象的安全保护等级。

3、确定系统服务等级系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。

系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定。

4、确定业务信息等级业务信息安全是指确保信息系统内信息的保密性、完整性和可用性等。

业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。

5、确定信息系统级别SAG的级别，其中S为业务信息等级，A为系统服务等级，G取两者中大的。

6、专家评审与审批《信息安全等级保护管理办法》第十条信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。

有主管部门的，应当经主管部门审核批准。

跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

初步确定信息系统安全保护等级后，可以聘请专家进行评审。

信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。

7、主管单位审批没有主管单位的，或者感觉系统就是自己用不需要主管单位批准的完全可以省略这一步。

目前大部分的主管单位其实不想掺合各下属单位定级备案，怕负责任吧。

信息系统定级、备案、专家评审流程一、系统定级请参考GAT 1389-2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级，定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师)，出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。

1、等保2.0定级备案流程:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。

2、信息系统定级备案工作甲方可以自己独立完成，也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。

3、定级参考《GAT 1389-2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。

(附件1)4、等级保护对象的安全保护等级分为以下五级a)第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;b)第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;c)第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

解读:县级重要的信息系统，地市级和省级的一般信息系统，这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统，这些系统都可以定为二级系统;●省级门户网站和地市级及以上重要的业务网站需要定为三级，地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统，管理系统需要定到三级，跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级，跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。

网络安全等级保护之信息系统定级备案工作方案一、信息系统安全保护等级的划分与保护（一）信息系统定级工作原则信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。

定级工作的主要内容包括：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核，具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字〔2007〕861号）要求执行。

各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，根据所属信息系统的重要程度和遭到破坏后的危害程度，确定信息系统的安全保护等级。

同时，按照所定等级，依照相应等级的管理规范和技术标准，建设信息安全保护设施，建立安全制度，落实安全责任，对信息系统进行保护。

在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。

运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任；公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。

由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序，也会影响国家安全、社会稳定、公共利益，因此，国家必然要对重要信息系统的安全进行监管。

（二）信息系统安全保护等级信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的二、定级工作的主要步骤信息系统定级是等级保护工作的首要环节和关键环节，是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。

这里先明确一个概念，信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。

信息系统安全级别定级不准，系统备案、建设整改、等级测评等后续工作都会失去基础，信息系统安全就没有保证。

信息系统定级备案1. 引言信息系统定级备案是指根据国家相关法律法规的要求，将信息系统按照一定的等级进行备案，以保证信息系统的安全性和可靠性。

本文将介绍信息系统定级备案的概念、目的、流程和注意事项。

2. 概念信息系统定级备案是指对信息系统进行等级评定，并在相关管理部门进行备案登记的过程。

信息系统的等级评定是根据信息系统的重要性和风险程度进行评估，以确定相应的保护要求和措施。

3. 目的信息系统定级备案的目的是保护国家信息安全，防止信息系统遭受各种安全威胁和风险，确保信息系统的正常运行和有效使用。

通过定级备案，可以明确信息系统的安全需求，为后续的安全保护工作提供依据。

4. 流程信息系统定级备案的流程主要包括申请、评估和备案三个步骤。

4.1 申请申请者需要填写相应的信息系统定级备案申请表格，并提供相关证明材料，包括信息系统的用途、功能、架构、关键技术及安全防护措施等。

申请表格通常包括以下内容：•申请人信息：申请人的名称、地址、联系方式等；•信息系统基本情况：信息系统的名称、用途、功能、所属部门等；•信息系统安全控制措施：信息系统的安全防护措施、关键技术等；•信息系统风险评估：对信息系统的风险进行评估，包括系统漏洞、恶意代码、物理安全等方面的风险。

4.2 评估评估由相关管理部门进行，主要是对申请的信息系统进行安全风险评估和等级评定。

评估的内容包括：•安全风险评估：对信息系统的安全风险进行评估，包括系统漏洞、数据泄露、恶意攻击等；•等级评定：根据评估结果，对信息系统进行等级评定，通常包括一级、二级、三级等不同等级。

4.3 备案备案是指将评估通过的信息系统进行登记备案，并颁发备案证书。

备案证书包括以下内容：•备案单位信息：备案单位的名称、地址、联系方式等；•信息系统信息：备案的信息系统的名称、等级、备案编号等；•备案日期：备案的时间。

5. 注意事项在进行信息系统定级备案时，需要注意以下事项：•提前准备：申请者需要提前准备好申请所需的材料，确保信息的真实性和完整性；•安全控制要求：申请者需要了解并满足相关的安全控制要求，确保信息系统的安全性；•保密性要求：备案单位需要对备案信息进行保密，防止泄露。

