信息系统定级、备案、专家评审流程【最新版】

网络安全等级保护之信息系统定级备案工作方案一、项目背景二、目标1.确保信息系统按照国家标准进行等级核定，并备案报送；2.确保信息系统经过定级备案后，按照相应的等级要求进行安全防护；3.确保信息系统运维人员了解并遵守相关标准和法律法规，提高信息系统的安全防护能力。

三、工作内容和流程1.初步准备阶段1.1研究和了解相关标准和规定，形成备案工作方案；1.2确定备案工作的责任部门和责任人；1.3建立备案工作的组织架构和工作流程。

2.信息收集阶段2.1定期向各部门和单位征集信息系统的基本情况、系统架构、业务功能等信息；2.2对收集到的信息进行初步分类和筛选；2.3与各部门和单位进行沟通和协商，明确信息系统的等级需求。

3.系统定级阶段3.1根据收集到的信息，确定信息系统的安全等级；3.2编制信息系统的安全等级评估和定级报告；3.3将评估和定级报告提交相关部门进行审核。

4.备案报送阶段4.1编制信息系统备案申请表；4.2部门负责人审核备案申请表；4.3将备案申请表和评估报告报送至上级部门进行审批；4.4上级部门审核通过后，将备案信息编入国家信息系统备案库。

5.安全防护阶段5.1依据信息系统的安全等级要求，对系统进行相应的安全防护措施布置；5.2组织相关人员进行安全培训，提高其安全防护意识和能力；5.3定期对信息系统进行安全漏洞扫描和漏洞修复；5.4对重要信息系统进行安全监控和事件响应。

6.定期评估和改进阶段6.1根据相关要求，定期对已备案的信息系统进行安全评估；6.2针对评估结果进行安全改进；6.3定期进行网络安全演练和应急演练；6.4根据运行情况和演练结果，不断完善和提高信息系统的安全性。

四、人员要求和资源保障1.确保备案工作的顺利进行，需要具备以下人员：1.1项目经理：负责制定备案工作方案、筹备备案工作、协调相关部门和单位；1.2技术专家：负责信息系统的定级评估和安全防护措施的布置；1.3运维人员：负责信息系统的运维和安全防护；1.4法务人员：负责信息安全法律法规的解释和合规性审查。

信息系统安全等级保护备案证明详细步骤及材料！在整个网络安全体系中，等级保护的作用是不言而喻的，尤其是随着等保2.0的到来，让等级保护变得更加重要，现如今已经成为每家企业必须要做的事情，而且对于部分平台来说，如果没有进行等保备案，则会导致业务无法正常开展。

那么如何办理信息系统安全等级保护备案证明?以下是详细的内容介绍。

第一步：确定需要做备案的系统及系统的安全保护等级备案之前，企业需要先确定需要做等保的信息系统，并确定信息系统的安全保护等级。

信息系统的安全保护等级分为以下五级，一至五级等级逐级增高：第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)，之前介绍过相关内容，本篇文章就不细致介绍了。

需要做等级保护的信息系统有三个特征：①具有确定的主要安全责任主体。

②承载相对独立的业务应用。

③包含相互关联的多个资源。

所以，只要信息系统具有以上三个特征，就需要做等保。

等保2.0时代，APP、网站、公众号、小程序等都可能是定级对象，企业需特别注意。

系统确定之后，就可以给系统定级。

定级依据是《信息系统安全等级保护定级指南》。

企业按照以下流程对信息系统进行定级：确定定级对象-初步确定等级-专家评审-主管部门审核-公安机关备案审查-最终确定的等级。

第二步：准备备案材料定级之后，企业就可以填写、准备备案材料。

备案所需材料主要是《信息安全等级保护备案表》，不同级别的信息系统需要的备案材料有所差异。

二级及其以上的信息系统运行使用单位或主管部门在备案时需要提交的资料有：①信息系统安全定级报告纸质材料，一式两份;②信息系统安全备案表纸质材料，一式两份;③上述备案的电子档，并制作出光盘提交。

第三级以上信息系统同时提供以下材料：1、系统拓扑结构及说明;2、系统安全组织机构和管理制度;3、系统安全保护设施设计实施方案或者改建实施方案;4、系统使用的信息安全产品清单及其认证、销售许可证明;5、测评后符合系统安全保护等级的技术检测评估报告;6、信息系统安全保护等级专家评审意见;7、主管部门审核批准信息系统安全保护等级的意见。

