一、系统定级

信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。定级工作的主要内容包括：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核，具体按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字〔2007〕861号）要求执行。各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，根据所属信息系统的重要程度和遭到破坏后的危害程度，确定信息系统的安全保护等级。

同时，按照所定等级，依照相应等级的管理规范和技术标准，建设信息安全保护设施，建立安全制度，落实安全责任，对信息系统进行保护。

在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。

运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任；公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序，也会影响国家安全、社会稳定、公共利益，因此，国家必然要对重要信息系统的安全进行监管。信息系统主管部门和运营使用单位要按照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》初步确定定级对象的安全保护等级。初步确定信息系统安全保护等级后，聘请专家进行评审。

信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报上级行业主管部门门审批同意。初步确定的定级结果，应当提交公安机关进行备案审查。

二、系统备案

根据《信息安全等级保护管理办法》，信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门，应当在安全保护等级确定后30日内，到当地公安机关网安部门办理备案手续。新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到当地公安机关网安部门办理备案手续。公安机关网安部门经审查，符合等级保护要求的第二级以上信息系统，应当在收到备案材料起的10个工作日内向备案单位颁发信息系统安全保护等级备案证明（备案证明由公安部统一监制）。

三、建设整改

定级对象的运营和使用单位根据公安机关定级审查的结果，按照《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）的相关要求，在测评机构和相关技术支持单位的指导下，开展系统的安全建设及整改工作。

四、等级测评

由第三方权威测评机构，按照《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评准则》等相关要求，从信息系统是否具备标准所要求的安全保护设施、安全设施的策略是否达到标准的要求、安全策略是否达到保护的效果三个方面开展差距测评工作。并形成差距分析报告。测评主要涵盖如下方面：安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。

安全管理测评：包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评定级对象的运营和使用单位对涉及到安全管理差距部分进行安全整改，完成上述测评工作和整改实施后，由测评机构出具符合公安机关要求的《等级保护测评报告》并报对应的网安部门。同时往往需进一步编制和完善安全管理制度。

五、监督检查

在测评机构向当地公安机关网监部门提交测评报告后，定级对象的运营和使用单位、测评机构应配合完成对网络安全等级保护实施情况的检查，同时根据相关要求开展自查完善。

按照要求进行自查

自查整改：执行差距评估工作，并根据差距评估进行整改方案编写，依照整改方案进行整改。按照要求完成测评

等级测评：自查整改后，提交测评机构测评，根据最新测评要求，测评报告可显示当前网络安全防护水平。《网络安全等级保护条例》要求“第三级以上网络的运营者应当每年开展一次网络安全等级测评”“网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自查”“公安机关对第三级以上网络运营者每年至少开展一次安全检查”。

如需等保测评服务，可后台私信联系。陆陆信息科技，整合云安全产品的技术优势，联合优质等保咨询、等保测评合作资源，提供等保项目的一站式服务，全面覆盖等保定级、备案、建设整改以及测评阶段，高效通过等保测评，落实网络安全等级保护工作。

黑龙江等保测评——陆陆官网