1、確定定級對象:
:“國家實行網絡安全等級保護制《網絡安全法》第二十一條規定度”,同時明確了未履行網絡安全保護義務的網絡運營者的法律責任。各行業主管部門、運營使用單位應組織開展對所屬信息系統的摸底調查,全面掌握信息系統的數量、分布、業務類型、應用或服務范圍、系統結構等基本情況,按照《信息安全等級保護管理辦法》(以下簡稱《管理辦法》)和《網絡安全等級保護定級指南》(以下簡稱《定級指南》)的要求,確定定級對象。
2、初步確定安全保護等級:
各信息系統主管部門和運營使用單位要按照《管理辦法》和《定級指南》,初步確定定級對象的安全保護等級。初步確定信息系統安全保護等級后,聘請專家進行評審。信息系統運營使用單位有上級行業主管部門的,所確定的信息系統安全保護等級應當報上級行業主管部門審批同意。
初步確定的定級結果,應當提交機關進行備案審查。
3、等級備案:
根據《管理辦法》,信息系統安全保護等級為第二級以上的信息系統運營使用單位或主管部門,應當在安全保護等級確定后30日內,到當地機關網安部門辦理備案手續。新建第二級以上信息系統,應當在投入運行后30日內,由其運營、使用單位到當地機關網安部門辦理備案手續。
機關網安部門經審查,符合等級保護要求的第二級以上信息系統,應當在收到備案材料起的10個工作日內向備案單位頒發信息系統安全保護等級備案證明(備案證明由統一監制)。
4、建設整改及測評:
定級對象的運營和使用單位根據機關定級審查的結果,按照《信息安全技術網絡安全等級保護基本要求》(GB/T 22239-2019)的相關要求,在測評機構和相關技術支持單位的指導下,開展系統的安全建設及整改工作。
5、監督檢查:
機關全程負責信息安全等級保護工作的督促、檢查和指導;機關工作中發現不符合管理規范和技術標準的,應當發出整改通知要求整改。