网络信息系统安全等级保护备案要求和流程下载温馨提示:该文档是我店铺精心编制而成，希望大家下载以后，能够帮助大家解决实际的问题。

文档下载后可定制随意修改，请根据实际需要进行相应的调整和使用，谢谢!并且，本店铺为大家提供各种各样类型的实用资料，如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等，如想了解不同资料格式和写法，敬请关注!Download tips: This document is carefully compiled by theeditor.I hope that after you download them,they can help yousolve practical problems. The document can be customized andmodified after downloading,please adjust and use it according toactual needs, thank you!In addition, our shop provides you with various types ofpractical materials,such as educational essays, diaryappreciation,sentence excerpts,ancient poems,classic articles,topic composition,work summary,word parsing,copy excerpts,other materials and so on,want to know different data formats andwriting methods,please pay attention!网络信息系统安全等级保护备案要求与流程详解随着信息化时代的快速发展，网络安全已成为社会关注的焦点。

网站定级备案流程网站定级备案流程包括：确定定级对象、确定信息系统级别、确定系统服务等级、确定业务信息等级、确定信息系统级别、专家评审与审批、主管单位审批。

1、确定定级对象各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求确定定级对象。

2、确定信息系统级别各信息系统主管部门和运营使用单位要按照《管理办法》和《定级指南》，初步确定定级对象的安全保护等级。

3、确定系统服务等级系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。

系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定。

4、确定业务信息等级业务信息安全是指确保信息系统内信息的保密性、完整性和可用性等。

业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。

5、确定信息系统级别SAG的级别，其中S为业务信息等级，A为系统服务等级，G取两者中大的。

6、专家评审与审批《信息安全等级保护管理办法》第十条信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。

有主管部门的，应当经主管部门审核批准。

跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

初步确定信息系统安全保护等级后，可以聘请专家进行评审。

信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。

7、主管单位审批没有主管单位的，或者感觉系统就是自己用不需要主管单位批准的完全可以省略这一步。

目前大部分的主管单位其实不想掺合各下属单位定级备案，怕负责任吧。

信息系统定级备案1. 引言信息系统定级备案是指根据国家相关法律法规的要求，将信息系统按照一定的等级进行备案，以保证信息系统的安全性和可靠性。

本文将介绍信息系统定级备案的概念、目的、流程和注意事项。

2. 概念信息系统定级备案是指对信息系统进行等级评定，并在相关管理部门进行备案登记的过程。

信息系统的等级评定是根据信息系统的重要性和风险程度进行评估，以确定相应的保护要求和措施。

3. 目的信息系统定级备案的目的是保护国家信息安全，防止信息系统遭受各种安全威胁和风险，确保信息系统的正常运行和有效使用。

通过定级备案，可以明确信息系统的安全需求，为后续的安全保护工作提供依据。

4. 流程信息系统定级备案的流程主要包括申请、评估和备案三个步骤。

4.1 申请申请者需要填写相应的信息系统定级备案申请表格，并提供相关证明材料，包括信息系统的用途、功能、架构、关键技术及安全防护措施等。

申请表格通常包括以下内容：•申请人信息：申请人的名称、地址、联系方式等；•信息系统基本情况：信息系统的名称、用途、功能、所属部门等；•信息系统安全控制措施：信息系统的安全防护措施、关键技术等；•信息系统风险评估：对信息系统的风险进行评估，包括系统漏洞、恶意代码、物理安全等方面的风险。

4.2 评估评估由相关管理部门进行，主要是对申请的信息系统进行安全风险评估和等级评定。

评估的内容包括：•安全风险评估：对信息系统的安全风险进行评估，包括系统漏洞、数据泄露、恶意攻击等；•等级评定：根据评估结果，对信息系统进行等级评定，通常包括一级、二级、三级等不同等级。

4.3 备案备案是指将评估通过的信息系统进行登记备案，并颁发备案证书。

备案证书包括以下内容：•备案单位信息：备案单位的名称、地址、联系方式等；•信息系统信息：备案的信息系统的名称、等级、备案编号等；•备案日期：备案的时间。

5. 注意事项在进行信息系统定级备案时，需要注意以下事项：•提前准备：申请者需要提前准备好申请所需的材料，确保信息的真实性和完整性；•安全控制要求：申请者需要了解并满足相关的安全控制要求，确保信息系统的安全性；•保密性要求：备案单位需要对备案信息进行保密，防止泄露。

