等保2.0信息系统定级备案专家评审流程

等保的定级流程一、什么是等保定级。

等保就是信息安全等级保护啦。

定级呢，就像是给一个信息系统做个身份鉴定，看看它在安全方面应该被划分到哪个等级。

这就好比我们把游戏里的角色根据实力或者重要性分个类一样。

这个等级会决定我们要对这个系统采取多严格的安全保护措施哦。

比如说，等级高的系统，那安全防护就得像给城堡建超级厚的城墙一样，各种防护手段都得用上。

二、初步判断。

我们先得大概了解一下这个信息系统的情况。

比如说这个系统是用来做什么的呀，是处理公司的财务数据呢，还是只是个普通的员工打卡系统。

如果是财务数据这种超级重要又涉及很多隐私和资金的系统，那肯定等级不能低。

要是打卡系统，相对来说重要性就没那么高啦。

这就像是我们判断一个东西是宝贝还是普通小物件一样，凭直觉先有个大概的判断。

三、详细分析系统特性。

这一步可不能马虎哦。

我们要深入研究这个系统的各种特性。

它有多少用户呀，如果是像淘宝那种全国甚至全世界好多人用的系统，那影响面可就大了，等级可能就高。

再看看这个系统要是出了问题，会有多大的损失呢。

是会让公司破产呢，还是只是有点小麻烦。

还有这个系统里面的数据有多敏感，像医疗系统里病人的隐私数据那可都是超级敏感的，这些都要考虑进去。

这就好比我们了解一个人的性格特点一样，要很细致才能做出准确的判断。

四、参考相关标准和规范。

在等保定级的世界里，可是有很多标准和规范的。

我们不能自己瞎定等级呀。

这些标准就像是游戏规则一样，大家都得遵守。

我们要看看国家或者行业有没有相关的规定，比如说金融行业可能就有针对金融信息系统的等保定级特殊要求。

我们就得按照这些要求来衡量我们的系统，就像学生按照考试大纲来复习一样，这样才能保证我们定的等级是合理合法的。

五、专家评审或者行业交流。

有时候我们自己觉得定的等级挺合适的，但还是有点不放心呀。

这时候就可以找专家来评审一下啦。

专家就像是游戏里的高手一样，他们经验丰富，看问题更全面。

或者也可以和同行业的小伙伴们交流交流，毕竟大家可能都遇到过类似的情况。

信息系统定级专家评审流程一、前期准备。

这就好比打仗前的粮草弹药储备。

要先确定有哪些专家会参与评审呀。

这些专家得是各个相关领域的大牛，像信息安全领域的、系统架构方面的等等。

相关部门得提前联系好专家，确定他们的时间安排。

同时呢，需要把信息系统的相关资料准备得妥妥当当的。

这资料可不能马虎，得包括系统的基本情况，比如说系统是干啥用的，有哪些功能模块，涉及到哪些用户群体。

还有就是系统的安全防护措施，是有防火墙呢，还是有什么加密技术之类的。

把这些资料整得清清楚楚的，就像把自己心爱的宝贝展示品一样精心打理，这样专家们才能全面了解这个信息系统。

二、评审会议开场。

当专家们都到齐了，就像一场聚会开始啦。

先由主持人简单介绍一下评审的目的。

这时候主持人的话就像开胃菜，让大家知道今天为啥聚在一起。

比如说“咱们今天呀，就是来看看这个超酷的信息系统到底应该定个啥级别的，大家就放开了聊哈。

”然后呢，会介绍一下参与评审的各位专家，这就像是介绍聚会里的贵宾一样，每个专家都有自己的闪亮之处呢。

三、信息系统介绍环节。

接下来就轮到信息系统的相关负责人出场啦。

这个负责人要像个热情的导游一样，带着专家们在这个信息系统的世界里游览一番。

负责人要详细地讲述系统的各种情况，从系统的建设背景，为啥要建这个系统，是为了提高工作效率呢，还是为了满足市场需求之类的。

再到系统的架构设计，就像介绍一栋大楼的结构一样，哪是框架，哪是支撑部分。

还有系统的运行情况，有没有出现过什么故障，是怎么解决的等等。

这个过程中，负责人要尽量说得生动形象，可不能干巴巴的，得让专家们听得津津有味。

四、专家提问与讨论。

这可是评审流程中的重头戏呢。

专家们就像一群好奇的小侦探，开始提出各种各样的问题。

他们可能会对系统的安全漏洞提出疑问，比如说“你们这个系统在面对黑客攻击的时候，有啥特别的应对策略呀？”或者对系统的用户权限管理有疑问，“不同用户等级之间的权限划分是不是足够清晰呢？”然后专家们就开始讨论起来啦。

