等保2.0 信息系统定级、备案、专家评审流程

等保服务内容及报价一、信息安全等级保护服务流程及内容信息安全等级保护服务分为定级备案咨询、安全建设规划、安全等级现状测评、信息系统安全整改咨询和信息安全等级测评五个阶段，各阶段工作内容如下：1. 定级备案咨询阶段：通过定级对象分析、定级要素分析，初步确定系统保护等级，协助召开定级专家咨询会议，确定系统保护等级，协助撰写定级报告、协助联络公安机关，完成定级备案工作。

2. 安全建设规划阶段：协助建设单位按照同步规划、同步建设、同步运行的原则，做好项目建设的安全规划。

3. 安全等级现状测评阶段：详实调研业务系统，了解系统边界、功能、服务范围、涉及部门、重要程度，全面进行差距分析和脆弱性评估；找出不足之处和安全漏洞，为等级保护体系设计提供客观依据；将根据之前的项目成果，制定合理安全管理措施和技术措施，形成等级化的信息安全保障体系。

4. 信息系统安全整改咨询阶段：依据脆弱性评估结果，弥补技术层面的安全漏洞；建立健全信息安全管理制度；根据前期信息安全保障体系设计方案，指导系统运维方落实相关安全保障措施。

5. 信息安全等级测评阶段：实施等级测评，以满足国家信息安全监管的相关政策要求。

等保服务在合同签订后1个月内完成项目的系统定级、安全建设规划。

在系统建设完成后2周内完成安全评估差距分析、整改建议等工作。

在系统整改完成后2周内完成信息安全等级测评工作，出具等保测评报告。

1定级备案咨询1.1工作内容（1）系统梳理网络拓扑调查：通过对系统网络拓扑结构的调查，确定各个网络安全域，分析网络拓扑结构安全。

资产信息调查：通过对资产信息的调查，确定系统中重要资产，比如服务器、核心交换机、边界防火墙、IDS等。

服务信息调查：通过对服务信息的调查，确定系统服务对象。

系统边界调查：通过对系统边界的调查，确定各子系统边界情况。

（2）定级对象分析业务类型分析：通过对业务类型的分析，确定各系统的重要性。

管理机构分析：通对管理机构的分析，确定安全管理机构设置的合理性。

信息系统定级、备案、专家评审流程一、系统定级请参考GAT 1389-2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级，定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师)，出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。

1、等保2.0定级备案流程:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。

2、信息系统定级备案工作甲方可以自己独立完成，也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。

3、定级参考《GAT 1389-2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。

(附件1)4、等级保护对象的安全保护等级分为以下五级a)第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;b)第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;c)第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

解读:县级重要的信息系统，地市级和省级的一般信息系统，这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统，这些系统都可以定为二级系统;●省级门户网站和地市级及以上重要的业务网站需要定为三级，地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统，管理系统需要定到三级，跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级，跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。

等保2.0：信息系统定级、备案、专家评审流程一．系统定级请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南（见第二步相关材料文件夹）定级，定级对象的运营使用单位应组织专家召开专家定级评审会（专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师），出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案（备案审查不通过运营使用单位重新组织定级工作）。

解读：1、等保2.0定级备案流程：确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。

2、信息系统定级备案工作，甲方可以自己独立完成，也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。

3、定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。

（附件1）4、等级保护对象的安全保护等级分为以下五级：a)第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益：b)第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；c)第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

5、定级范围：包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。

6、以上信息确定好，根据甲方信息系统及机房实际情况，编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。

（附件2、3）7、定级备案表和定级报告编写完成，下一步进行专家评审工作，专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师，专家现场会根据甲方负责人对公司及信息系统的介绍，提出定级是否合理相关建议并形成专家评审意见表；专家评审流程：根据要求确定专家评审名单、编辑专家评审会议程（附件4）、专家签到表（附件5）、信息系统定级专家评审意见表（附件6）、被定级单位及信息系统介绍PPT（附件7）。

等级保护对象定级工作一般流程
一、初步调查阶段
1.确定等级保护对象范围和类别
2.收集相关资料和信息，包括但不限于：
（1）历史文献资料
（2）地形地貌图
（3）现场勘察数据
（4）专家意见
二、资料整理阶段
1.对收集的资料进行整理和归档
2.初步筛选出可能的等级保护对象
3.编制初步定级报告
三、专家评审阶段
1.邀请相关专家对初步定级报告进行评审
2.收集专家意见和建议
3.修改定级报告，根据专家意见调整定级方案
四、确定定级方案阶段
1.综合各方意见，确定最终的等级保护对象名单
2.制定详细的定级方案和标准
3.确定等级保护对象的具体等级级别
五、报批审批阶段
1.将最终定级方案报请上级主管部门批准
2.等待审批结果，确保定级工作符合相关法规和标准
六、公示公告阶段
1.公布定级结果，进行公示
2.发布公告，告知相关单位和社会公众。

