各行业主管部门、运营利用单位应组织开展对所属信息系统的摸底调查,全面节制信息系统的数量、分布、业务类型、运用或做事范围、系统构造等基本情形,确定定级工具。
第二步:初步确定安全保护等级
各信息系统主管部门和运营利用单位要按照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》,初步确定定级工具的安全保护等级。确定信息系统安全保护等级后,聘请专家进行评审。信息系统运营利用单位有上级行业主管部门的,应该报上级行业主管部门审批赞许。
第三步:等级备案
已运营(运行)或新建的第二级以上信息系统,应该在安全保护等级确定后30日内,由其运营、利用单位到所在地设区的市级以上公安机关办理备案手续。公安机关经审查,符合等级保护哀求的,应该在收到备案材料起的10个事情日内向备案单位颁发信息系统安全保护等级备案证明;创造不符合哀求的,关照备案单位予以纠正;创造定级不准的,关照备案单位重新审核确定。
第四步:培植整改及测评
定级工具的运营和利用单位根据公安机关定级审查的结果,按照《信息安全技能网络安全等级保护基本哀求》(GB/T 22239-2019)的干系哀求,在测评机构和干系技能支持单位的辅导下,开展系统的安全培植及整改事情。
第五步:监督检讨
公安机关全程卖力网络安全等级保护事情的监督、检讨和辅导;公安机关事情中创造不符合管理规范和技能标准的,应该发出整改关照哀求整改。
备案应准备材料如下:
二级系统须要提交的材料: ①信息系统安全等级保护备案表2份; ②信息系统安全等级保护定级报告2份; ③信息系统安全保护等级专家评审见地;
④主管部门审核批准信息系统安全保护等级的见地。
⑤系统安全组织机构和管理制度; 三级系统须要提交的材料: ①信息系统安全等级保护备案表2份; ②信息系统安全等级保护定级报告2份; ③系统拓扑构造及解释; ④系统安全组织机构和管理制度,网络安全应急处置预案; ⑤信息系统安全等级测评报告;
⑥系统安全保护举动步伐设计履行方案或改建履行方案; ⑦系统利用的信息安全产品清单及其认证、发卖容许证明; ⑧信息系统安全保护等级专家评审见地; ⑨主管部门审核批准信息系统安全保护等级的见地。
○单位做事器托管协议(在云平台或IDC需提交云平台或IDC等保备案证明及测评报告首页、基本信息页、盖章页、结论页等)。
