等级保护备案办理指南

第⼀步：确定定级对象

各行业主管部门、使用单位要组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照《信息安全等级保护管理办法》（以下简称《管理办法》）和《信息安全技术网络安全等级保护定级指南GB/T 22240-2020》（以下简称《定级指南》）的要求，确定定级对象。

电力行业、金融行业、电信行业、烟草行业、医疗卫生行业、广电行业、税务系统、交通行业、教育行业、邮政行业、电子政务、林业行业、粮食行业、水利行业、福彩系统、档案系统等行业要同时根据行业定级工作指南和技术要求开展定级工作。

第二步：初步确定安全保护等级

信息系统主管部门和使用单位要按照《管理办法》和《定级指南》，初步确定定级对象的安全保护等级，起草等级报告。

根据等级保护对象在国家安全、经济建设、社会生活中的重要程度，以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素，等级保护对象的安全保护等级分为五级：

第一级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成一般损害，但不危害国家安全、社会秩序和公共利益；

第二级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全；

第三级，等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危害，或者对国家安全造成危害；

第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害；

第五级，等级保护对象受到破坏后，会对国家安全造成特别严重危害。

第三步：专家评审

安全保护等级初步确定为第二级及以上的，定级对象的网络运营者需组织等级保护专家对定级结果的合理性进行评审，并出具专家评审意见。

第四步：主管部门核准

各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的具体意见。

第五步：备案审核

根据《管理办法》和《定级指南》，信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门，应当在安全保护等级确定后30日内，到市公安局网安支队办理备案手续。新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到市公安局网安支队办理备案手续。具体备案材料如下：

《信息系统安全等级保护备案表》（以下简称《备案表》），纸质材料，一式两份。包括：《单位基本情况》（表一）、《信息系统情况》（表二）、《信息系统定级情况》（表三）和《第三级以上信息系统提交材料情况》（表四）。第二级以上信息系统备案时需提交《备案表》中的表一、二、三；第三级以上信息系统应当同时提供以下材料：

（一）系统拓扑结构及说明；

（二）系统安全组织机构和管理制度；

（三）系统安全保护设施设计实施方案或者改建实施方案；

（四）系统使用的信息安全产品清单及其认证、销售许可证明；

（五）测评后符合系统安全保护等级的技术检测评估报告；

（六）信息系统安全保护等级专家评审意见；

（七）主管部门审核批准信息系统安全保护等级的意见。

第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材料。

根据《管理办法》，信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安部“网络安全等级保护网”下载《备案表》，到市公安局网安支队办理备案手续，提交有关备案材料及电子数据文件。

信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。

第六步：安全建设整改。网络运营者应在网络建设和运营过程中，同步规划、同步建设、同步使用有关网络安全保护措施。应依据《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》等国家标准，在现有安全保护措施的基础上，全面梳理分析安全保护需求，并结合等级测评过程中发现的问题隐患，按照“一个中心（安全管理中心）、三重防护（安全通信网络、安全区域边界、安全计算环境）”的要求，认真开展网络安全建设和整改加固，全面落实安全保护技术措施。网络运营者可将网络迁移上云，或将网络安全服务外包，充分利用云服务商和网络安全服务商提升网络安全保护能力和水平。应全面加强网络安全管理，建立完善人员管理、教育培训、系统安全建设和运维等管理制度，加强机房、设备和介质安全管理，强化重要数据和个人信息保护，制定操作规范和工作流程，加强日常监督和考核，确保各项管理措施有效落实。

     法律责任：《中华人民共和国网络安全法》第二十一条明确规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

根据第五十九条：网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

办公地址：承德市公安局（双桥区偏岭汽车东站北侧车管所院内公安局技术楼）

联系民警：覃   敬    办公电话：0314-2373049

办公时间：周一至周五  8:30-11:30   13:30-17:30（夏季14:30-17:30）