等保2.0的实施步骤及测评流程一、等保2.0实施步骤1、确定信息系统的个数、每个信息系统的等保级别、信息系统的资产数量（主机、网络设备、安全设备等）、机房的模式（自建、云平台、托管等）。

2、对每个目标系统，按照《信息系统定级指南》的要求和标准，分别进行等级保护的定级工作，填写《系统定级报告》、《系统基础信息调研表》（每个系统一套）。

3、对所定级的系统进行专家评审（二级系统也需要专家评审）。

4、向属地公安机关网监部门提交《系统定级报告》、《系统基础信息调研表》和信息系统其它系统定级备案证明材料，获取《信息系统等级保护定级备案证明》（每个系统一份），完成系统定级备案阶段工作。

5、依据确定的等级标准，选取等保测评机构，对目标系统开展等级保护测评工作（具体测评流程见下文，实际工作中，可能需要一开始就要选定测评机构）。

6、完成等级测评工作，获得《信息系统等级保护测评报告》（每个系统一份）后，将《测评报告》提交网监部门进行备案。

7、结合《测评报告》整体情况，针对报告提出的待整改项，制定本单位下一年度的“等级保护工作计划”，并依照计划推进下一阶段的信息安全工作。

二、等级测评的流程1 测评准备活动阶段首先，被测评单位在选定测评机构后，双方签订《测评服务合同》，合同中对项目范围、项目内容、项目周期、项目实施方案、项目人员、项目验收标准、付款方式、违约条款等等内容逐一进行约定。

同时，测评机构应签署《保密协议》。

《保密协议》一般分两种，一种是测评机构与被测单位（公对公）签署，约定测评机构在测评过程中的保密责任；一种是测评机构项目组成员与被测单位之间签署。

项目启动会后测评方开展调研，通过填写《信息系统基本情况调查表》，掌握被测系统的详细情况，为编制测评方案做好准备。

2 测评方案编制阶段该阶段的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评实施手册，形成测评方案。

方案编制活动为现场测评提供最基本的文档依据和指导方案。

等保测评流程全面介绍等保测评流程包括系统定级→系统备案→整改实施→系统测评→运维检查这5大阶段。

一、等级保护测评的依据：依据《信息系统安全等级保护基本要求》“等级保护的实施与管理”中的第十四条：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。

第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。

运营单位确定要开展信息系统等级保护工作后，应按照以下步骤逐步推进工作：1、确定信息系统的个数、每个信息系统的等保级别。

2、对每个目标系统，按照《信息系统定级指南》的要求和标准，分别进行等级保护的定级工作，填写《系统定级报告》、《系统基础信息调研表》(每个系统一套)。

运营单位也可委托具备资质的等保测评机构协助填写上述表格。

3、向属地公安机关部门提交《系统定级报告》和《系统基础信息调研表》，获取《信息系统等级保护定级备案证明》(每个系统一份)，完成系统定级备案阶段工作。

4、依据确定的等级标准，选取等保测评机构，对目标系统开展等级保护测评工作(具体测评流程见第三条)5、完成等级测评工作，获得《信息系统等级保护测评报告》(每个系统一份)后，将《报告》提交相关部门进行备案。

6、结合《测评报告》整体情况，针对报告提出的待整改项，制定本单位下一年度的“等级保护工作计划”，并依照计划推进下一阶段的信息安全工作。

三、等级测评的流程：差距测评阶段又分为以下内容：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动，整改阶段、验收测评阶段。

签订《合同》与《保密协议》首先，被测评单位在选定测评机构后，双方需要先签订《测评服务合同》，合同中对项目范围(哪些系统?)、项目内容(差距测评?验收测评?协助整改?)、项目周期(什么时间进场?项目计划做多长时间?)、项目实施方案(测评工作的步骤)、项目人员(项目实施团队人员)、项目验收标准、付款方式、违约条款等等内容逐一进行约定。

等保2.0丨测评全流程一、等保测评全流程等级保护整体流程介绍各个阶段产出的文档：二、定级备案定级备案过程及工作内容安全等级保护定级报告（大纲）依据定级指南确定目标系统的安全保护等级，同时也是对安全保护等级确定过程的说明。

