信息安全等級保護是我國信息安全保障的一項基本制度，是國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。

參考規(guī)章制度

◆ 《信息安全等級保護管理辦法》公通字[2007]43號http://djbh/webdev/file/webFiles/File/zcbz/201226163721.pdf

◆ 《信息安全技術 信息系統(tǒng)安全等級保護定級指南》GB/T 22240—2008http://djbh/webdev/file/webFiles/File/jsbz/2012323103010.pdf

◆ 《信息安全等級保護備案實施細則》公信安[2007]1360號http://djbh/webdev/file/webFiles/File/djba/201221595343.pdf

定級流程

《信息安全等級保護管理辦法》第二章 等級劃分與保護 第六條 國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。

第三章 等級保護的實施與管理 第十條 信息系統(tǒng)運營、使用單位應當依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的，應當經(jīng)主管部門審核批準。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。

對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。

確定定級對象

各行業(yè)主管部門、運營使用單位要組織開展對所屬信息系統(tǒng)的摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務類型、應用或服務范圍、系統(tǒng)結構等基本情況，按照 《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》的要求，確定定級對象。

《信息安全技術 信息系統(tǒng)安全等級保護定級指南》

5.2 確定定級對象 一個單位內(nèi)運行的信息系統(tǒng)可能比較龐大，為了體現(xiàn)重要部分重點保護，有效控制信息安全建設成本，優(yōu)化信息安全資源配置的等級保護原則，可將較大的信息系統(tǒng)劃分為若干個較小的、可能具有不同安全保護等級的定級對象。 作為定級對象的信息系統(tǒng)應具有如下基本特征：

a) 具有唯一確定的安全責任單位。作為定級對象的信息系統(tǒng)應能夠唯一地確定其安全責任單位。如果一個單位的某個下級單位負責信息系統(tǒng)安全建設、運行維護等過程的全部安全責任，則這個下級單位可以成為信息系統(tǒng)的安全責任單位；如果一個單位中的不同下級單位分別承擔信息系統(tǒng)不同方面的安全責任，則該信息系統(tǒng)的安全責任單位應是這些下級單位共同所屬的單位。

b) 具有信息系統(tǒng)的基本要素。作為定級對象的信息系統(tǒng)應該是由相關的和配套的設備、設施按照一定的應用目標和規(guī)則組合而成的有形實體。應避免將某個單一的系統(tǒng)組件，如服務器、終端、網(wǎng)絡設備等作為定級對象。

c) 承載單一或相對獨立的業(yè)務應用。定級對象承載“單一”的業(yè)務應用是指該業(yè)務應用的業(yè)務流程獨立，且與其他業(yè)務應用沒有數(shù)據(jù)交換，且獨享所有信息處理設備。定級對象承載“相對獨立”的業(yè)務應用是指其業(yè)務應用的主要業(yè)務流程獨立，同時與其他業(yè)務應用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務應用共享一些設備，尤其是網(wǎng)絡傳輸設備。

確定信息系統(tǒng)級別

各信息系統(tǒng)主管部門和運營使用單位要按照《管理辦法》和《定級指南》，初步確定定級對象的安全保護等級。

確定系統(tǒng)服務等級

系統(tǒng)服務安全是指確保信息系統(tǒng)可以及時、有效地提供服務，以完成預定的業(yè)務目標。系統(tǒng)服務安全被破壞導致業(yè)務能力下降的程度可以從信息系統(tǒng)服務覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務量等不同方面確定。

個人理解，一旦信息系統(tǒng)的服務內(nèi)容可被其他系統(tǒng)或手工替代，系統(tǒng)服務等級可稍微降級計算。

確定業(yè)務信息等級

業(yè)務信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等。業(yè)務信息安全被破壞導致的財物損失可以從直接的資金損失大小、間接的信息恢復費用等方面進行確定。

確定信息系統(tǒng)級別

SAG的級別，其中S為業(yè)務信息等級，A為系統(tǒng)服務等級，G取兩者中大的。

專家評審與審批

《信息安全等級保護管理辦法》

第十條 信息系統(tǒng)運營、使用單位應當依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的，應當經(jīng)主管部門審核批準?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。