等保2.0：信息系统定级、备案、专家评审流程一．系统定级请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南（见第二步相关材料文件夹）定级，定级对象的运营使用单位应组织专家召开专家定级评审会（专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师），出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案（备案审查不通过运营使用单位重新组织定级工作）。

解读：1、等保2.0定级备案流程：确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。

2、信息系统定级备案工作，甲方可以自己独立完成，也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。

3、定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。

（附件1）4、等级保护对象的安全保护等级分为以下五级：a)第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益：b)第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；c)第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

5、定级范围：包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。

6、以上信息确定好，根据甲方信息系统及机房实际情况，编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。

（附件2、3）7、定级备案表和定级报告编写完成，下一步进行专家评审工作，专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师，专家现场会根据甲方负责人对公司及信息系统的介绍，提出定级是否合理相关建议并形成专家评审意见表；专家评审流程：根据要求确定专家评审名单、编辑专家评审会议程（附件4）、专家签到表（附件5）、信息系统定级专家评审意见表（附件6）、被定级单位及信息系统介绍PPT（附件7）。

系统定级流程
系统定级的流程一般包括以下步骤：
1. 确定定级对象：首先需要明确需要进行等级保护的对象，如某个特定的信息系统或网络。

2. 初步确定等级：根据等级保护相关管理文件，确定等级保护对象的安全保护等级。

等级保护对象的级别由两个定级要素决定，包括受侵害的客体和对客体的侵害程度。

对于关键信息基础设施，“定级原则上不低于三级”，且第三级及以上信息系统每年或每半年就要进行一次测评。

3. 专家评审：邀请专家对初步确定的等级进行评审，确保定级结果的准确性和合理性。

4. 主管部门审批：将初步确定的等级报送主管部门进行审批，确保定级结果符合相关法律法规和政策要求。

5. 公安机构备案审查：将最终确定的级别报送公安机构进行备案审查，确保定级结果符合国家网络安全标准。

6. 最终确定的级别：经过上述流程后，最终确定系统或网络的定级结果，为后续的安全保护工作提供依据。

需要注意的是，不同行业的系统定级标准可能存在差异，因此在具体操作时应根据相关法律法规和政策要求进行操作。

同时，为了确保定级结果的准确性和合理性，建议在定级过程中邀请专业的网络安全机构或专家进行协助。

信息系统安全等级保护定级备案讲义一、背景信息系统安全等级保护是国家对信息系统按照其重要性、功能和业务特点进行的定级管理，是保障信息系统安全的重要手段。

信息系统安全等级保护定级备案工作是加强对关键信息基础设施、重要信息系统和网络的管理和监督，确保信息系统安全的有效途径。

此讲义旨在介绍信息系统安全等级保护定级备案的相关内容和流程。

二、信息系统安全等级保护定级备案的目的1. 统一管理信息系统安全等级保护工作，保障国家信息安全。

2. 加强对高危信息系统的监管和管理，防范信息泄露和攻击。

3. 促进相关单位对信息系统的安全保护意识，提高信息系统安全等级保护水平。

三、信息系统安全等级保护定级备案的程序1. 申报阶段：申报单位应向国家有关部门提交信息系统安全等级保护定级备案申请材料，包括申请表、系统功能介绍、安全风险评估等。

2. 审核阶段：国家有关部门对申报材料进行审核，评估系统的功能和安全风险等级，确定系统的安全等级。

3. 备案阶段：国家有关部门对审核通过的信息系统进行备案登记，颁发安全等级保护证书。

4. 监督检查阶段：国家有关部门进行定期的监督检查，确保信息系统安全等级保护工作的有效执行。

四、信息系统安全等级保护定级备案的要求1. 申报单位应真实提供信息系统的相关资料，确保信息系统安全等级的准确性。

2. 国家有关部门应严格依据相关标准和规定进行审核和备案，确保信息系统的安全等级评定公正客观。

3. 申报单位应加强信息系统的安全防护意识，定期进行安全漏洞的检测和修复，防范信息系统安全事件的发生。

五、信息系统安全等级保护定级备案的意义1. 保障国家的信息安全和网络安全。

2. 促进信息系统安全等级保护工作的深入开展。

3. 提高信息系统的安全等级和防护水平，减少信息系统安全风险。

六、结语信息系统安全等级保护定级备案工作是国家对关键信息基础设施、重要信息系统和网络进行管理和监督的重要举措。

希望各相关单位严格执行相关制度和规定，加强信息系统的安全防护工作，确保信息系统安全等级的准确性和有效性。

信息系统安全等级保护法规及依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下：1、《中华人民国计算机信息系统安全保护条例》（国务院147号令）2、《信息安全等级保护管理办法》（公通字[2007]43号）3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