信息系统定级、备案、专家评审流程一、系统定级请参考GAT 1389-2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级，定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师)，出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。

1、等保2.0定级备案流程:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。

2、信息系统定级备案工作甲方可以自己独立完成，也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。

3、定级参考《GAT 1389-2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。

(附件1)4、等级保护对象的安全保护等级分为以下五级a)第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;b)第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;c)第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

解读:县级重要的信息系统，地市级和省级的一般信息系统，这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统，这些系统都可以定为二级系统;●省级门户网站和地市级及以上重要的业务网站需要定为三级，地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统，管理系统需要定到三级，跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级，跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。

等保2.0的实施步骤及测评流程一、等保2.0实施步骤1、确定信息系统的个数、每个信息系统的等保级别、信息系统的资产数量（主机、网络设备、安全设备等）、机房的模式（自建、云平台、托管等）。

2、对每个目标系统，按照《信息系统定级指南》的要求和标准，分别进行等级保护的定级工作，填写《系统定级报告》、《系统基础信息调研表》（每个系统一套）。

3、对所定级的系统进行专家评审（二级系统也需要专家评审）。

4、向属地公安机关网监部门提交《系统定级报告》、《系统基础信息调研表》和信息系统其它系统定级备案证明材料，获取《信息系统等级保护定级备案证明》（每个系统一份），完成系统定级备案阶段工作。

5、依据确定的等级标准，选取等保测评机构，对目标系统开展等级保护测评工作（具体测评流程见下文，实际工作中，可能需要一开始就要选定测评机构）。

6、完成等级测评工作，获得《信息系统等级保护测评报告》（每个系统一份）后，将《测评报告》提交网监部门进行备案。

7、结合《测评报告》整体情况，针对报告提出的待整改项，制定本单位下一年度的“等级保护工作计划”，并依照计划推进下一阶段的信息安全工作。

二、等级测评的流程1 测评准备活动阶段首先，被测评单位在选定测评机构后，双方签订《测评服务合同》，合同中对项目范围、项目内容、项目周期、项目实施方案、项目人员、项目验收标准、付款方式、违约条款等等内容逐一进行约定。

