等级保护整改

㈠ 等级保护工作开展的基本流程是什么

一、系统定级阶段
（一）责任人
? 各信息系统主管部门和运营使用单位
? 市信息办安全中心
（二）工作内容和标准
1.各信息系统主管部门和运营使用单位应依据《信息安全等级保护管理办法》及《信息系统安全等级保护定级指南（报批稿）》，自主确定系统等级。
2.可聘请专家对定级情况进行评审，出具评审意见；参照专家评审意见确定系统等级，形成定级报告。
3.市信息办安全中心负责定级的咨询服务工作（定级方法及流程），开通等级保护咨询服务热线。
（三）工作成果
? 专家评审意见
? 信息系统安全定级报告
二、系统定级备案阶段
（一）责任人
? 信息系统主管部门和运营使用单位
? 市信息办
? 各区县信息办
? 市电子政务等级保护专家组
（二）工作内容和标准
1.系统定级备案材料
? 《信息系统安全等级保护备案表》：单位基本情况、信息系统情况、信息系统定级情况、第三级以上信息系统提交材料情况；
? 备案电子数据：利用备案软件生成的rar文件
2、系统定级备案材料的报送方式
? 《信息系统安全等级保护备案表》：通过公文交换报送至同级信息化主管部门；
? 备案电子数据：邮件发送（或由专人递送）至同级信息化主管部门。
3、各区县信息办负责汇总所掌握的备案电子数据文件，每月月底前向市信息办报送；
4、市信息办接到备案材料及电子数据文件后，于10个工作日内完成材料审查，并对系统安全等级进行初步审核，如果：
? 接受备案,撰写《信息系统安全保护等级备案情况复函》-A；
? 资料不全,撰写《信息系统安全保护等级备案情况复函》-B;
? 明显定级不准，提请市电子政务等级保护专家组进行再评审，同时撰写《信息系统安全保护等级备案情况复函》-C，并正式复函备案信息系统主管部门和运营使用单位。
5、由市信息办牵头，成立市电子政务等级保护专家组，定期对备案明显不准的系统进行再评审，并协调系统运营使用单位对系统级别进行调整。
（三）工作成果
? 《信息系统安全保护等级备案情况复函》-A
? 《信息系统安全保护等级备案情况复函》-B
? 《信息系统安全保护等级备案情况复函》-C
? 《XXXX信息系统定级专家评审意见》
三、评估和整改建设阶段
（一）责任人
? 信息系统运营使用单位
? 市信息办
? 市电子政务等级保护专家组
（二）工作内容和标准
1.信息系统运营使用单位负责系统的风险评估和整改建设工作， 重要信息系统的运营使用单位应将系统等级保护整改建设方案报市信息办；
2.市信息办安全处、安全中心负责等级保护咨询工作，并推荐具有资质的风险评估实施单位、检测机构以及安全服务公司。
3.市电子政务等级保护专家组，负责电子政务重要信息系统等级保护整改建设方案的评审工作。
（三）工作成果
? 等级保护整改建设方案；
? 整改建设方案的评审意见；
四、等级测评阶段
（一）责任人
? 信息系统运营使用单位
? 市信息办
（二）工作内容和标准
电子政务信息系统的运营使用单位应落实系统安全等级测评资金保障工作，同时开展等级测评工作。
? 二级系统应按照《信息安全等级保护管理办法》的要求，由运营单位选择有资质的测评机构开展等级测评，形成等级测评报告，上报同级信息化主管部门（市信息办和区县信息办）；
? 三级（及以上）系统的等级测评由市信息办统一组织实施。
市信息办安全中心负责跟踪重要信息系统等级测评工作的进展。
（三）工作成果
? 《信息系统安全等级测评报告》；
? 重要信息系统等级测评工作的进展情况
五、监督检查阶段
（一）责任人
? 信息系统运营使用单位
? 市信息办
（二）工作内容和标准
? 由市信息办牵头，会同相关部门，对市各委办局信息系统（尤其是重要信息系统）等级保护制度的落实情况，每年进行一次联合执法检查；
? 对于本市重要的电子政务系统，市信息办将分批用两年的时间对所有重要的电子政务系统完成进行一次检查评估。
（三）工作成果
? 执法检查情况报告
? 检查评估报告

