基本信息

设定依据

依据名称	《信息安全等级保护管理办法》
发布令号（文号）	发布令号（文号）: 公通字〔2007〕43号
具体规定内容	第十五条 已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。 第十七条 信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。 运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。
原文下载地址	暂无数据
依据名称	《信息系统安全等级保护管理办法》
发布令号（文号）	2007年6月22日签发，公通字[2007]43号
具体规定内容	第九条 信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。第十一条 信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。第十三条 运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。 第十四条 信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。
原文下载地址	暂无数据
依据名称	《信息安全等级保护管理办法》
发布令号（文号）	公通字〔2007〕43号
具体规定内容	第十五条 已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。 第十七条 信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。 运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。
原文下载地址	点击查看原文
依据名称	《公安机关信息安全等级保护检查工作规范》
发布令号（文号）	公信安[2008]736 号
具体规定内容	信息安全等级保护检查工作由市（地）级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次，每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。
原文下载地址	暂无数据
依据名称	《信息安全等级保护备案实施细则》
发布令号（文号）	公信安[2007]1360 号
具体规定内容	信息系统运营、使用单位或者其主管部门（以下简称“备案单位”）应当在信息系统安全保护等级确定后30日内，到公安机关公共信息网络安全监察部门办理备案手续。办理备案手续时，应当首先到公安机关指定的网址下载并填写备案表，准备好备案文件，然后到指定的地点备案。
原文下载地址	暂无数据
依据名称	《信息安全技术—网络安全等级保护定级指南》
发布令号（文号）	GB/T 22240-2020
具体规定内容	该标准给出了非涉及国家秘密的等级保护对象的安全保护等级定级方法和定级流程，适用于指导网络运营者开展非涉及国家秘密的等级保护对象的定级工作。
原文下载地址	暂无数据

收费标准及依据

受理条件

申报材料

材料名称	材料类型	纸质材料份数	材料形式	纸质材料规格	来源渠道	来源渠道说明	材料必要性	示例样表	空白样表
《信息系统安全等级保护备案表》	原件	3	纸质和电子	A4	申请人自备	中华人民共和国公安部监制	是	备案表+定级报告.docx	备案表+定级报告.docx
《信息系统网络安全等级保护定级报告》	原件	2	纸质和电子	A4	申请人自备	中华人民共和国公安部监制	是	备案表+定级报告.docx	备案表+定级报告.docx
《系统拓扑结构及说明》	原件	2	纸质和电子	A4	申请人自备	无	是	备案表+定级报告.docx	备案表+定级报告.docx
《系统安全组织机构及管理制度》	复印件	2	纸质和电子	A4	申请人自备	无	是	备案表+定级报告.docx	备案表+定级报告.docx
《系统安全保护设施设计实施方案或改建实施方案》	复印件	2	纸质和电子	A4	申请人自备	无	是	备案表+定级报告.docx	备案表+定级报告.docx
《系统使用的安全产品清单及认证、销售许可证明》	复印件	2	纸质和电子	A4	政府部门核发	中华人民共和国公安部	是	备案表+定级报告.docx	备案表+定级报告.docx
《重要信息系统等级保护专家评审意见》	原件	1	纸质和电子	A4	申请人自备	专家定级评审会	是	备案表+定级报告.docx	备案表+定级报告.docx

办理流程

环节名称	办理内容	办理时限
备案材料接收	公安机关公共信息网络安全监察部门收到备案单位提交的备案材料后，对属于本级公安机关受理范围且备案材料齐 全的应当向备案单位出具《信息系统安全等级保护备案材料接收回执》；备案材料不齐全的，应当当场或者在五日内一次性告知其补正内容；对不属于本级公安机关受理范围的，应当书面告知备案单位到有管辖权的公安机关办理。	5
备案材料审核	对提交的备案材料进行以下审核： （一）备案材料填写是否完整，是否符合要求，其纸质材料和电子文档是否一致； （二）信息系统所定安全保护等级是否准确。	5
备案证明出具	《备案表》中表一、表二、表三内容经审核合格的，公安机关公共信息网络安全监察部门应当出具《信息系统安全等级保护备案证明》（以下简称《备案证明》）。《备案证明》由公安部统一监制。	0