同时，测评机构应签署《保密协议》。

《保密协议》一般分两种，一种是测评机构与被测单位（公对公）签署，约定测评机构在测评过程中的保密责任；一种是测评机构项目组成员与被测单位之间签署。

项目启动会后测评方开展调研，通过填写《信息系统基本情况调查表》，掌握被测系统的详细情况，为编制测评方案做好准备。

2 测评方案编制阶段该阶段的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评实施手册，形成测评方案。

方案编制活动为现场测评提供最基本的文档依据和指导方案。

等保测评备案流程等保测评备案流程一、引言等保测评备案是信息系统安全保护的重要环节，它通过对信息系统的安全性进行评估和备案登记，以确保系统的安全性和合规性。

本文将介绍等保测评备案的流程，帮助企业和组织了解并顺利完成等保测评备案工作。

二、流程步骤下面是一般等保测评备案的流程步骤，具体可根据实际情况进行调整：1. 筹备阶段：-成立等保测评备案项目组，明确相关人员职责和任务。

-收集和整理必要的资料和证明文件，如企业资质证书、组织机构代码证等。

-制定等保测评备案计划，明确评估的范围、目标和时间表。

2. 风险评估与控制：-进行信息系统的风险评估，包括安全风险辨识、定级和等级划分等。

-制定相应的安全措施和控制策略，以降低系统风险。

3. 测评实施：-按照等级划分要求，进行相应的等保测评工作。

-实施技术和程序的评估，包括系统架构、访问控制、密码管理、日志审计等。

4. 结果报告：-撰写等保测评报告，记录评估过程、结果和发现的问题。

-提出改进建议和措施，以进一步完善系统的安全性。

5. 备案登记：-将等保测评报告提交给相关部门，申请备案登记。

-根据部门的要求，补充提供必要的材料和证明文件。

6. 审核与批准：-相关部门进行等保测评备案的审核工作，包括对报告和资料的审查。

-审核通过后，颁发等保测评备案证书或备案凭证。

7. 定期复评：-根据规定，进行定期复评工作，以评估和确认信息系统的安全水平。

三、注意要点1. 了解政策法规：及时了解相关政策法规的要求和规定，确保等保测评备案符合法律法规的要求。

2. 组织协调配合：建立项目组织和合理分工，确保各个环节的协调和配合，提高工作效率。

3. 保护好评估数据：评估中获取的相关数据和信息应妥善保密，防止泄露和利用。

4. 提前准备资料：提前准备好必要的资料和证明文件，以免延误备案的时间。

5. 及时沟通反馈：与相关部门保持及时沟通和反馈，妥善处理评估过程中的问题和建议。

四、总结等保测评备案是确保信息系统安全和合规的重要环节。

等保2.0丨测评全流程一、等保测评全流程等级保护整体流程介绍各个阶段产出的文档：二、定级备案定级备案过程及工作内容安全等级保护定级报告（大纲）依据定级指南确定目标系统的安全保护等级，同时也是对安全保护等级确定过程的说明。

1.目标业务系统描述系统的基本功能系统的责任部门系统的网络结构及部署情况采取的基本防护措施2.业务信息及系统服务的安全保护等级确定业务信息及系统服务的描述业务信息及系统服务受到破坏时所侵害客体的描述业务信息及系统服务受到破坏时对侵害客体的侵害程度业务信息及系统服务的安全等级的确定3.系统安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定三、差分整改（重点）差分整改过程关注的高风险问题1、安全物理环境这块没有包含在一个中心，三个防护的内容里面，但是也是在等保标准里面的，只不过大多数系统这块都基本满足。

2、安全区域边界通信协议转化（或者网闸）通常用于四级系统3、安全通信网络设备处理能力要看高峰期的记录。

4、安全计算环境（内容较多）5、安全管理中心6、安全管理（1）安全管理制度：未建立任何与安全管理活动相关的管理制度或相关管理制度无法适用于当前被测系统。

（2）安全建设管理：关键设备和网络安全专用产品的使用违反国家有关规定。

（3）密码管理：密码产品与服务的使用违反国家密码管理主管部门的要求。

（4）外包开发代码审计：被测单位未对外包公司开发的系统进行源代码安全审查，外包公司也无法提供第三方安全检测证明。

（5）上线前安全检测：系统上线前未进行任何安全性测试，或未对相关高风险问题进行安全评估仍旧“带病”上线。

（6）服务提供商：选择不符合国家有关规定的服务供应商。

（7）变更管理：未建立变更管理制度，或变更管理制度中无变更管理流程、变更内容分析与论证、变更方案审批流程等相关内容；变更过程未保留相关操作日志及备份措施，出现问题无法进行恢复还原。

（8）运维工具管控：未对各类运维工具（特别是未商业化的运维工具）进行有效性检查，如病毒、漏洞扫描等；对运维工具的接入也未进行严格的控制和审批；操作结束后也未要求删除可能临时存放的敏感数据。

信息安全等级保护二级的认证（等保二级）的流程信息安全等级保护二级的认证（等保二级）的流程有五个步骤，定级、备案、整改、测评、检查针对要测评的系统，到网安要定级报告模板和备案表，编制定级报告，填写备案表，然后交网安部门，这就是定级备案两个动作。

根据等级保护基本要求的2级要求项，对系统进行整改，让系统能符合这些要求。

这是整改。

委托认可的等级保护测评机构进行测评，出具测评报告，交网安。

网安检查。

具体备案流程如下：确定对象各行业主管部门、运营使用单位按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求，初步确定定级对象的安全保护等级。