等保2.0：信息系统定级、备案、专家评审流程一．系统定级请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南（见第二步相关材料文件夹）定级，定级对象的运营使用单位应组织专家召开专家定级评审会（专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师），出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案（备案审查不通过运营使用单位重新组织定级工作）。

解读：1、等保2.0定级备案流程：确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。

2、信息系统定级备案工作，甲方可以自己独立完成，也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。

3、定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。

（附件1）4、等级保护对象的安全保护等级分为以下五级：a)第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益：b)第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；c)第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

5、定级范围：包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。

6、以上信息确定好，根据甲方信息系统及机房实际情况，编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。

（附件2、3）7、定级备案表和定级报告编写完成，下一步进行专家评审工作，专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师，专家现场会根据甲方负责人对公司及信息系统的介绍，提出定级是否合理相关建议并形成专家评审意见表；专家评审流程：根据要求确定专家评审名单、编辑专家评审会议程（附件4）、专家签到表（附件5）、信息系统定级专家评审意见表（附件6）、被定级单位及信息系统介绍PPT（附件7）。

系统定级流程
系统定级的流程一般包括以下步骤：
1. 确定定级对象：首先需要明确需要进行等级保护的对象，如某个特定的信息系统或网络。

2. 初步确定等级：根据等级保护相关管理文件，确定等级保护对象的安全保护等级。

等级保护对象的级别由两个定级要素决定，包括受侵害的客体和对客体的侵害程度。

对于关键信息基础设施，“定级原则上不低于三级”，且第三级及以上信息系统每年或每半年就要进行一次测评。

3. 专家评审：邀请专家对初步确定的等级进行评审，确保定级结果的准确性和合理性。

4. 主管部门审批：将初步确定的等级报送主管部门进行审批，确保定级结果符合相关法律法规和政策要求。

5. 公安机构备案审查：将最终确定的级别报送公安机构进行备案审查，确保定级结果符合国家网络安全标准。

6. 最终确定的级别：经过上述流程后，最终确定系统或网络的定级结果，为后续的安全保护工作提供依据。

需要注意的是，不同行业的系统定级标准可能存在差异，因此在具体操作时应根据相关法律法规和政策要求进行操作。

同时，为了确保定级结果的准确性和合理性，建议在定级过程中邀请专业的网络安全机构或专家进行协助。

信息系统安全等级保护法规及依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下：1、《中华人民国计算机信息系统安全保护条例》（国务院147号令）2、《信息安全等级保护管理办法》（公通字[2007]43号）3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

信息系统定级与备案工作介绍本文主要介绍信息系统安全保护等级的确定，定级工作的流程和要求，备案工作的流程和要求等。

一、信息系统安全保护等级的划分与保护（一）信息系统定级工作原则信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。

定级工作的主要内容包括：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核，具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字〔2007〕861号）要求执行。

各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，根据所属信息系统的重要程度和遭到破坏后的危害程度，确定信息系统的安全保护等级。

同时，按照所定等级，依照相应等级的管理规范和技术标准，建设信息安全保护设施，建立安全制度，落实安全责任，对信息系统进行保护。

在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。

运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任；公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。

由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序，也会影响国家安全、社会稳定、公共利益，因此，国家必然要对重要信息系统的安全进行监管。

（二）信息系统安全保护等级信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为五级，从第一级到第五级逐级增高。

（三）信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

1.受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面：一是公民、法人和其他组织的合法权益；二是社会秩序、公共利益；三是国家安全。

