1、定級
根據上級主管部門要求,結合行業實際情況和自身業務情況,依據《信息系統安全等級保護定級指南》相關文件要求,編寫定級報告,填寫定級備案表。
等保等級一共劃分為5個等級:
第一級(自主保護級),信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級(指導保護級),信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級(監督保護級),信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級(強制保護級),信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級(??乇Wo級),信息系統受到破壞后,會對國家安全造成特別嚴重損害。
信息系統安全等級保護的定級準則和等級劃分雖然說的是自主定級,但是也得根據系統實際情況去定級,有行業指導文件的根據指導文件來,沒有文件的根據定級指南來,總之一句話合理定級。
2、系統備案
等保備案是指企業或機構在完成信息系統等級保護定級后,到所在地的公安機關備案,以獲得等級保護備案證明。
運營使用單位在確定等級后到所在地的市級及以上公安機關備案。新建二級及以上信息系統在投入運營后30日內、已運行的二級及以上信息系統在等級確定30日內備案。公安機關對信息系統備案情況進行審核,對符合要求的在10個工作日內頒發等級保護備案證明。對于定級不準的,應當重新定級、重新備案。對于重新定級的,公安機關一般會建議備案單位組織專家進行重新定級評審,并報上級主管部門審批。
3、系統安全建設及整改
運營使用單位按照管理規范和技術標準,選擇管理辦法要求的信息安全產品,建設符合等級要求的信息安全設施,建立安全組織,制定并落實安全管理制度。
對于未達到安全等級保護要求的,運營、使用單位應當進行整改。整改完成應當將整改報告報公安機關備案。
4、等級測評
信息系統建設完成后,運營、使用單位或者主管部門應當選擇合規測評機構,定期對信息系統安全等級狀況開展等級測評。
二級信息系統每兩年進行一次測評,三級信息系統至少每年進行一次等級測評,四級及以上信息系統至少每半年進行一次等級測評,五級應當依據特殊安全需求進行等級測評。測評機構應當出具測評報告,并出具測評結果通知書,明示信息系統安全等級及測評結果。
5、監督檢察
公安機關依據信息安全等級保護管理規范,監督檢查運營使用單位開展等級保護工作,定期對信息系統進行安全檢查。 運營使用單位應當接受公安機關的安全監督、檢查、指導,如實向公安機關提供有關材料。 受理備案的公安機會對三級、四級信息系統進行檢查,檢查頻次同測評頻次。五級信息系統接受國家制定的專門部門檢查。