㈡ 关于 信息安全等级保护 有几个问题想咨询下大家，因为要申请等保3级，知道的朋友帮忙解答，可以追分

信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

等级保护办理流程是：

1、摸底调查：摸清信息系统底数，掌握信息系统的业务类型、应用或服务范围、系统结构等基本情况。

2、确立定级对象：应用系统应按照业务类别不同单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象。

3、系统定级：定级是信息安全等级保护工作的首要环节，是开展信息系统安全建设、等级测评、监督检查等工作的重要基础。

4、专家批审和主管部门审批：运营使用单位或主管部门在确定系统安全保护等级后，可以聘请专家进行评审。

5、备案：备案单位准备备案工具，填写备案表，生成备案电子数据，到公安机关办理备案手续。

6、备案审核：受理备案的公安机关要及时公布备案受理地点、备案联系方式等，对备案材料进行完整性审核和定级准确审核。

7、系统测评：第三级以上信息系统按《信息系统安全等级保护备案表》表四的要求提交01-07共七分材料。

8、整改实施：根据测评结果进行安全要求整改。

㈢ 等级保护怎么搞一定要做吗

等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。

企业办理等级保护的原因是：

1、通过等级保护工作发现单位信息系统存在的安全隐患和不足，进行安全整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险，维护单位良好的形象。

2、等级保护是我国关于信息安全的基本政策，国家法律法规、相关政策制度要求单位开展等级保护工作。如《网络安全等级保护管理办法》和《中华人民共和国网络安全法》。

3、很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育等行业等。

4、落实个人及单位的网络安全保护义务，合理规避风险。

等级保护一共分为五个阶段：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

㈣ 做等级保护整改需要什么资质

整改没要求资质，但是整改中如果有建设的话建设单位需要集成资质

㈤ 等级保护工作有哪些规定动作

等级保护工作遵循相关的法律法规，具备完善的政策流程支撑，有规定的流程动作。以下就是等级保护工作的基本流程

1.1 基本实施流程图

1.1.1 系统识别与定级

1. 确定定级对象：根据《信息系统等级保护管理办法》和《信息系统等级保护定级指南》的要求确定信息系统的安全等级确定保护对象。

2. 初步确定等级：通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度，确定系统被破坏后受侵害的客体以及侵害对客体的侵害程度，综合判定侵害程度。初步确定系统的等级。

3. 专家评审：定级对象的运营、使用单位应组织信息安全专家和业务专家，对初步定级结果的合理性进行评审，出具专家评审意见。

4. 主管部门审核：完成专家评审后，应将初步定级结果上报行业主管部门或上级主管部门进行审核。

5. 公安机关审核：将初步定级结果提交公安机关进行备案审查，审查不通过，其运营使用单位应组织重新定级；审查通过后最终确定定级对象的安全保护等级。

1.1.2 系统备案

1. 资料准备：由信息系统运营使用单位准备备案材料，填写《信息系统安全等级保护备案表》

2. 系统备案：由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续

3. 受理备案和审核:公安机关对备案材料进行审核，定级准确、材料符合要求的颁发由公安部统一监制的备案证明。发现定级不准的，通知备案单位重新审核确定

1.1.3 等级保护测评

信息系统运营使用单位需要聘请经过认证的安全测评机构，依据《信息系统安全等级保护管理办法》和《信息系统安全等级保护测评要求》及《信息系统安全等级保护测评过程指南》标准，对信息系统安全保护状况开展等级测评，按照《信息系统安全等级测评报告模板》（2019版）编写等级测评报告。

等级保护测评工作采取询问情况、查问和核对材料、调看记录和资料、现场查验、渗透测试、漏洞扫描等方式进行。通过等级测评，分析判断目前信息系统所采取的安全措施与等级保护标准要求之间的差距，分析安全方面存在的问题，查找信息系统安全保护建设整改需要解决的问题，形成安全建设整改的安全需求。

1.1.4 整改

根据等级保护测评结果和整改建议，运营单位按照等级保护要求和相关规范和标准，进行安全建设。制定安全管理制度、完善安全设施安全手段，落实安全技术措施。

1.1.5 周期性监督检查

公安机关依据管理办法和检查规范不定期对运营使用单位的信息系统进行安全监督、检查、指导，如发现未履行等级保护职责，公安机关可以依法进行相应处罚，处罚标准参考《中华人民共和国网络安全法》《中华人民共和国刑法》《网络安全等级保护条例》。