1.目标业务系统描述系统的基本功能系统的责任部门系统的网络结构及部署情况采取的基本防护措施2.业务信息及系统服务的安全保护等级确定业务信息及系统服务的描述业务信息及系统服务受到破坏时所侵害客体的描述业务信息及系统服务受到破坏时对侵害客体的侵害程度业务信息及系统服务的安全等级的确定3.系统安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定三、差分整改（重点）差分整改过程关注的高风险问题1、安全物理环境这块没有包含在一个中心，三个防护的内容里面，但是也是在等保标准里面的，只不过大多数系统这块都基本满足。

2、安全区域边界通信协议转化（或者网闸）通常用于四级系统3、安全通信网络设备处理能力要看高峰期的记录。

4、安全计算环境（内容较多）5、安全管理中心6、安全管理（1）安全管理制度：未建立任何与安全管理活动相关的管理制度或相关管理制度无法适用于当前被测系统。

（2）安全建设管理：关键设备和网络安全专用产品的使用违反国家有关规定。

（3）密码管理：密码产品与服务的使用违反国家密码管理主管部门的要求。

（4）外包开发代码审计：被测单位未对外包公司开发的系统进行源代码安全审查，外包公司也无法提供第三方安全检测证明。

（5）上线前安全检测：系统上线前未进行任何安全性测试，或未对相关高风险问题进行安全评估仍旧“带病”上线。

（6）服务提供商：选择不符合国家有关规定的服务供应商。

（7）变更管理：未建立变更管理制度，或变更管理制度中无变更管理流程、变更内容分析与论证、变更方案审批流程等相关内容；变更过程未保留相关操作日志及备份措施，出现问题无法进行恢复还原。

（8）运维工具管控：未对各类运维工具（特别是未商业化的运维工具）进行有效性检查，如病毒、漏洞扫描等；对运维工具的接入也未进行严格的控制和审批；操作结束后也未要求删除可能临时存放的敏感数据。

信息系统安全等级保护法规及依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下：1、《中华人民国计算机信息系统安全保护条例》（国务院147号令）2、《信息安全等级保护管理办法》（公通字[2007]43号）3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

信息安全等级保护二级认证流程
信息系统的等级保护认证主要包括以下流程：
申请认证：申请人需向国家计算机网络与信息安全管理中心（以下简称“国家中心”）提交认证申请，并提供相关材料和信息。

预审：国家中心对申请材料进行初步审核，确认申请材料齐全、符合要求后，组织专家对系统进行现场预审。

评估：通过预审的系统，进入正式的评估阶段。

国家中心将组织专家对系统进行全面的安全评估和测试，评估包括系统的机房、硬件设备、软件系统、安全管理和应急响应等方面。

鉴定：评估完成后，国家中心将根据评估结果和等级要求，对系统进行等级鉴定，并出具鉴定报告。

发布认证证书：通过鉴定的系统，将获得国家中心颁发的等级保护认证证书，并被纳入等级保护认证管理系统。

监督：系统获得认证证书后，国家中心将对其进行定期的监督和检查，以确保其安全等级的持续有效。

等保2.0信息系统定级、备案、专家评审流程一．系统定级请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南（见第二步相关材料文件夹）定级，定级对象的运营使用单位应组织专家召开专家定级评审会（专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师），出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案（备案审查不通过运营使用单位重新组织定级工作）。

1、安全专家解读：（1）等保2.0定级备案流程：确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。

（2）信息系统定级备案工作甲方可以自己独立完成，也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。

（3）定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。

（附件1）（4）等级保护对象的安全保护等级分为以下五级：a)第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；b)第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；c)第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

（5）定级范围：包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。

（6）以上信息确定好，根据甲方信息系统及机房实际情况，编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。

.
等级保护定级备案→等级保护差距分析→等级保护整改建议方案→等级保护整改实施→等级保护测评→等级保护检查
等级保护定级备案●
对信息系统进行划分，并根据信息系统的价值确定信息系统的保护等级，等级确定后完成保护等级的备案工作。

等级保护差距分析●
通过风险评估可以发现信息系统的安全现状与需要达到的安全等级或目标的差异，使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善，使单位的信息系统安全工作有的放矢。

等级保护整改建议方案●
根据评估的结果和信息系统确认的保护等级，结合公安部《信息系统安全等级保护基本要求》中对各级别信息系统的技术、管理和运维方面的要求，调整相应的安全保护措施，并完成等级保护整改建议方案的设计。

等级保护整改实施●
依据规划提供详细设计和等级保护系统建设服务，确保保障等级能够达到信息系统所要求的保护等级，或者协助用户进行等级保护的实施，对承建商的工作进行监理。

