1.4 等级保护的测评流程

信息系统安全等级保护测评的完整流程包含五个环节。

● 定级。

● 备案。

● 开展等级测评。

● 系统安全建设。

● 监督指导。

1.定级

信息系统安全等级由系统运营、使用单位根据《信息安全技术信息系统安全等级保护定级指南》自主确定，有主管部门的，应当经主管部门审批。对于拟确定为四级及以上的信息系统，还应经专家评审会评审。新建信息系统在设计、规划阶段确定安全保护等级。

信息系统安全共分为五个等级，分别如下。

● 第一级（自主保护级）：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

● 第二级（指导保护级）：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

● 第三级（监督保护级）：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

● 第四级（强制保护级）：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重的损害，或者对国家安全造成严重损害。

● 第五级（专控保护级）：信息系统受到破坏后，会对国家安全造成特别严重的损害。

2.备案

运营、使用单位在确定等级后到所在地的市级及以上公安机关备案。第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内备案。

3.开展等级测评

运营、使用单位或者主管部门应当选择合规的测评机构，定期对信息系统安全等级状况开展等级测评。三级信息系统至少每年进行一次等级测评，四级信息系统至少每年进行一次等级测评，五级应当依据特殊安全需求进行等级测评。测评机构应当出具测评报告，并出具测评结果通知书，明示信息系统安全等级及测评结果。

4.系统安全建设

运营、使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制订并落实安全管理制度。

5.监督指导

公安机关依据信息安全等级保护管理规范，监督检查运营、使用单位开展等级保护工作，定期对信息系统进行安全检查。运营、使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。