定级备案操作流程定级备案听起来有点复杂，其实搞清楚了就很简单啦。

一、啥是定级备案。

定级备案呢，就是对一些东西的等级进行确定然后备案的一个操作。

比如说，在咱们这个信息安全的范畴里，就有很多信息资产，像公司的一些机密数据呀，或者网络系统啥的。

这些东西都有不同的重要性等级，我们得确定它们是啥等级，然后向相关部门或者管理机构备案。

这就像是给每个宝贝都贴上标签，告诉别人这个有多重要，要怎么保护它。

二、准备工作。

1. 了解相关规定。

在做定级备案之前，咱得先把相关的规定搞明白。

每个行业可能都有自己的一套要求，就像玩游戏有游戏规则一样。

咱们得知道这个规则是啥，才能玩得转。

你可以去相关的政府部门网站上找这些规定文件，一般都能找到很详细的解释说明。

比如说，信息安全相关的，就可以去工信部的网站瞅瞅，那里有很多有用的信息。

2. 收集资料。

这一步可重要啦。

要把和你要定级备案的东西相关的资料都收集起来。

如果是给一个系统定级备案，那你就得知道这个系统是干啥的，有哪些功能，有多少用户，存储了啥样的数据等等。

这些资料就像是拼图的碎片，只有都收集齐了，咱们才能拼出一个完整的画面。

把这些资料整理好放在一个文件夹里，这样找起来也方便。

三、定级的具体操作。

1. 确定定级对象。

先得搞清楚你要给啥东西定级。

是一个软件系统呢，还是一批数据？比如说，公司有一个新开发的办公软件，这个软件涉及到员工的工资信息、工作安排啥的，那这个办公软件就是我们的定级对象。

2. 分析影响因素。

这个时候，我们就要像侦探一样去分析各种影响这个定级对象等级的因素。

如果这个办公软件一旦出问题，员工工资可能就乱套了，工作安排也会一团糟，那影响就很大。

而且，如果这个软件的数据泄露了，可能还会涉及到公司的商业机密，这就更严重了。

所以这些都是影响它定级的重要因素。

3. 确定等级。

根据前面分析的影响因素，我们就可以确定等级啦。

一般等级可以分为高、中、低啥的。

如果这个办公软件影响面特别大，涉及到公司的核心机密，那可能就是高等级。

等保2.0信息系统定级、备案、专家评审流程一．系统定级请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南（见第二步相关材料文件夹）定级，定级对象的运营使用单位应组织专家召开专家定级评审会（专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师），出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案（备案审查不通过运营使用单位重新组织定级工作）。

1、安全专家解读：（1）等保2.0定级备案流程：确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。

（2）信息系统定级备案工作甲方可以自己独立完成，也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。

（3）定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。

（附件1）（4）等级保护对象的安全保护等级分为以下五级：a)第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；b)第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；c)第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

（5）定级范围：包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。

（6）以上信息确定好，根据甲方信息系统及机房实际情况，编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。

信息系统安全等级保护法规及依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下：1、《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）2、《信息安全等级保护管理办法》（公通字[2007]43号）3、 17859-1999《计算机信息系统安全保护等级划分准则》4、20274《信息安全技术信息系统安全保障评估框架》5、22081-2008《信息技术安全技术信息安全管理实用规则》6、20271-2006《信息系统通用安全技术要求》7、18336-2008《信息技术安全技术信息技术安全性评估准则》8、17859-1999《计算机信息系统安全保护等级划分准则》9、22239-2008《信息安全技术信息系统安全等级保护基本要求》10、22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面：a) 公民、法人和其他组织的合法权益；b) 社会秩序、公共利益；c) 国家安全。