信息系统定级与备案工作介绍本文主要介绍信息系统安全保护等级的确定，定级工作的流程和要求，备案工作的流程和要求等。

一、信息系统安全保护等级的划分与保护（一）信息系统定级工作原则信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。

定级工作的主要内容包括：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核，具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字〔2007〕861号）要求执行。

各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，根据所属信息系统的重要程度和遭到破坏后的危害程度，确定信息系统的安全保护等级。

同时，按照所定等级，依照相应等级的管理规范和技术标准，建设信息安全保护设施，建立安全制度，落实安全责任，对信息系统进行保护。

在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。

运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任；公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。

由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序，也会影响国家安全、社会稳定、公共利益，因此，国家必然要对重要信息系统的安全进行监管。

（二）信息系统安全保护等级信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为五级，从第一级到第五级逐级增高。

（三）信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

1.受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面：一是公民、法人和其他组织的合法权益；二是社会秩序、公共利益；三是国家安全。

信息系统安全等级保护备案证明是指在我国，对于涉及收集和使用用户敏感信息的信息系统，根据其安全保护需求和能力，分为不同的等级进行保护和备案。

这个等级保护制度是由国家相关部门制定和实施的，旨在保障信息系统的安全稳定运行，防止信息泄露、篡改等安全事件的发生，保护用户的个人信息和隐私权益。

首先，信息系统安全等级保护备案证明的等级划分是根据企业或机构收集和使用用户敏感信息的情况来确定的。

一般来说，等级越高，表示系统对用户信息的保护能力越强，需要遵守的规定和标准也越多。

从高到低，分为一级、二级、三级、四级和五级。

一级为自主保护级，适用于不涉及收集用户信息的系统；二级为指导保护级，适用于收集一定数量用户敏感信息的系统；三级为监督保护级，适用于收集大量用户敏感信息的系统；四级为强制保护级，适用于银行等金融机构等；五级为专控保护级，适用于涉及国家安全等特殊领域的系统。

要获得信息系统安全等级保护备案证明，企业或机构需要按照一定的流程进行申请和备案。

首先，需要对信息系统进行定级，确定其所处的等级；然后，需要提交定级报告和备案表到当地公安网监进行备案；接下来，需要进行系统测评，由专业的评测机构对信息系统进行安全评估，并形成测评报告；然后，根据测评结果进行系统整改，提升信息系统的安全保护能力；最后，进行系统复评，并由评测机构出具测评报告。

获得信息系统安全等级保护备案证明不仅是对企业或机构信息系统安全保护能力的认可，也是对用户信息安全和隐私权益的保护。

这不仅有助于提升企业或机构的形象和信誉，也有助于增强用户对企业和产品的信任。

同时，这也是符合国家法律法规和政策要求的必要措施。

总之，信息系统安全等级保护备案证明是我国对信息系统安全保护能力的一种认定和认可，是对用户信息安全和隐私权益保护的重要措施。

企业或机构应按照相关法律法规和政策要求，积极进行信息系统安全保护的备案和认证，提升自身的安全保护能力，为用户提供更加安全可靠的服务。

等保2.0信息系统定级、备案、专家评审流程一．系统定级请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南（见第二步相关材料文件夹）定级，定级对象的运营使用单位应组织专家召开专家定级评审会（专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师），出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案（备案审查不通过运营使用单位重新组织定级工作）。

1、安全专家解读：（1）等保2.0定级备案流程：确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。

（2）信息系统定级备案工作甲方可以自己独立完成，也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。

（3）定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。

（附件1）（4）等级保护对象的安全保护等级分为以下五级：a)第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；b)第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；c)第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

（5）定级范围：包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。

（6）以上信息确定好，根据甲方信息系统及机房实际情况，编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。

信息系统安全等级保护法规及依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下：1、《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）2、《信息安全等级保护管理办法》（公通字[2007]43号）3、 17859-1999《计算机信息系统安全保护等级划分准则》4、20274《信息安全技术信息系统安全保障评估框架》5、22081-2008《信息技术安全技术信息安全管理实用规则》6、20271-2006《信息系统通用安全技术要求》7、18336-2008《信息技术安全技术信息技术安全性评估准则》8、17859-1999《计算机信息系统安全保护等级划分准则》9、22239-2008《信息安全技术信息系统安全等级保护基本要求》10、22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面：a) 公民、法人和其他组织的合法权益；b) 社会秩序、公共利益；c) 国家安全。