信息系统定级、备案、专家评审流程

1、信息系统定级、备案、专家评审流程一、系统定级请参考GAT 1389-2017信息安全技术网络安全等级保护 定级指南（见第二步相关材料文件夹）定级，定级对象的运营 使用单位应组织专家召开专家定级评审会（专家组由最低由 三名信息安全专家和业务专家组成，其中一名应为等级保护 高级测评师），出具初步定级建议并上报行业主管部门或上 级主管部门审核后到公安机关备案（备案审查不通过运营使 用单位重新组织定级工作）。1、等保2. 0定级备案流程：确定定级对象、初步确定等级、专家评审、主管部门审 核、公安机关备案审查、最终确定等级。2、信息系统定级备案工作甲方可以自己独立完成，也可以聘请等保测评机构、有 等保安

2、全建设服务机构的安全厂商及其他有资质单位协助 完成定级备案工作。3、定级参考GAT 1389-2017信息安全技术网络安全等级保护定级 指南第四章 定级原理及流程。（附件1）4、等级保护对象的安全保护等级分为以下五级a）第一级，等级保护对象受到破坏后，会对公民、法人 和其他组织的合法权益造成损害，但不损害国家安全、社会 秩序和公共利益；3第二级，等级保护对象受到破坏后，会对公民、法人 和其他组织的合法权益产生严重损害，或者对社会秩序和公 共利益造成损害，但不损害国家安全；c）第三级，等级保护对象受到破坏后，会对公民、法人 和其他组织的合法权益产生特别严重损害，或者对社会秩序 和公共利益造成严重

3、损害，或者对国家安全造成损害；d）第四级，等级保护对象受到破坏后，会对社会秩序和 公共利益造成特别严重损害，或者对国家安全造成严重损 害；e）第五级，等级保护对象受到破坏后，会对国家安全造 成特别严重损害。解读：县级重要的信息系统，地市级和省级的一般信息系统， 这里的一般信息系统指的是不涉及敏感信息、重要信息的信 息系统，这些系统都可以定为二级系统；省级门户网站和地市级及以上重要的业务网站需要 定为三级，地市级及以上内部涉及到工作秘密、敏感信息、 重要信息的办公系统，管理系统需要定到三级，跨省的用于 生产、调度、管理、指挥等在省、市的分支系统需要定为三 级，跨省联结的网络系统要定为三级（这个一

4、般都是全国运 营的专网系统）。现在一些地区区县虽然行政是区县，但是实际经济总量 和人口已经远远大于中西部一些地级市，所以我们在系统定 级的时候还是要结合系统的重要性去实际定级，切勿死搬硬 套，例如我们在某区一个系统里面存储了全区上百万的人口 信息，住房信息等等敏感信息，这样的系统就得定到三级。定级不合理，将来不小心出了事情都是自己的事情，没必要 把这样的风险全抗在自己肩膀上。另外补充一点如果行业有 要求就按照行业要求来，这样办事省心省力。总结成一句话 就是:信息系统涉及到工作秘密、敏感信息的，信息泄露出 去或者被非法篡改、破坏后造成比较大的影响的系统，建议 定到三级，其他系统定到二级。当然涉及

5、到国家安全的特别 是全国性的系统要定四级。5、定级范围包括基础信息网络、工业控制系统、云计算平台、物联 网、其他信息系统、大数据等。解读：对于电信网、广播电视传输网、互联网等基础信息 网络。应分别依据服务类型、服务地域和安全责任主体等因 素将其划分为不同的定级对象，而跨省业务专网既可以作为 一个整体定级，也可根据区域划分为若干对象定级。对于工业控制系统。应将现场采集/执行、现场控制 和过程控制等要素应作为一个整体对象定级，而生产管理要素可以单独定级。对于云计算平台。则应区分为服务提供方与租户方， 各自分别作为定级对象。对于物联网。虽然其包括感知、网络传输和处理应 用等多种特征因素，但仍应将以上

