第六步，备案
第二级以上信息系统，在安全保护等级确定 后30日内，由其运营、使用单位到所在地设区的市 级以上公安机关办理备案手续。隶属于中央的在京 单位，其跨省或者全国统一联网运行并由主管部门 统一定级的信息系统，由主管部门向公安部办理备 案手续。跨省或者全国统一联网运行的信息系统在 各地运行、应用的分支系统，应当向当地设区的市 级以上公安机关备案。定级工作的结果是以备案完 成为标志。基础信息网络和重要信息系统的定级、 备案工作9月底前完成。
二、实行信息安全等级保护制度能够
解决哪些主要问题
信息安全等级保护是国家信息安全保障工作的基本制度、 基本策略、基本方法。开展信息安全等级保护工作是保护信 息化发展、维护国家信息安全的根本保障，是信息安全保障 工作中国家意志的体现。
有效解决我国信息安全面临的威胁和存在的主要问题， 充分体现“适度安全、保护重点”的目的，将有限的财力、 物力、人力投入到重要信息系统安全保护中，按标准建设安 全保护措施，建立安全保护制度，落实安全责任，有效保护 基础信息网络和关系国家安全、经济命脉、社会稳定的重要 信息系统的安全，有效提高我国信息安全保障工作的整体水 平。
严重损害：工作职能受到严重影响，业务能力 显著下降且严重影响主要功能执行，出现较严 重的法律问题，较高的资产损失，较大范围的 社会不良影响，对其他组织和个人造成较严重 损害。
特别严重损害：工作职能受到特别严重影响或丧 失行使能力，业务能力严重下降且或功能无法执 行，出现极其严重的法律问题，极高的资产损失， 大范围的社会不良影响，对其他组织和个人造成 非常严重损害。
关于侵害客体和侵害程度
三种受侵害的客体: 国家安全
体现了国家层面、与全局相关的国家政治安全、军事安全、 经济安全、社会安全、科技安全等方面利益。
社会秩序和公共利益
包括政治、经济、生产、生活、科研、工作等各方面的正常 秩序和社会公众生产、生活、教育、卫生等方面的利益。
合法权益
第一步，摸底调查，掌握信息系统底 数
按照《定级工作通知》确定的定级范围，各单位、各 部门可以组织开展对所属信息系统进行摸底调查，摸清 信息系统底数，掌握信息系统（包括信息网络）的业务 类型、应用或服务范围、系统结构等基本情况，为下一 步明确要求、落实责任奠定基础。
第二步，确定定级对象
一是应用系统应按照不同业务类别单独确定为定级对象， 不以系统是否进行数据交换、是否独享设备为确定定级 对象条件。起传输作用的基础网络要作为单独的定级对 象。
国家安全
第三级
第四级
第五级
表3 系统服务安全等级 矩阵表
作为定级对象的信息系 统的安全保护等级由业 务信息安全等级和系统 服务安全等级的较高者 决定。定级对象等级确 定后，可参照附件中的 《信息系统安全保护等 级定级报告》模版起草 定级报告。
对相应客体的侵害程度
系统服务安全被 破坏时所侵害 的客体
第七步，备案审核
受理备案的公安机关要公布备案受理地点、备案联系 方式等。在受理备案时，应对提交的备案材料进行完整性 审核和定级准确性审核。对符合等级保护要求的，应颁发 信息系统安全等级保护备案证明。发现定级不准的，通知 备案单位重新审核确定。
第八步，及时总结并提交总结报告
各地区、各部门要结合本地区、本行业开展定级工作 的实际，认真总结经验和不足，提出改进和完善定级方法 的意见和建议，及时总结定级工作经验，形成定级工作总 结报告，并于10月中旬报送公安部。
一般损 害
公民、法人和其 第一级 他组织的合法 权益
严重损 害
第二级
特别严 重 损 害
第二级
社会秩序、公共 第二级 第三级 第四级 利益
国家安全
第三级 第四级 第五级
不同危害后果的三种危害程度描述如下：
一般损害：工作职能受到局部影响，业务能力 有所降低但不影响主要功能的执行，出现较轻 的法律问题，较低的资产损失，有限的社会不 良影响，对其他组织和个人造成较低损害。
八、定级工作完成后需要开展哪 些工作
一是开展安全建设和整改。 二是开展等级测评。 三是开展自查。
九、开展安全等级保护工作依据的主
要标准有哪些
1、基础标准－划分准则（GB17859） 2、基线标准－ 《信息系统安全等级保护基本要求》 3、辅助标准－定级指南、实施指南、测评准则 4、目标标准－
《信息系统通用安全技术要求》（GB/T20271） 《网络基础安全技术要求》（GB/T20270） 《操作系统安全技术要求》（GB/T20272） 《数据库管理系统安全技术要求》（GB/T20273） 《终端计算机系统安全等级技术要求》（GA/T671） 《信息系统安全管理要求》（GB/T20269） 《信息系统安全工程管理要求》（GB/T20282） 5、产品标准－防火墙、入侵检测、终端设备隔离部件等
社会秩序和公共利益