备案材料准备办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》。

专家评审与审批初步确定信息系统安全保护等级和准备好备案材料后，运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级，形成定级报告。

当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时，由运营使用单位或主管部门自主决定信息系统安全保护等级。

信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。

备案材料提交及审核定级备案单位将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》及上述配套材料提交属地公安机关网安部门审核。

对符合等级保护要求的，在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，在收到备案材料之日起的10个工作日内通知备案单位予以纠正。

另外三级的内容：其中三级是国家对非银行机构的最高级认证，属于“监管级别”，由国家信息安全监管部门进行监督、检查，认证需要测评内容涵盖等级保护安全技术要求5个层面和安全管理要求的5个层面，主要包含信息保护、安全审计、通信保密等在内的近300项要求，共涉及测评分类73类，要求十分严格，这也是目前网贷行业获得三级信息系统安全等级保护证书较少的重要原因之一。

⽹络安全等级保护如何定级？定级流程是怎样？1.⽹络安全等级保护的⼯作流程如下：定级（⾸要环节）——备案（核⼼）——测评（评价⽅法）——系统安全建设（关键）——监督检查（保障）⼯作流程2.定级第⼀级（⾃主保护级），⽹络和信息系统受到破坏后，会对公民、法⼈和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第⼀级信息系统运营、使⽤单位应当依据国家有关管理规范和技术标准进⾏保护。

第⼆级（指导保护级），⽹络和信息系统受到破坏后，对社会秩序和公共利益造成损害，但不损害国家安全。

国家信息安全监管部门对该级信息系统安全等级保护⼯作进⾏指导。

第三级（监督保护级），⽹络和信息系统受到破坏后，会对公民、法⼈和其他组织的合法权益产⽣严重损害，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

国家信息安全监管部门对该级信息系统安全等级保护⼯作进⾏监督、检查。

第四级（强制保护级），⽹络和信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

国家信息安全监管部门对该级信息系统安全等级保护⼯作进⾏强制监督、检查。

第五级（专控保护级），⽹络和信息系统受到破坏后，会对国家安全造成特别严重损害。

国家信息安全监管部门对该级信息系统安全等级保护⼯作进⾏专门监督、检查。

总结：原则上，定级为⼆级及以上的信息系统都是需要做等保测评的。

区县的系统基本都是⼆级；省级单位门户⽹站，地级市重要⾏业的门户⽹站是三级；涉及到⼯作秘密、敏感信息的系统，信息泄露出去或者被⾮法篡改会引起民众恐慌、社会秩序混乱、破坏国家安全的系统都要定到三级；地级市及省级单位其他不涉及敏感信息、重要信息的⼀般系统定到⼆级。

3，安全保护等级等级保护对象的级别由两个定级要素决定：①受侵害的客体。

分三个⽅⾯，即：公民、法⼈和其他组织的合法权益；社会秩序、公共利益；国家安全；②对客体的侵害程度。

分三种程度，即：造成⼀般损害；造成严重损害；造成特别严重损害。

信息系统等保测评定级流程
嘿，朋友们！今天咱来聊聊信息系统等保测评定级流程，那可真是像一场刺激的冒险之旅啊！
你看啊，就好比你要去攀登一座高山（信息系统就像是那座要攀登的山）。

首先呢，你得弄清楚这山有多高（对信息系统进行全面的了解和分析）。

然后呢，根据山的情况判断它属于哪个级别（确定信息系统的安全等级）。

说起来挺简单，但实际操作可没那么容易哦！这中间得经历好多环节呢。

比如说，要进行详细的风险评估，就像医生给病人做全面检查一样（想想医生是怎么仔细检查身体的各种指标的吧），得找出可能存在的隐患和漏洞。

然后呢，针对这些问题制定相应的措施和解决方案，就如同给生病的人开药方治病（对症下药才能药到病除嘛）。

而且啊，在整个过程中，可不是一个人能搞定的，需要好多专业的小伙伴一起努力呢！我记得有一次我们团队在做等保测评的时候，大家分工明确，有人负责技术方面，有人负责管理方面，那配合，真是绝了！大家都特别认真，因为我们都知道这事儿太重要了，关系到整个系统的安全稳定呢！
这可不是走过场哦，是真的要把每一个细节都做到位。

