1、確定定級對象:
:“國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制《網(wǎng)絡(luò)安全法》第二十一條規(guī)定度”,同時(shí)明確了未履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的網(wǎng)絡(luò)運(yùn)營者的法律責(zé)任。各行業(yè)主管部門、運(yùn)營使用單位應(yīng)組織開展對所屬信息系統(tǒng)的摸底調(diào)查,全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況,按照《信息安全等級保護(hù)管理辦法》(以下簡稱《管理辦法》)和《網(wǎng)絡(luò)安全等級保護(hù)定級指南》(以下簡稱《定級指南》)的要求,確定定級對象。
2、初步確定安全保護(hù)等級:
各信息系統(tǒng)主管部門和運(yùn)營使用單位要按照《管理辦法》和《定級指南》,初步確定定級對象的安全保護(hù)等級。初步確定信息系統(tǒng)安全保護(hù)等級后,聘請專家進(jìn)行評審。信息系統(tǒng)運(yùn)營使用單位有上級行業(yè)主管部門的,所確定的信息系統(tǒng)安全保護(hù)等級應(yīng)當(dāng)報(bào)上級行業(yè)主管部門審批同意。
初步確定的定級結(jié)果,應(yīng)當(dāng)提交機(jī)關(guān)進(jìn)行備案審查。
3、等級備案:
根據(jù)《管理辦法》,信息系統(tǒng)安全保護(hù)等級為第二級以上的信息系統(tǒng)運(yùn)營使用單位或主管部門,應(yīng)當(dāng)在安全保護(hù)等級確定后30日內(nèi),到當(dāng)?shù)貦C(jī)關(guān)網(wǎng)安部門辦理備案手續(xù)。新建第二級以上信息系統(tǒng),應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi),由其運(yùn)營、使用單位到當(dāng)?shù)貦C(jī)關(guān)網(wǎng)安部門辦理備案手續(xù)。
機(jī)關(guān)網(wǎng)安部門經(jīng)審查,符合等級保護(hù)要求的第二級以上信息系統(tǒng),應(yīng)當(dāng)在收到備案材料起的10個工作日內(nèi)向備案單位頒發(fā)信息系統(tǒng)安全保護(hù)等級備案證明(備案證明由統(tǒng)一監(jiān)制)。
4、建設(shè)整改及測評:
定級對象的運(yùn)營和使用單位根據(jù)機(jī)關(guān)定級審查的結(jié)果,按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)的相關(guān)要求,在測評機(jī)構(gòu)和相關(guān)技術(shù)支持單位的指導(dǎo)下,開展系統(tǒng)的安全建設(shè)及整改工作。
5、監(jiān)督檢查:
機(jī)關(guān)全程負(fù)責(zé)信息安全等級保護(hù)工作的督促、檢查和指導(dǎo);機(jī)關(guān)工作中發(fā)現(xiàn)不符合管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的,應(yīng)當(dāng)發(fā)出整改通知要求整改。