定级备案指南(网络信息系统定级备案)

网络信息系统定级备案指南

在我们的推送文章《等保2.0定级备案注意事项》后，许多朋友对实际操作流程表达了关心。今天，E小安特地请来行业专家（特别感谢天翼网络安全），为大家梳理参照2019年北京市某区域的实际定级备案流程及专家评审流程。结合等保项目实施经验，为大家解读每一步。

一、系统定级流程

1. 参照标准：根据GAT 13892017信息安全技术网络安全分级指南（可在相关步骤的资料文件夹中找到）进行定级。

2. 专家评审：定级对象的运营使用单位需组织专家召开定级评审会，专家组至少包括三名信息安全专家和业务专家，其中一名应为定级保护高级评估师。出具初步定级建议后，需报行业主管部门或上级主管部门审核，最后到公安机关备案。

二、等保2.0定级与备案流程

确定定级对象，初步确定等级，经过专家评审、主管部门审查及公安机关备案审查后，最终确定等级。

三、信息系统定级备案工作

甲方可自行进行定级备案工作，也可聘请具备相应资质的等保公估机构、安全服务机构协助完成。

四、分级参考详解

主要参考等级保护对象的安全保护级别分为五个等级，从第一到第五级别，危害程度逐渐递增。例如：

第一级：对象破坏后主要对公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益。

第二级：对象破坏后损害升级，可能对社会秩序、公共利益造成损害。

第三级：涉及重要信息系统的破坏，可能对国家安全造成损害。

解读：

对于县级重要信息系统、地市级和省级通用信息系统，一般可定为二级系统。

省级门户网站、地市级以上重要业务网站及涉及敏感信息的办公系统、管理系统应定为三级。

在进行系统定级时，需结合系统实际重要性，不应仅仅局限于行政级别。例如，存储大量敏感信息的系统，如人口信息、住房信息等，必须根据实际情况进行合理定级。

基础络、云计算平台、大数据平台等都有其特定的规定。这些平台的安全保护等级应不低于其承载的等级保护对象的安全保护等级。

若此平台被确定为关键信息基础设施，其安全保护等级无疑应达到甚至超越三级标准，以确保其稳定运行和数据安全。

近期，针对甲方信息系统和机房的实际情况，我们遵循《GAT 13892017信息安全技术网络安全等级保护定级指南》，编制了详尽的定级方案。经过细致的分级备案和分级报告工作，目前一切进展顺利。

接下来的一步，是关键的专家评审。我们将组建一个由三名信息安全专家和业务专家组成的专家组，其中一名将为等级保护高级鉴定人。专家们将深入研讨甲方公司及其信息系统的具体情况，对评分进行合理性评估，并给出专业建议。整个评审流程将严格按照规定进行，确保公正透明。

专家评审现场工作流程也十分严谨。专家签到后，甲方将提供纸质版评分记录表和评分报告供专家参考。随后，甲方领导将介绍公司实际情况及其信息系统，专家团队则根据介绍、现场访谈、备案表、分级报告等信息进行综合评估，提出建议。评审结束后，将形成专家评审意见表，并现场打印、签字确认。

至于备案所需材料，我们需要提交到网安大队的纸质版材料需按照规定的文件夹中的材料进行准备。我们还需要准备一个电子压缩包，命名为“公司全称-系统名称”，其中包含一系列文件。在提交纸质材料的还需将电子压缩包提交给责任民警。

纸质版本包括信息系统安全等级保护记录表、信息系统安全等级保护分级报告、信息安全承诺书、相关文件复印件等。这些文件都需要加盖单位公章，并严格按照要求填写和打印。

电子压缩包则包括备案表、评分报告、信息安全承诺书的扫描件，以及word版的备案表和评分报告等。还需要提交专家评审意见、三级系统的定级报告、安全产品清单、合格证及销售许可证书、单元拓扑图及说明等相关文件的扫描件。

现场备案人员需为单位法人授权的被授权人，携带身份证原件、营业执照复印件原件、法人授权委托书原件进行现场备案。被授权人需了解信息系统的整体情况，并参与信息系统的日常安全运维。

值得一提的是，对于三级制备案，收到备案证明后需在30日内提交评估报告。整改实施方案可在系统评估完成后随评估报告一并提交网络安全部门，而信息系统安全等级保护评估每年进行一次，以确保系统安全稳定运行。