㈥ 等级保护和分级保护有什么区别

一、等级保护与分级保护的不同定义

1、等级保护

等级保护全称是信息安全等级保护，是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和储存、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。等级保护坚持自主定级、自主保护的原则。

等级保护分5个级别（由低到高）：一级（自主保护级）、二级（指导保护级）、三级（监督保护级）、四级（强制保护级）、五级（专控保护级）。

2、分级保护

分级保护全称是涉密信息系统分级保护是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护，各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全。

分级保护分3个级别：秘密级、机密级、绝密级（由低到高）。

需要特别注意：等级保护和分级保护的级别有对应关系：

二、等级保护与分级保护不同的适用对象

等级保护与分级保护的不同适用对象是二者的本质区别：

①等级保护是实施信息安全管理的一项法定制度，重点保护的对象是非涉密的涉及国计民生的重要信息系统和通信基础信息系统。

②分级保护是国家信息安全等级保护的重要组成部分，是等级保护在涉密领域的具体体现。

三、等级保护和分级保护不同的发起部门和主管部门

1、分级保护

分级保护由国家保密局发起，其主管单位及相应管理职责如下所示：

①国家保密局及地方各级保密局：监督，检查，指导；

②中央和国家机关(本部门)：主管和指导；

③建设使用单位：具体实施。

2、等级保护

等级保护由公安部门发起，其主管单位及相应管理职责如下所示：

①公安机关：等级保护工作的主管部门，负责信息安全等级保护工作的监督、检查、指导；

②国家保密工作部门、国家密码管理部门：负责等级保护工作中有关保密工作和密码工作的监督、检查、指导；

③国信办及地方信息化领导小组办事机构：负责等级保护工作部门间的协调，涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责。

四、等级保护和分级保护不同的政策依据

1、等级保护政策依据

《中华人民共和国计算机信息系统安全保护条例》（国务院147号令，1994年）；

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）；

《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）；

《信息安全等级保护管理办法》（公通字[2007]43号）；

《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）；

《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)。

2、分级保护政策依据

《关于加强信息安全保障工作中保密管理的若干意见》（中保委发[2004]7号）；

《涉及国家秘密的信息系统分级保护管理办法》（国保发[2005]16号）。

五、等级保护和分级保护不同的工作内容和测评频率

等级保护工作包括系统定级、系统备案、安全建设整改、等级测评和监督检查五个环节。

分级保护工作包括系统定级、方案设计、工程实施、系统测评、系统审批、日常管理、测评与检查、系统废止八个环节。

等级保护各级别测评频率：

①第二级信息系统：应每两年至少进行一次等级测评；

②第三级信息系统：应每年至少进行一次等级测评；

③第四级信息系统：应每半年至少进行一次等级测评。

第一级信息系统不需测评。第五级信息系统一般适用于国家重要领域、重要部门中的极端重要系统，特殊行业特殊要求，不在等保测评机构的测评范畴。

等级保护测评机构资质由国家信息安全等级保护工作协调小组办公室授予。

分级保护各级别测评频率：

①秘密级、机密级信息系统：应每两年至少进行一次安全保密测评或保密检查；

②绝密级信息系统：应每年至少进行一次安全保密测评或保密检查。

分级保护测评机构资质由国家保密工作部门授予。

㈦ 等级保护必须要做么找谁做

企业为什么要做等级保护？

等保要做好，认识要牢靠！等级保护是目前无论企业还是政府都热议的一个话题，对于企业来说，网络安全等级保护备案证明以及测评报告，既是对产品专业性、安全性、合规性的认定，也是作为业务开展过程中的重要资质证明。今天时代新威就企业为什么要做等级保护这个问题，为大家解释做等保的重要性！

等级保护涉及范围

（一）省辖市以上党政机关的重要网站和办公信息系统；

（二）电信、广电行业的公用通信网、广播电规传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统；

（三）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

过开展信息安全等级保护工作，将有限的财力、物力、人力投入到重要信息系统安全保护中，按标准建设安全保护措施，建立安全保护制度，落实安全责任，加强监督检查，有效保护重要信息系统安全，能够大大提高我国信息和信息系统安全建设的整体水平。

㈧ 等级保护二级整改要多久麻烦吗

等级保护二级整改要多久才麻烦的准备等待二级肯定要一段时间了，最少半年以上。