6、要素作为一个整体的定级 对象，各要素并不单独定级。采用移动互联技术的网络与物联网类似。应将移动 终端、移动应用、无线网络等要素与相关有线网络业务系统 作为整体对象定级。对于大数据。除安全责任主体相同的平台和应用可 以整体定级外，应单独定级。定级指南针对基础信息网络、云计算平台和大数据 平台进行了特别规定，相关平台应根据其承载或将要承载的 等级保护对象的重要程度确定其安全保护等级，原则上应不 低于其承载的等级保护对象的安全保护等级。大数据安全保 护等级不低于第三级。此外，若上述平台被确定为关键信息 基础设施的，原则上其安全保护等级应不低于第三级。6、以上信息确定好根据甲方信息系统及机房实际情况，

7、编写信息系统安 全等级保护备案表、信息系统安全等级保护定级报告。 （附件2、3）7、定级备案表和定级报告编写完成下一步进行专家评审工作，专家组由最低由三名信息安 全专家和业务专家组成，其中一名应为等级保护高级测评 师，专家现场会根据甲方负责人对公司及信息系统的介绍， 提出定级是否合理相关建议并形成专家评审意见表；专家评审流程：根据要求确定专家评审名单、编辑专家 评审会议程（附件4）、专家签到表（附件5）、信息系统定级 专家评审意见表（附件6）、被定级单位及信息系统介绍 PPT（附件 7）。专家评审现场工作流程：专家到现场签到入座、甲方会 议负责人将定级备案表及定级报告纸质版给专家查阅，甲方 信

8、息安全负责人宣布会议开始，由甲方负责人介绍公司及信 息系统实际情况，专家根据公司介绍、现场访谈、备案表、 定级报告等信息提出建议，专家提出建议形成专家评审意见 表，现场打印由专家签字，专家评审工作完成。备案需要提交的材料提交网安大队纸质版：按照纸质版文件夹内材料进 行准备，提交时备案材料按照第三步提交网安大队纸质版文 件夹内序号排列。电子版压缩包要求：以“单位全称-系统名称”命名 压缩包，将以下文件放入压缩包内，提交纸质材料的同时在 钉钉内向负责民警提交电子版压缩包。原件扫描件要求，分 辨率 300dpi-jpg 格式。纸质版：信息系统安全等级保护备案表一式两份（封面单位 名称处盖章）。应填写

9、完整、无漏项，不得改动备案表版面 格式。机打，不可手写，单面打印。信息系统安全等级保护定级报告一式两份（定级表 格处盖章）。机打，单面打印。信息安全承诺书签字盖章。法人亲笔签字相关证件复印件各一份：工商营业执照（或执业许可 证、事业单位证书、非盈利性机构证书等许可证明）、法人 代表身份证、组织机构代码证（如三证合一，省略）。法人授权书（被授权人需携带本人身份证原件及复 印近）。实际办公地的房产证或租房合同复印件。主机托管合同或云主机租用合同的复印件。企业内部信息安全部门、技术部门组织架构人员登 记信息表，左上角盖章（表格中确定两位24小时应急处置网 络安全事件联系人）。从事互联网金融的企业（如

10、网贷P2P平台、证券交易 系统等），备案时需提交纸质版信息安全等级保护备案证 明使用承诺书法人亲笔签字，加盖单位公章。其他行业无 需提交。电子版压缩包要求:以“单位全称-系统名称”命名压缩包，将以下文件放 入压缩包内，提交纸质材料的同时在钉钉内向负责民警提交 电子版压缩包。原件扫描件要求，分辨率300dpi-jpg格 式。备案表、定级报告和信息安全承诺书盖章扫描件备案表和定级报告word版XX单位XX系统-专家评审意见（原件扫描件）（三级系统备案时需提交）XX单位-信息安全工作管 理制度（word版，盖章扫面件均可）（三级系统备案时需提交）XX单位系统使用的安全产 品清单及认证、销售许可证明（盖章扫描件）（三级系统备案时需提交）单位拓扑图及说明（盖章扫 描件）三级系统需提交备案表表四全部内容信息安全部、技术部组织架构人员登记信息表，可编 辑版工商营业执照副本原件扫描件（或执业许可证、事业 单位证书、非盈利性机构证书等许可证明）、组织机构代码 证原件扫描件（如三、五证合一，省略）法人代表身份证原件扫描件备案表表一中单位负责人身份证原件扫描件从事经营性公众互联网行业及有交易投资活动的信 息系统的企业需要提交现场备案人员要求备案办理人员需为单位法人授权的被授权人；被授权人 需携带本人身份证原件