初步確定信息系統(tǒng)安全保護等級后，可以聘請專家進行評審。信息系統(tǒng)運營使用單位有上級行業(yè)主管部門的，所確定的信息系統(tǒng)安全保護等級應當報上級行業(yè)主管部門審批同意。

專家評審

《信息安全等級保護管理辦法》

第十條 對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。

《信息安全等級保護備案實施細則》

第十二條 公安機關公共信息網(wǎng)絡安全監(jiān)察部門對定級不準的備案單位，在通知整改的同時，應當建議備案單位組織專家 進行重新定級評審，并報上級主管部門審批。 備案單位仍然堅持原定等級的，公安機關公共信息網(wǎng)絡安全監(jiān)察部門可以受理其備案，但應當書面告知其承擔由此引發(fā)的責任和后果，經(jīng)上級公安機關公共信息網(wǎng)絡安全監(jiān)察部門同意后， 同時通報備案單位上級主管部門。

主管單位審批

沒有主管單位的，或者感覺系統(tǒng)就是自己用不需要主管單位批準的完全可以省略這一步。目前大部分的主管單位其實不想摻合各下屬單位定級備案，怕負責任吧。

完善定級備案材料

主要是定級保護和備案表， 《信息安全等級保護管理辦法》 第十六條 辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應當填寫《信息系統(tǒng)安全等級保護備案表》，第三級以上信息系統(tǒng)應當同時提供以下材料：

◆ 系統(tǒng)拓撲結構及說明；

◆ 系統(tǒng)安全組織機構和管理制度；

◆ 系統(tǒng)安全保護設施設計實施方案或者改建實施方案；

◆ 系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明；

◆ 測評后符合系統(tǒng)安全保護等級的技術檢測評估報告；

◆ 信息系統(tǒng)安全保護等級專家評審意見；

◆ 主管部門審核批準信息系統(tǒng)安全保護等級的意見。

備案流程

《信息安全等級保護管理辦法》 第十五條 已運營（運行）或新建的第二級以上信息系統(tǒng)，應當在安全保護等級確定后30日內(nèi)，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。

隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng)，應當向當?shù)卦O區(qū)的市級以上公安機關備案。

《信息安全等級保護備案實施細則》

第六條 信息系統(tǒng)運營、使用單位或者其主管部門（以下簡 稱“備案單位”）應當在信息系統(tǒng)安全保護等級確定后30日內(nèi)，到公 安機關公共信息網(wǎng)絡安全監(jiān)察部門辦理備案手續(xù)。辦理備案手續(xù) 時，應當首先到公安機關指定的網(wǎng)址下載并填寫備案表，準備好 備案文件，然后到指定的地點備案。

第七條 備案時應當提交《信息系統(tǒng)安全等級保護備案表》 （以下簡稱《備案表》）（一式兩份）及其電子文檔。第二級以上 信息系統(tǒng)備案時需提交《備案表》中的表一、二、三；第三級以 上信息系統(tǒng)還應當在系統(tǒng)整改、測評完成后30日內(nèi)提交《備案表》 表四及其有關材料。

第八條 公安機關公共信息網(wǎng)絡安全監(jiān)察部門收到備案單位 提交的備案材料后，對屬于本級公安機關受理范圍且備案材料齊 全的，應當向備案單位出具《信息系統(tǒng)安全等級保護備案材料接 收回執(zhí)》；備案材料不齊全的，應當當場或者在五日內(nèi)一次性告知 其補正內(nèi)容；對不屬于本級公安機關受理范圍的，應當書面告知 備案單位到有管轄權的公安機關辦理。

確定并聯(lián)絡所屬公安機關

《信息安全等級保護備案實施細則》

第三條 地市級以上公安機關公共信息網(wǎng)絡安全監(jiān)察部門受 理本轄區(qū)內(nèi)備案單位的備案。隸屬于省級的備案單位，其跨地（市） 聯(lián)網(wǎng)運行的信息系統(tǒng)，由省級公安機關公共信息網(wǎng)絡安全監(jiān)察部 門受理備案。

