第一步:确定需要做备案的系统及系统的安全保护等级
备案之前,企业需要先确定需要做等保的信息系统,并确定信息系统的安全保护等级。信息系统的安全保护等级分为以下五级,一至五级等级逐级增高:
第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级),之前介绍过相关内容,本篇文章就不细致介绍了。
需要做等级保护的信息系统有三个特征:
①具有确定的主要安全责任主体。
②承载相对独立的业务应用。
③包含相互关联的多个资源。
所以,只要信息系统具有以上三个特征,就需要做等保。等保2.0时代,APP、网站、公众号、小程序等都可能是定级对象,企业需特别注意。
系统确定之后,就可以给系统定级。定级依据是《信息系统安全等级保护定级指南》。企业按照以下流程对信息系统进行定级:确定定级对象-初步确定等级-专家评审-主管部门审核-公安机关备案审查-最终确定的等级。
第二步:准备备案材料
定级之后,企业就可以填写、准备备案材料。备案所需材料主要是《信息安全等级保护备案表》,不同级别的信息系统需要的备案材料有所差异。
二级及其以上的信息系统运行使用单位或主管部门在备案时需要提交的资料有:①信息系统安全定级报告纸质材料,一式两份;②信息系统安全备案表纸质材料,一式两份;③上述备案的电子档,并制作出光盘提交。
第三级以上信息系统同时提供以下材料:1、系统拓扑结构及说明;2、系统安全组织机构和管理制度;3、系统安全保护设施设计实施方案或者改建实施方案;4、系统使用的信息安全产品清单及其认证、销售许可证明;5、测评后符合系统安全保护等级的技术检测评估报告;6、信息系统安全保护等级专家评审意见;7、主管部门审核批准信息系统安全保护等级的意见。
第三步:将备案材料提交公安机关并等待审核
备案材料准备完毕,就可以提交公安机关网安部门进行审核。对符合等级保护要求的,在收到备案材料之日起的10个工作日内颁发《信息系统安全等级保护备案证明》;发现不符合本办法及有关标准的,在收到备案材料之日起的10个工作日内通知备案单位予以纠正。