等级保护是对国家重要信息、法人和其他组织及公民的专有信息以及公开信息在存储、传输、处理这些信息时分等级实行安全保护；对信息系统中使用的信息安全产品实行按等级管理；对信息系统中发生的信息安全事件分等级响应、处置。其中二、三级等保可由测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，采用访谈、检查和测试三大类的测评方法，对信息系统进行安全检测和评估，判断受测系统的技术和管理级别与所定安全等级要求的符合程度，基于符合程度给出是否满足所定安全等级的结论，针对安全不符合项提出安全整改建议。

以下是关于信息系统等级保护的定级、专家评审、备案流程做详细的介绍。

一、确定定级对象

定级对象包括传统信息系统、基础信息网络、工业控制系统、云计算平台、物联网、采用移动互联技术的网络和大数据平台。

具体对象：

1、电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

2、铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

3、市（地）级以上党政机关的重要网站和办公信息系统。

4、涉及国家秘密的信息系统。

二、初步确定等级

1、定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章 定级原理及流程。

2、信息系统安全等级划分准则：

3、定级参照：

第一级：一般适用于小型私营、个体企业、中小学，乡镇所属信息系统、县级单位中一般的信息系统

第二级：一般适用于县级某些单位中的重要信息系统，地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。(区县法院、医院)

第三级：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。(大部分定级三级)

第四级：一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电。

铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。

第五级：一般适用于国家重要领域、重要部门中的极端重要系统。

三、专家评审

专家评审是指在信息系统的建设和运行过程中，邀请相关领域的专家对信息系统的定级进行审查，提出定级是否合理相关建议并形成专家评审意见表。专家评审流程包括以下步骤：

① 确定评审内容：根据信息系统定级情况，确定评审材料内容，包括甲方会议负责人、备案表、定级报告等内容信息。

② 邀请专家：根据评审内容和范围，邀请相关领域的专家参与评审，并组建评审团队。

③ 提供评审材料：甲方根据评审需要，提供相应的评审材料，包括系统设计方案、系统配置清单、系统安全策略等方面的材料。

④ 现场评审：评审团队对根据公司介绍、现场访谈、备案表、定级报告等信息进行现场评审，并对发现的问题和建议进行记录和整理。

⑤ 编制评审报告：专家提出建议形成专家评审意见表，现场打印由专家签字，专家评审工作完成。

定级备案表

四、备案材料准备

备案所需材料主要是《信息内容安全等级保护备案表》，不同等级的信息系统所需的备案材料有所差别。主要备案材料：

① 信息系统安全等级保护备案表，纸质2份，原件；

② 信息系统安全等级保护自定级报告，纸质1份，原件；

③ 信息安全等级保护定级评审结果（专家评审报告或主管部门审核批准信息系统安全保护等级意见），纸质1份，原件；

④ 信息系统安全相关材料（本单位信息系统安全组织的建立情况、信息系统基本应用情况、信息系统使用的主要设备、操作系统、数据库、防病毒软件以及网络拓扑图），纸质1份，原件；

⑤ 信息系统备案电子数据，电子版1份，原件；

⑥ 测评后符合系统安全保护等级的技术检测评估报告；

⑦ 系统安全保护设施设计实施方案或改建实施方案。

五、公安机关备案审查

备案材料准备完毕，就可以提交公安机关网安部门进行审核。对符合等级保护要求的，在收到备案材料之日起的10个工作日内颁发《信息系统安全等级保护备案证明》；发现不符合本办法及有关标准的，在收到备案材料之日起的10个工作日内通知备案单位予以纠正。

备案证明