不然的话，就像盖房子没打好地基一样（盖房子地基多重要不用我说吧），后果不堪设想！
等所有步骤都完成了，才能得出一个准确的评级结果。

这就像是比赛终于决出了胜负一样。

总之啊，信息系统等保测评定级流程就是一个严谨又重要的过程。

朋友们，可千万别小瞧它呀！
我的观点就是：信息系统等保测评定级流程至关重要，必须认真对待，才能确保信息系统的安全可靠。

信息系统安全等级保护法规及依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下：1、《中华人民XX国计算机信息系统安全保护条例》〔国务院147号令2、《信息安全等级保护管理办法》〔公通字[2007]43号3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级：第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

一、系统定级请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南（见第二步相关材料文件夹）定级，定级对象的运营使用单位应组织专家召开专家定级评审会（专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师），出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案（备案审查不通过运营使用单位重新组织定级工作）。

1、等保2.0定级备案流程：确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。

2、信息系统定级备案工作甲方可以自己独立完成，也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。

3、定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。

（附件1）4、等级保护对象的安全保护等级分为以下五级a)第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；b)第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；c)第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

解读县级重要的信息系统，地市级和省级的一般信息系统，这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统，这些系统都可以定为二级系统；● 省级门户网站和地市级及以上重要的业务网站需要定为三级，地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统，管理系统需要定到三级，跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级，跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统）。

等保2.0信息系统定级、备案、专家评审流程一．系统定级请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南（见第二步相关材料文件夹）定级，定级对象的运营使用单位应组织专家召开专家定级评审会（专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师），出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案（备案审查不通过运营使用单位重新组织定级工作）。

1、安全专家解读：（1）等保2.0定级备案流程：确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。

（2）信息系统定级备案工作甲方可以自己独立完成，也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。

（3）定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。

（附件1）（4）等级保护对象的安全保护等级分为以下五级：a)第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；b)第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；c)第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

（5）定级范围：包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。

（6）以上信息确定好，根据甲方信息系统及机房实际情况，编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。

