必看干货 | 对于系统需要做网络安全等级保护的业主方（甲方）的你应该清楚什么？

01

输入：定级报告

输出：专家评审意见

信息系统安全等级，由系统运用、使用单位依据《信息系统安全等级保护定级指南》自主确定信息系统的安全保护等级，有主管部门的，应当经主管部门审批。对于拟确定为四级及以上信息系统，还应经专家评审会评审。新建信息系统在设计、规划阶段确定安全保护等级。

总共分为五个等级：第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)。

02

输入：步骤01中的定级材料、备案表、备案登记表、信息系统基本信息表、信息系统及网络安全检查自查表、三员表。

输出：备案证明

甲方在确定等级后到所在地的市级及以上公安机关备案。新建二级及以上信息系统在投入运营后30日内、已运行的二级及以上信息系统在等级确定30日内备案。公安机关对信息系统备案情况进行审核，对符合要求的在10个工作日内颁发等级保护备案证明。对于定级不准的，应当重新定级、重新备案。对于重新等级的，公安机关一般会建议备案单位组织专家进行重新定级评审，并报上级主管部门审批。

备案之前在测评机构的协助下填写备案表、基本信息表等材料，里面包括系统的相关信息，如联系人、采用的技术等等。

定级评审材料加上其他备案材料，提交给当地公安。公安对材料进行审核，通过后形成备案证明。由于很多甲方把备案证明当作等保项目的交付物，拿到备案证后不及时开展等保测评工作，所以很多地区公安在收到测评报告后才会向甲方发放备案证明纸质版，有可能暂时只提供备案号或是备案证明电子版。

03

根据等保有关规定和标准，对信息系统进行安全建设整改，是等保工作落实的关键。甲方按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。系统建设整改，对于未达到安全等级保护要求的，运营、使用单位应当进行整改，整改完成应当将整改报告报公安机关备案。

本阶段可以请测评机构到现场开展一次差距分析，根据结果进行后续整改。建设整改阶段一般耗时比较长，一般要求把高风险问题全部整改完成，否则测评结论为“差”。这个过程相当于是模拟考试，和04步骤配合内容差不多。

04

输入：配合测评机构测评完成测评工作，根据整改建议书完整问题项整改。

输出：整改建议书、测评报告。

运营、使用单位或者主管部门应当选择合规测评机构，定期对信息系统安全等级状况开展等级测评。二级系统没有严格要求两年做一次等保，但是部分行业如电力要求两年一次等保，普通行业也建议二级系统年两一次等保，三级及以上信息系统至少每年进行一次等级测评，四级及以上信息系统至少每半年进行一次等级测评，五级应当依据特殊安全需求进行等级测评。测评机构应当出具测评报告，并出具测评结果通知书，明示信息系统安全等级及测评结果。

信息系统运营单位选择公安部认可的第三方等级测评机构进行测评。

期间需要配合测评机构在单位现场开展访谈、上机核查、文档查阅等工作。涉及到的资产包括机房、网络、各类网络设备、安全设备、服务器、制度文档（制度和执行记录）、人员等。

理论上等保2.0没有通过、不通过的说法，不过大多数单位都会想拿“优”、“良”，一方面为了业绩好看，另一方面可能对一部分业务展示有帮助。

条件：

优-无中、高风险问题，得分大于等于90分。

良-无高风险问题，得分大于等于80分。

中-无高风险问题，得分大于等于70分。

若出现高风险问题，则一票否决，结论为“差”。

05

输入：积极配合

输出：监管和领导的肯定

当地监管定期进行监督检查。据了解，属地公安会把等保完成率加入年度KPI指标，三级系统会受到特别关注，如果不按要求开展等保，很有可能被上门督促，公安机关依据信息安全等级保护管理规范，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。

受理备案的公安机关会对三级、四级信息系统进行检查，检查频次同测评频次。五级信息系统接受国家制定的专门部门检查。新系统开发建设之后，要及时开展等保测评或相关安全测试，避免系统带病上线，消除安全隐患。

06