等保2.0信息系统定级备案专家评审流程

等保2.0：信息系统定级、备案、专家评审流程

一．系统定级

请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南（见第二步相关材料文件夹）定级，定级对象的运营使用单位应组织专家召开专家定级评审会（专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师），出具初步定级建议并上报行业

主管部门或上级主管部门审核后到公安机关备案（备案审查不通过运营使用单位重新组织定级工作）。

解读：

1、等保2.0定级备案流程：确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。

2、信息系统定级备案工作，甲方可以自己独立完成，也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。

3、定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。（附件1）

4、等级保护对象的安全保护等级分为以下五级：

a)第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益：

b)第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；

c)第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产

生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；

d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；

e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。5、定级范围：包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。

6、以上信息确定好，根据甲方信息系统及机房实际情况，编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。（附件2、3）

7、定级备案表和定级报告编写完成，下一步进行专家评审工作，专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师，专家现场会根据甲方负责人对公司及信息系统的介绍，提出定级是否合理相关建议并形成专家评审意见表；

专家评审流程：根据要求确定专家评审名单、编辑专家评审会议程（附件4）、专家签到表（附件5）、信息系统定级专家评审意见表（附件6）、被定级单位及信息系统介绍PPT（附件7）。

专家评审现场工作流程：专家到现场签到入座、甲方会议负责人将定级备案表及定级报告纸质版给专家查阅，甲方信息安全负责人宣布会议开始，由甲方负责人介绍公司及信息系统实际情况，专家根据公司介绍、现场访谈、备案表、定级报告等信息提出建议，专家提出建议形成专家评审意见表，现场打印由专家签字，专家评审工作完成。

二．备案需要提交的材料