等级保护的流程大致为定级—备案—初测—整改—复测—监督检查,备案需先定级。常见做二级的是一般的企业网站和内部办公系统。
整体备案流程是向属地公安机关提交备案资料,需要先线上提交备案材料。线上审核通过后,再线下提交备案材料。具体如下:
步,先线上提交资料审核通过后,备案单位准备好所有公安要求的纸质材料盖章,待公安通知日期携带纸质资料线下去相关公安部门网安大队进行递交材料。
第二步,公安机关现场对备案材料进行审核,材料符合要求的会在两周左右颁发公安部门统一监制的备案证明(北京个别区公安先发备案证明,个别区公安后提交测评报告后再颁发备案证明)
第三步,备案单位领取到备案后电子版发给测评机构,测评机构在公安系统办理入场测评登记。
开展网络安全等级保护工作是保护信息化发展、维护网络安全的保障,是网络安全防护工作中国家意志的体现,也是不少监管机构指定的备案材料,是监管检查的依据。开展等级保护工作原因如下:
点:为了提升安全
发现单位信息系统存在的安全隐患和不足,进行安全整改之后,提高安全防护能力,降低系统被各种攻击的风险,维护单位良好的形象。
第二点:符合法律规范(合规)
等级保护是我国关于网络安全的基本政策,《网络安全等级保护管理办法》和《中华人民共和国网络安全法》等国家法律法规、相关政策制度要求单位开展等级保护工作。
第三点:履行网络安全义务
落实个人及单位的网络安全保护义务,合理规避风险。
第四点:甲方对供应商的安全要求
满足甲方对乙方开发安全产品的安全要求,通过信息安全等级保护备案证明,证明其安全性。
第五点:行业主管的指导意见
网络安全法将等级保护提升到了法律高度,每个行业根据自身的安全需求,制定了行业的等级保护指导意见,比如医疗行业、教育行业、金融行业、电力行业,能源行业、民航安全等,这些行业规范,规定了哪些系统必须等保,它是具有强制性,是企业必须做等保的,不做等保就是不合规。