信息系统定级专家评审流程一、前期准备。

这就好比打仗前的粮草弹药储备。

要先确定有哪些专家会参与评审呀。

这些专家得是各个相关领域的大牛，像信息安全领域的、系统架构方面的等等。

相关部门得提前联系好专家，确定他们的时间安排。

同时呢，需要把信息系统的相关资料准备得妥妥当当的。

这资料可不能马虎，得包括系统的基本情况，比如说系统是干啥用的，有哪些功能模块，涉及到哪些用户群体。

还有就是系统的安全防护措施，是有防火墙呢，还是有什么加密技术之类的。

把这些资料整得清清楚楚的，就像把自己心爱的宝贝展示品一样精心打理，这样专家们才能全面了解这个信息系统。

二、评审会议开场。

当专家们都到齐了，就像一场聚会开始啦。

先由主持人简单介绍一下评审的目的。

这时候主持人的话就像开胃菜，让大家知道今天为啥聚在一起。

比如说“咱们今天呀，就是来看看这个超酷的信息系统到底应该定个啥级别的，大家就放开了聊哈。

”然后呢，会介绍一下参与评审的各位专家，这就像是介绍聚会里的贵宾一样，每个专家都有自己的闪亮之处呢。

三、信息系统介绍环节。

接下来就轮到信息系统的相关负责人出场啦。

这个负责人要像个热情的导游一样，带着专家们在这个信息系统的世界里游览一番。

负责人要详细地讲述系统的各种情况，从系统的建设背景，为啥要建这个系统，是为了提高工作效率呢，还是为了满足市场需求之类的。

再到系统的架构设计，就像介绍一栋大楼的结构一样，哪是框架，哪是支撑部分。

还有系统的运行情况，有没有出现过什么故障，是怎么解决的等等。

这个过程中，负责人要尽量说得生动形象，可不能干巴巴的，得让专家们听得津津有味。

四、专家提问与讨论。

这可是评审流程中的重头戏呢。

专家们就像一群好奇的小侦探，开始提出各种各样的问题。

他们可能会对系统的安全漏洞提出疑问，比如说“你们这个系统在面对黑客攻击的时候，有啥特别的应对策略呀？”或者对系统的用户权限管理有疑问，“不同用户等级之间的权限划分是不是足够清晰呢？”然后专家们就开始讨论起来啦。

信息系统安全等级保护法规与依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下：1、《中华人民共和国计算机信息系统安全保护条例》〔国务院147号令〕2、《信息安全等级保护管理办法》〔公通字[2007]43号〕3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级：第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益.第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全.第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害.第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害.第五级,信息系统受到破坏后,会对国家安全造成特别严重损害.信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度.受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面：a> 公民、法人和其他组织的合法权益；b> 社会秩序、公共利益；c> 国家安全.对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定.由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述.等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：a> 造成一般损害；b> 造成严重损害；c> 造成特别严重损害.定级要素与等级的关系定级要素与信息系统安全保护等级的关系如下表所示.2、定级流程信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定. 从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级. 从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级. 确定信息系统安全保护等级的一般流程如下：a> 确定作为定级对象的信息系统；b> 确定业务信息安全受到破坏时所侵害的客体；c> 根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度；d> 依据"业务信息安全保护等级矩阵表",得到业务信息安全保护等级；e> 确定系统服务安全受到破坏时所侵害的客体；f> 根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度；g> 依据"系统服务安全保护等级矩阵表",得到系统服务安全保护等级；h> 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级.业务信息安全保护等级矩阵表系统服务安全保护等级矩阵表3、备案流程备案《管理办法》第十五条规定,已运营〔运行〕的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续.新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续.隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续.跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案.省直或省级单位信息系统向省公安厅备案.跨地区、跨省或者全省、全国统一联网运行的信息系统在各地运行、应用的分支系统,向地级以上市公安局备案.《管理办法》第十六条规定,办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料：1．系统拓扑结构与说明〔说明可以是对系统结构的简要说明〕；2．系统安全组织机构和管理制度〔安全组织机构包括机构名称、负责人、成员、职责分工等.管理制度包括安全管理规范、章程等〕；3．系统安全保护设施设计实施方案或者改建实施方案〔简要的安全建设、整改方案〕；4．系统使用的信息安全产品清单与其认证、销售许可证明〔主要信息安全产品的清单,确认有认证、销售许可标记〕；5．测评后符合系统安全保护等级的技术检测评估报告〔最近一次测评的简要的等级测评报告〕；6．信息系统安全保护等级专家评审意见〔评审意见表,附专家〕；7．主管部门审核批准信息系统安全保护等级的意见〔审批表,领导审批签字、盖章〕.备案审核《管理办法》第十七条规定,信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法与有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定.运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案.信息系统等级保护测评简要流程1、等级测评过程等级测评过程分为测评准备、方案编制、现场测评、报告编制、安全整改五个阶段.测评双方之间的沟通与洽谈将贯穿整个等级测评过程.2、阶段性实施计划2.1、测评准备：项目启动：确定测评机构〔四川省信息系统工程测评中心〕；●签订测评合同和测评##协议；●填报信息系统基本情况调查表格；●准备测评所需资料：总体描述文件、详细描述文件、定级报告、自查报告和等级测评报告〔如果曾做过的话〕,以与安全需求分析报告、安全总体方案、系统验收报告等信息系统设计和建设过程的文档.2.2、方案编制〔测评机构实施〕：1)测评对象与测评指标确定测评对象确定：●识别被测系统等级；●识别被测系统的整体结构；●识别被测系统的边界；●识别被测系统的网络区域；●识别被测系统的重点节点和业务应用；●确定测评对象.测评指标确定：●识别被测系统业务信息和系统服务安全保护等级；●选择对应等级的ASG三类安全要求作为测评指标；●就高原则调整多个定级对象共用的某些物理安全或管理安全测评指标.2)测评内容确定●识别每个测评对象对应的测评指标；●识别每个测评对象对应的每个测评指标的测评方法.3)工具测试方法确定●确定工具测试的测评对象；●选择测试路径；●确定测试工具的接入点.4)测评指导书开发●从已有的测评指导书中选择与测评对象对应的手册；●针对没有现成测评指导书的测评对象,开发新的测评指导书.5)测评方案编制●描述测评项目基本情况和工作依据；●描述被测系统的整体结构、边界和网络区域；●描述被测系统重要节点和业务应用；●描述测评指标；●描述测评对象；●描述测评内容、方法和工具；●人员安排与进度计划.2.3、现场测评：1)现场测评准备：●现场测评授权书签署；●召开现场测评启动会；●双方确认测评方案；●双方确认配合人员、环境等资源；●确认信息系统已经备份.2)结果确认和资料归还●召开现场测评结束会；●确认测评过程中获取的证据和资料的正确性,并签字认可；●测评人员归还借阅的各种资料.2.4、报告编制〔测评机构实施〕：1〕、单项测评结果判定分析测评项所对抗威胁的存在情况；分析单个测评项是否有多方面的要求内容,依据"优势证据"法选择优势证据,并将优势证据与预期测评结果相比较；综合判定单个测评项的测评结果.2〕、单元测评结果判定汇总每个测评对象在每个测评单元的单项测评结果；判定每个测评对象的单元测评结果.3〕、整体测评分析不符合和部分符合的测评项与其他测评项〔包括单元内、层面间、区域间〕之间的关联关系与对结果的影响情况.4〕、风险分析整体测评后的单元测评结果再次汇总；分析部分符合项或不符合项所产生的安全问题被威胁利用的可能性；分析威胁利用安全问题后造成的影响程度；按照测评单位选定的风险分析方法对被测系统面临的安全风险进行赋值；评价风险分析结果.5〕、等级测评结论形成统计再次汇总后的单元测评结果为部分符合和不符合项的项数；形成等级测评结论.6〕、测评报告编制概述测评项目情况；描述被测系统情况；描述测评范围和方法；描述单元测评情况；描述整体测评情况；汇总测评结果；描述风险情况；给出等级测评结论和整改建议.2.5、安全整改：根据测评机构提交的整改建议报告,对被测信息系统实施安全整改加固工作.。

