等级保护备案流程是落实网络安全等级保护制度的关键环节，主要包括定级、备案、建设整改、等级测评和监督检查五个步骤。企业需依据业务特点、数据敏感度及潜在风险，初步确定信息系统等级，并组织专家评审和主管部门审批，最终由公安机关确认定级结果。

　　一、等级保护如何定级

　　等级保护定级主要依据系统受破坏后危害的范围和严重程度，分为五个级别：

　　一级(自主保护级)：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

　　二级(指导保护级)：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

　　三级(监督保护级)：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。适用于涉及国家安全、社会秩序和公共利益的重要信息系统。

　　四级(强制保护级)：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

　　五级(专控保护级)：信息系统受到破坏后，会对国家安全造成特别严重损害。适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统。

　　定级流程包括：

　　确定定级对象：全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况。

　　初步确定安全保护等级：按照《信息安全技术 网络安全等级保护定级指南》初步确定等级。

　　专家评审与审批：聘请专家进行评审，有上级行业主管部门的，需报上级主管部门审批同意。

　　二、等级保护备案流程

　　线上提交资料：先线上提交备案材料，审核通过后，准备纸质材料盖章。

　　线下递交材料：携带纸质资料到相关公安部门网安大队递交。

　　审核与颁发备案证明：公安机关现场审核材料，符合要求的在两周左右颁发备案证明。

　　测评机构登记：备案单位领取到备案后电子版发给测评机构，测评机构在公安系统办理入场测评登记。

　　备案所需材料包括：

　　信息系统等级保护备案表

　　信息系统等级保护定级报告

　　网络与信息安全承诺书

　　营业执照复印件(或执业许可证、事业单位证书、非盈利性机构证书等许可证明)

　　法人身份证复印件

　　被授权人身份证原件及复印件

　　被授权人委托书

　　单位办公地证明(公司或个人办公地址租赁合同或房产证)

　　单位服务器托管协议(在云平台或IDC需提交云平台或IDC的等保备案证明及测评报告首页、基本信息页、盖章页、结论页等)

　　网络安全等级保护应急联系人登记表

　　定级专家评审意见(及专家资质、专家会议签到表)

　　行业主管部门定级审核意见(或上级主管部门定级审核意见)

　　系统使用的安全产品清单及认证、销售许可证明

　　信息安全工作管理制度

　　系统拓扑图及说明

　　系统使用网络IP地址清单

　　备案证明使用承诺书

　　三、等级保护流程五个步骤

　　定级：确定定级对象和系统等级，撰写定级报告，三级等保需组织专家评审。

　　备案：完成定级工作后，运营单位准备相应材料到当地网监部门进行备案，填写备案表并提交材料审核，备案完成后获得备案证明。

　　建设整改：依据等保标准，运营单位进行自查，建设符合等级要求的安全技术防护和安全管理制度。

　　等级测评：建设整改完成后，具有相应资质的测评机构开展测评工作，测评完成后出具测评报告。

　　监督检查：公安网监机关对信息系统实施监督检查，通常三级等保系统每年会检查一次。

　　四、等级保护要注意哪些问题

　　等级测评并非网络安全认证：等级保护测评没有相应的证书，主要由公安部授权委托的测评机构对信息系统进行安全测评，并出具等级保护测评报告。

　　等保制度只是基本要求：企业通过落实等保安全要求，并严格执行安全管理的规章制度，基本能做到系统的安全稳定运行，但不能百分百保证系统的安全性，安全是一个动态而非静止的过程。

　　内网系统也需要做等级测评：等级保护的对象是在中华人民共和国境内建设、运营维护和使用的网络与信息系统，不管是内网还是外网，都需要符合等级保护安全的要求。

　　系统上云或者托管在其他地方也需做等级测评：系统责任主体仍然属于网络运营者自己，企业需承担相应的网络安全责任。

　　不可根据自己的主观意愿来定级：等保2.0之后，定级流程新增了专家评审和主管部门审核两个环节，定级过程更加规范准确。

　　完成备案后，企业需持续优化安全防护体系，定期开展等级测评和整改工作，确保信息系统长期符合等保要求。公安机关将按年度监督检查，企业应积极配合，及时整改安全隐患，保障信息系统稳定运行，避免因违规导致法律责任和业务风险。