第三级 重要 社会秩序和公共利益 系统 国家安全
第四级
社会秩序和公共利益
国家安全
第五级 极端 国家安全 重要 系统
侵害程度
损害 严重损害 损害 严重损害 损害 特别严重损害 严重损害 特别严重损害
监管强度
自主保护 指导
监督检查
强制监督检查
专门监督检查
第四步，信息系统等级评审
在信息系统安全保护等级确定过程中，可以聘请专家 进行咨询评审，并出具定级评审意见。对拟确定为第四级 以上信息系统的，运营使用单位或者主管部门应当请国家 信息安全保护等级专家评审委员会评审，出具评审意见。
三、国家、有关部门和企业在等级保 护工作中各自的责任和义务是什么
1、国家层面 2、信息安全监管部门（包括公安机关、保密部门、国家 密码工作部门） 3、信息系统主管部门 4、信息系统运营使用单位 5、安全服务机构
等级保护工作的职责分工
公安机关是等级保护工作的牵头部门，承担着信息安 全等级保护工作的监督、检查、指导；
等保技术架构
信息系统安全等级保护测评
安全控制测评
系统整体测评
安全技术测评
安全管理测评
安全控制间
层面间
区域间
物理安全
网络安全
主机理机构 安全管理制度 人员安全管理
系统建设管理 系统运维管理
不同信息系统之间整体安全性 整体结构安全 整体拓扑/局部结构
系统定级的具体实施
信息安全和系统服务安全被破坏后对客体的侵害 程度，由对不同危害结果的危害程度进行综合评 定得出。由于各行业信息系统所处理的信息种类 和系统服务特点各不相同，信息安全和系统服务 安全受到破坏后关注的危害结果、危害程度的计 算方式均可能不同，各行业可根据本行业信息特 点和系统服务特点，制定危害程度的综合评定方 法，并给出侵害不同客体造成损害、严重损害、 特别严重损害的具体定义。
根据系统服务安全被破坏时所侵害的客体以及对相 应客体的侵害程度，依据表2系统服务安全等级矩阵 表，即可得到系统服务安全等级。
业务信息安全被破坏时所侵 害的客体
对相应客体的侵害程度
一般损害
严重损害
公民、法人和其他组织的合 第一级 法权益
社会秩序、公共利益
第二级
第二级 第三级
特别严重损 害 第二级
第四级
信息网络的安全等级可以参照在其上运行的 信息系统的等级、网络的服务范围和自身的安全需 求确定适当的保护等级，不以在其上运行的信息系 统的最高等级或最低等级为标准。
跨省或者全国统一联网运行的信息系统，可以由主管部
门统一确定安全保护等级。由各行业统一规划、统一建设、 统一安全保护策略的信息系统，应由各部委统一确定一个 级别；由各部委统一规划、分级建设、运行的信息系统， 应由部、省、地市分别确定系统等级，但各行业应对该类 系统提出定级意见，避免出现同类系统定级出现较大偏差 问题。
七、定级工作的主要步骤是什么
定级是等级保护工作的首要环节，是开展信 息系统建设、整改、测评、备案、监督检查等后 续工作的重要基础。 第一步，摸底调查，掌握信息系统底数 第二步，确定定级对象 第三步，初步确定信息系统等级 第四步，信息系统等级评审
第五步，信息系统等级的最终确定与审批 第六步：备案。 第七步：备案审核。 第八步：及时总结并提交总结报告。
信息安全等级保护交流
一、我国在信息安全保障工作中为什 么要实行等级保护制度
当前，我国基础信息网络和重要信息系统安全面临的形 势十分严峻，既有外部威胁，又有自身脆弱性和薄弱环节。
一是针对基础信息网络和重要信息系统的违法犯罪持续上 升。
二是基础信息网络和重要信息系统安全隐患严重。 三是我国的信息安全保障工作基础还很薄弱。
定级基本流程1
1、确定定级对象
2、确定业务信息安全受到破 坏时所侵害的客体
3、综合评定对客体的侵害 程度
依据表2
4、业务信息安全保护等级
5、确定系统服务安全受到破 坏时所侵害的客体
6、综合评定对客体的侵害 程度 依据表3
7、系统服务安全保护等级
8、定级对象的安全保护等级
表2 业务信息安全等级矩阵表
国家保密工作部门、国家密码管理部门负责等级保护 工作中有关保密工作和密码工作的监督、检查、指导；
国信办及地方信息化领导小组办事机构负责等级保护 工作部门间的协调。
其中，涉及国家秘密信息系统的等级保护监督管理工 作由国家保密工作部门负责；非涉及国家秘密信息系统的 等级保护监督管理工作由公安机关负责。
四、近几年来开展了哪些具体工作
当专家意见与运营使用单位或者主管部门不一致时， 以运营使用单位或者主管部门意见为准。
在信息系统安全保护等级确定过程中，可以聘请专家
进行咨询评审，并出具定级评审意见。对拟确定为第四级 以上信息系统的，运营使用单位或者主管部门应当请国家 信息安全保护等级专家评审委员会评审，出具评审意见。
当专家意见与运营使用单位或者主管部门不一致时， 以运营使用单位或者主管部门意见为准。