流程图

法律救济

行政复议	部门	地址	电话
	无	无	无

行政诉讼	部门	地址	电话
	无	无	无

中介服务

常见问题

问题	可根据自己的主观意愿定级？
解答	首先系统到底定几级是根据受侵害的客体以及对客体侵害的程度来确定的，是以事实为根据，而不是拍脑袋决定的。 目前的等级保护对象（信息系统）的安全级别分为五个等级：第一级为最低级别，第五级为最高级别。如果等级保护对象定为一级，不需要做等级测评，自主进行保护即可。定第2级及以上就需要进行等级测评。 2020年11月1日，GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》正式实施，第2级及以上等级保护对象定级流程新增专家评审环节，不再自主定级，需要聘请专家认定等级保护对象的级别，这样定级过程就更加规范，定级也会更加准确。
问题	网络安全等级保护是什么？
解答	网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构，依据《信息安全技术网络安全等级保护基本要求》等技术标准，定期对信息系统开展测评工作。
问题	为什么要做等级保护？
解答	（一）法律规章要求 《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求，履行安全保护义务，如果拒不履行，将会受到相应处罚。 第二十一条规定：网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。 第三十八条规定：关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。 第五十九条规定：网络运营者不履行义务的:由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行义务的:由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。 （二）行业要求 在金融、电力、广电、医疗、教育等行业，主管单位明确要求从业机构的信息系统要开展等级保护工作。 （三）企业系统安全的需求 信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处，可通过安全整改提升系统的安全防护能力，降低被攻击的风险。
问题	等级保护工作如何开展？
解答	等保2.0将落实到系统建设全生命周期的每个环节，从系统定级、系统备案、建设/整改、等级测评、再到监督与检查，每一环节都需要系统运营、使用单位重点留意。
问题	等级保护涉及范围？
解答	等级保护涉及所有行业，只要有信息系统的单位都在等级保护覆盖范围（涉密系统除外）。
问题	不做等保没关系，只要不出事就行？
解答	《网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。 不做等保即是违法，这并不是危言耸听。目前国内已经有很多公开报道的，因没有落实等级保护制度而被处罚的真实案例。所以等保及时去做，不要等。
问题	等保测评做过一次就可以，以后随便做不做？
解答	在《信息安全等级保护管理办法》公通字[2007]43号中，关于系统测评时间有明确规定，二级信息系统未明确测评时间，三级信息系统明确规定每年测评一次，四级信息系统每半年测评一次，五级信息系统虽有要求但在实际工作中几乎很难遇到五级信息系统。 等保工作是一个持续的工作，等保工作也是一个周期性的工作。做等保测评不应当抱着应付的心态去做，如果大家的系统真能按照等级保护的要求去做好，那么你的系统安全防护水平还是很高的。做了等保测评，一方面是合规，更多的是切切实实协助监管单位做好单位的网络安全工作。
问题	内网系统就不需要做等保测评了？
解答	首先，所有非涉密系统都属于等级保护范畴，和系统在外网还是内网没有关系；《网络安全法》规定，等级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。因此，不管是内网还是外网系统，都需要符合等级保护安全的要求。
问题	等级保护有哪些规范标准？
解答	等级保护涉及面广，相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下几个： GB/T 31167-2014 信息安全技术 云计算服务安全指南 GB/T 31168-2014 信息安全技术 云计算服务安全能力要求 GB/T 36326-2018 信息技术 云计算云服务运营通用要求 GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南 GB/T 25070-2019信息安全技术 网络安全等级保护安全设计技术要求 GB/T 28448-2019信息安全技术 网络安全等级保护测评要求 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 GB/T 22240-2008信息安全技术 信息系统安全等级保护定级指南 GB/T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求 GM/T 0054-2018 信息系统密码应用基本要求 GB/T 35273-2020 信息安全技术 个人信息安全规范