等保备案年审测评流程我呀，之前对等保备案年审测评流程也是一知半解，就像在雾里看花一样。

不过后来经过一番深入了解，嘿，现在可算是门儿清了。

今天我就来给大家唠唠这个事儿。

咱先说说等保备案。

这就好比是给你的信息系统上个户口。

你想啊，你的信息系统就像一个小王国，那备案就是让这个小王国在大的管理体系里有个合法的身份。

你得先确定你的信息系统的级别，是一级、二级还是更高级别呢？这可不是随便定的，就像给孩子定年级一样，得根据系统的重要性、受到破坏后的影响程度等来确定。

如果定错了，那可就像穿错了鞋子，走路都别扭。

我有个朋友，他所在的公司一开始就没太重视这个定级，结果在备案的时候被打回来重新弄，那叫一个折腾啊。

他直跟我抱怨：“哎呀，早知道就好好研究下这个定级的事儿了，这来来回回的，浪费多少时间啊！”等定好级了，就要准备备案材料了。

这材料可不少，什么系统的基本情况啦、网络拓扑图啦、安全管理制度啦等等。

这就像是你给孩子报名上学，得把孩子的各种信息都准备好一样。

我看到有人整理这些材料的时候那叫一个头大，到处找这个找那个的。

这时候要是有个详细的清单就好了，就像去超市有个购物清单一样，按照清单一项一项准备，就不会手忙脚乱了。

备案完成后，可别以为就万事大吉了，还有年审测评呢。

这个年审测评就像是给你的信息系统做个体检。

测评机构就像是医生一样。

测评机构来了之后，首先会检查你的物理安全。

你的机房环境咋样？是不是有防火、防水、防雷击这些措施？这物理安全要是没做好，就好比你住的房子连个大门都没有，谁都能随便进，那多危险啊。

我曾经去参观过一个机房，那里面乱糟糟的，线路都像蜘蛛网一样，我当时就想，这要是测评的话肯定过不了。

接着就是网络安全方面的测评了。

你的网络结构合理吗？有没有访问控制呢？要是网络安全没做好，那你的信息系统就像一个到处是漏洞的筛子，数据就像水一样，都能哗哗地流出去了。

我认识的一个技术人员就说：“网络安全要是不做好，就等着被黑客们当游乐场了。

信息系统安全等级保护法规及依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下：1、《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）2、《信息安全等级保护管理办法》（公通字[2007]43号）3、 17859-1999《计算机信息系统安全保护等级划分准则》4、20274《信息安全技术信息系统安全保障评估框架》5、22081-2008《信息技术安全技术信息安全管理实用规则》6、20271-2006《信息系统通用安全技术要求》7、18336-2008《信息技术安全技术信息技术安全性评估准则》8、17859-1999《计算机信息系统安全保护等级划分准则》9、22239-2008《信息安全技术信息系统安全等级保护基本要求》10、22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面：a) 公民、法人和其他组织的合法权益；b) 社会秩序、公共利益；c) 国家安全。

等保测评报告审核流程如下：
1.确认定级对象：对需要等级保护的对象进行确定。

2.初步确认定级：对定级对象进行初步的安全等级确认。

3.评审、审核、备案：组织专家对定级对象进行评审，有
行业主管部门的需要报请主管部门核准，形成定级报告
和备案表等材料，到公安机关网安部门进行备案。

4.安全建设：以《基本要求》中对应等级的要求为标准，
对定级对象当前不满足要求的进行建设整改。

5.等级测评：委托具备测评资质的测评机构对定级对象进
行等级测评，形成正式的测评报告。

6.监督检查：向当地公安机关网安部门提交测评报告，配
合完成对网络安全等级保护实施情况的检查。

等保备案工作流程一、啥是等保备案。

等保啊，就是信息安全等级保护啦。

这就像是给咱的信息系统找个安全保镖，按照不同的安全等级来保护。

等保备案呢，就是向相关部门报告一下咱这个系统要做等保啦，就像是跟管家报备一下你的安全计划。

等保备案是确保信息系统安全的重要一步哦。

比如说，咱们学校的选课系统，里面有那么多同学的信息，要是不安全可咋整？所以就得走等保备案这个流程，让这个系统在安全的框架下运行。

二、备案前的准备。

1. 确定系统定级。

这可是个大事儿呢。

你得先看看你的信息系统有多重要，有多敏感。

就像给系统量个安全体温。

如果是那种特别重要的，像涉及到国家机密或者是大量的个人隐私信息的，那等级肯定就高啦。

要是只是个小的内部办公系统，等级可能就低一些。

比如说，银行的核心业务系统，那肯定是高级别保护，因为涉及到大家的钱呢；而一个小超市的库存管理系统，相对来说级别就低些。

2. 整理相关材料。

这个材料可不少呢。

你得有系统的基本情况介绍，像是系统的功能啊，有哪些用户在用啊，这些都得写清楚。

还有就是系统的网络拓扑图，这就像是系统的家庭住址图一样，告诉人家各个部分是怎么连接的。

另外，安全管理制度也不能少，这就好比是家里的家规，规定了怎么保护这个系统的安全。

比如说，人员怎么管理，密码怎么设置之类的。

三、备案流程。

1. 填写备案表。

备案表就像是系统的安全简历一样。

要认真填写每一项内容，可不能马虎。

里面的信息都很关键，从系统的名称到它的安全防护措施，都要写得明明白白。

如果填错了，就像是简历写错了关键信息，那可不行哦。

2. 提交备案材料。

3. 等待审核。

提交之后呢，就是等待啦。

这个时候就有点像等考试成绩一样，心里会有点小忐忑呢。

相关部门会审查你提交的材料，看看是不是符合要求。

如果有问题，他们会通知你修改。

这个时候不要慌，按照要求改就好啦。

就像老师指出作业的错误，咱们改正就好。

4. 拿到备案证明。

如果审核通过了，哇，就像考试得了满分一样开心，你就可以拿到备案证明啦。