1.4 等級保護的測評流程

信息系統安全等級保護測評的完整流程包含五個環節。

● 定級。

● 備案。

● 開展等級測評。

● 系統安全建設。

● 監督指導。

1.定級

信息系統安全等級由系統運營、使用單位根據《信息安全技術信息系統安全等級保護定級指南》自主確定，有主管部門的，應當經主管部門審批。對于擬確定為四級及以上的信息系統，還應經專家評審會評審。新建信息系統在設計、規劃階段確定安全保護等級。

信息系統安全共分為五個等級，分別如下。

● 第一級（自主保護級）：信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

● 第二級（指導保護級）：信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

● 第三級（監督保護級）：信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

● 第四級（強制保護級）：信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重的損害，或者對國家安全造成嚴重損害。

● 第五級（專控保護級）：信息系統受到破壞后，會對國家安全造成特別嚴重的損害。

2.備案

運營、使用單位在確定等級后到所在地的市級及以上公安機關備案。第二級以上網絡運營者應當在網絡的安全保護等級確定后10個工作日內備案。

3.開展等級測評

運營、使用單位或者主管部門應當選擇合規的測評機構，定期對信息系統安全等級狀況開展等級測評。三級信息系統至少每年進行一次等級測評，四級信息系統至少每年進行一次等級測評，五級應當依據特殊安全需求進行等級測評。測評機構應當出具測評報告，并出具測評結果通知書，明示信息系統安全等級及測評結果。

4.系統安全建設

運營、使用單位按照管理規范和技術標準，選擇管理辦法要求的信息安全產品，建設符合等級要求的信息安全設施，建立安全組織，制訂并落實安全管理制度。

5.監督指導

公安機關依據信息安全等級保護管理規范，監督檢查運營、使用單位開展等級保護工作，定期對信息系統進行安全檢查。運營、使用單位應當接受公安機關的安全監督、檢查、指導，如實向公安機關提供有關材料。