第四條 隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng) 運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由公安部公共信息網(wǎng)絡 安全監(jiān)察局受理備案，其他信息系統(tǒng)由北京市公安局公共信息網(wǎng) 絡安全監(jiān)察部門受理備案。

隸屬于中央的非在京單位的信息系統(tǒng)，由當?shù)厥〖壒矙C關 公共信息網(wǎng)絡安全監(jiān)察部門（或其指定的地市級公安機關公共信 息網(wǎng)絡安全監(jiān)察部門）受理備案。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系 統(tǒng)在各地運行、應用的分支系統(tǒng)（包括由上級主管部門定級，在 當?shù)赜袘玫男畔⑾到y(tǒng)），由所在地地市級以上公安機關公共信息網(wǎng)絡安全監(jiān)察部門受理備案。

確定備案材料

《信息安全等級保護管理辦法》

第十六條 辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應當填寫《信息系統(tǒng)安全等級保護備案表》，第三級以上信息系統(tǒng)應當同時提供以下材料：

（一）系統(tǒng)拓撲結構及說明；

（二）系統(tǒng)安全組織機構和管理制度；

（三）系統(tǒng)安全保護設施設計實施方案或者改建實施方案；

（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明；

（五）測評后符合系統(tǒng)安全保護等級的技術檢測評估報告；

（六）信息系統(tǒng)安全保護等級專家評審意見；

（七）主管部門審核批準信息系統(tǒng)安全保護等級的意見。

到屬地公安機關備案

《信息安全等級保護管理辦法》

第十七條 信息系統(tǒng)備案后，公安機關應當對信息系統(tǒng)的備案情況進行審核，對符合等級保護要求的，應當在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明；發(fā)現(xiàn)不符合本辦法及有關標準的，應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級不準的，應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。

運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應當按照本辦法向公安機關重新備案。

注意幾點

到底幾級需要專家評審？

按《信息安全等級保護管理辦法》第十條 對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。 按《信息安全等級保護管理辦法》 第十六條 第三級以上信息系統(tǒng)備案時應提供信息系統(tǒng)安全保護等級專家評審意見。

所以，如果你們一次備案的系統(tǒng)都是二級的系統(tǒng)，那么可以不用專家評審，如果里面包含三級及以上系統(tǒng)，那么還是要專家評審的。請一次專家好幾百，建議讓專家把二級、三級的系統(tǒng)都評審了。

專家評審時準備什么材料？

規(guī)范一點的專家評審，評審時需要給專家看寫好的各系統(tǒng)定級保護、備案表，同時請信息部門或業(yè)務部門對每個系統(tǒng)進行介紹及說明定級思路。由專家一個系統(tǒng)一個系統(tǒng)或一批系統(tǒng)一批系統(tǒng)的給出建議。建議包括級別準不準，報告和備案表寫的對不對，好不好。

不規(guī)范的，就給專家一個定級意向（就是定級報告的后半部分），專家就判斷定級準不準就行。但專家是要給予系統(tǒng)介紹來判斷定級準不準的，所有系統(tǒng)介紹還是要有。

專家在現(xiàn)場還是會問一個系統(tǒng)的信息數(shù)據(jù)的敏感性，使用范圍等，因此有必要請業(yè)務部門參會。

去公安備案到底要拿什么材料？

除了定級保護和備案表，你還有證明你是你。即企業(yè)法人證明或營業(yè)執(zhí)照副本復印件、辦理人身份證復印件、企業(yè)委托辦理人辦理備案事項的委托書，部分公安機關還要一個企業(yè)的信息安全承諾書。

所以去備案前到相關公安機關網(wǎng)站找到對應辦事點的電話，先打電話問一下。

定三級還是二級？

按《信息安全等級保護管理辦法》第十四條 信息系統(tǒng)建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評機構，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應當每年至少進行一次等級測評，第四級信息系統(tǒng)應當每半年至少進行一次等級測評，第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行等級測評。

信息系統(tǒng)運營、使用單位及其主管部門應當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應當每年至少進行一次自查，第四級信息系統(tǒng)應當每半年至少進行一次自查，第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行自查。經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，運?...