等级保护测评●
在信息系统进行完成定级和整改实施之后，需要通过测试手段对信息系统的安全技术和安全管理上各个层面的安全控制进行整体性验证，提供的测评服务将协助用户完成等级保护测评工作。

等级保护检查●
在信息系统进行完成定级和整改实施之后，用户需要对信息系统的安全技术和安全管理上各个层面的安全控制进行检查，并准备检查所需要的文档和资料，配合公安机关开展现场的检查工作。

'.。

网络安全等级保护之信息系统定级备案工作方案网络安全等级保护之信息系统定级备案工作方案一、信息系统安全保护等级的划分与保护（一）信息系统定级工作原则信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。

定级工作的主要内容包括：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核，具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字〔2007〕861号）要求执行。

各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，根据所属信息系统的重要程度和遭到破坏后的危害程度，确定信息系统的安全保护等级。

同时，按照所定等级，依照相应等级的管理规范和技术标准，建设信息安全保护设施，建立安全制度，落实安全责任，对信息系统进行保护。

在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。

运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任；公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。

由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序，也会影响国家安全、社会稳定、公共利益，因此，国家必然要对重要信息系统的安全进行监管。

（二）信息系统安全保护等级信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的二、定级工作的主要步骤信息系统定级是等级保护工作的首要环节和关键环节，是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。

这里先明确一个概念，信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。

信息系统安全级别定级不准，系统备案、建设整改、等级测评等后续工作都会失去基础，信息系统安全就没有保证。

等级保护定级备案→等级保护差距分析→等级保护整改建议方案→等级保护整改实施→等级保护测评→等级保护检查
●等级保护定级备案
对信息系统进行划分，并根据信息系统的价值确定信息系统的保护等级，等级确定后完成保护等级的备案工作。

●等级保护差距分析
通过风险评估可以发现信息系统的安全现状与需要达到的安全等级或目标的差异，使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善，使单位的信息系统安全工作有的放矢。

●等级保护整改建议方案
根据评估的结果和信息系统确认的保护等级，结合公安部《信息系统安全等级保护基本要求》中对各级别信息系统的技术、管理和运维方面的要求，调整相应的安全保护措施，并完成等级保护整改建议方案的设计。

●等级保护整改实施
依据规划提供详细设计和等级保护系统建设服务，确保保障等级能够达到信息系统所要求的保护等级，或者协助用户进行等级保护的实施，对承建商的工作进行监理。

●等级保护测评
在信息系统进行完成定级和整改实施之后，需要通过测试手段对信息系统的安全技术和安全管理上各个层面的安全控制进行整体性验证，提供的测评服务将协助用户完成等级保护测评工作。

●等级保护检查
在信息系统进行完成定级和整改实施之后，用户需要对信息系统的安全技术和安全管理上各个层面的安全控制进行检查，并准备检查所需要的文档和资料，配合公安机关开展现场的检查工作。

欢迎您的下载，
资料仅供参考！
致力为企业和个人提供合同协议，策划案计划书，学习资料等等
打造全网一站式需求。

等保2.0信息系统定级备案专家评审流程等保2.0：信息系统定级、备案、专家评审流程一．系统定级请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南（见第二步相关材料文件夹）定级，定级对象的运营使用单位应组织专家召开专家定级评审会（专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师），出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案（备案审查不通过运营使用单位重新组织定级工作）。

解读：1、等保2.0定级备案流程：确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。

2、信息系统定级备案工作，甲方可以自己独立完成，也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。

3、定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。

（附件1）4、等级保护对象的安全保护等级分为以下五级：a)第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益：b)第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；c)第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

5、定级范围：包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。

6、以上信息确定好，根据甲方信息系统及机房实际情况，编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。

网络安全等级保护之信息系统定级备案工作方案一、信息系统安全保护等级的划分与保护（一）信息系统定级工作原则信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。

定级工作的主要内容包括：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核，具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字〔2007〕861号）要求执行。

各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，根据所属信息系统的重要程度和遭到破坏后的危害程度，确定信息系统的安全保护等级。

同时，按照所定等级，依照相应等级的管理规范和技术标准，建设信息安全保护设施，建立安全制度，落实安全责任，对信息系统进行保护。

在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。

运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任；公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。

由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序，也会影响国家安全、社会稳定、公共利益，因此，国家必然要对重要信息系统的安全进行监管。

（二）信息系统安全保护等级信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的二、定级工作的主要步骤信息系统定级是等级保护工作的首要环节和关键环节，是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。

这里先明确一个概念，信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。

信息系统安全级别定级不准，系统备案、建设整改、等级测评等后续工作都会失去基础，信息系统安全就没有保证。