信息系统定级、备案、专家评审流程一、系统定级请参考GAT 1389-2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级，定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师)，出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。

1、等保2.0定级备案流程:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。

2、信息系统定级备案工作甲方可以自己独立完成，也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。

3、定级参考《GAT 1389-2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。

(附件1)4、等级保护对象的安全保护等级分为以下五级a)第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;b)第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;c)第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

解读:县级重要的信息系统，地市级和省级的一般信息系统，这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统，这些系统都可以定为二级系统;●省级门户网站和地市级及以上重要的业务网站需要定为三级，地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统，管理系统需要定到三级，跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级，跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。

定级步骤
第一步：确定定级对象
第二步：初步确定安全保护等级
第三步：专家评审与审批
第四步：备案
备案材料准备
具体材料如下：
1、《信息系统安全等级保护备案表》（以下简称《备案表》），纸质材料，一式两份。

包括：《单位基本情况》（表一）、《信息系统情况》（表二）、《信息系统定级情况》（表三）和《第三级以上信息系统提交材料情况》（表四）。

第二级以上信息系统备案时需提交《备案表》中的表一、二、三；第三
级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材料。

备案表》需通过“等级保护备案端软件”填写信息，并导出word文档生成。

另，在填写表三“09 系统定级报告”时，需把《信息系统安全等级保护定级报告》上传到“附件”再导出word文档。

2、《信息系统安全等级保护定级报告》（以下简称《定级报告》），纸质材料，一式两份。

每个备案的信息系统均需提供对应的《定级报告》，《定级报告》参照模版格式填写。

3、备案电子数据，刻录光盘。

每个备案的信息系统，均需通过“等级保护备案端软件”填写信息，并保存为一个压缩文件（压缩文件需包含sysdata.xml、orgdata.xml及《定级报告》3个文件）。

另，第三级以上系统备案电子数据还应包括《备案表》表四所列的各项内容
4、《信息安全等级保护工作小组名单表》，刻录光盘。

参照模版格式填写。

备注：
1、“等级保护备案端软件”、《定级报告》模版、《信息安全等级保护工作小组名单表》模版可在“定级备案”栏目下载；。