根据信息系统等级保护相关标准，等级保护工作总共分五个阶段。等级保护的第一步是定级与备案。运营单位需根据系统重要性自主确定安全保护等级，三级及以上系统需组织专家评审并报主管部门审批。定级后，需准备《信息系统安全等级保护备案表》等材料，向所在地公安机关网安部门提交备案申请，公安机关审核通过后颁发备案证明。

　　一、等级保护的步骤是什么?

　　等级保护的实施需遵循定级、备案、建设整改、等级测评、监督检查五个核心步骤，形成闭环管理：

　　1.定级

　　自主定级与专家评审：运营单位根据《网络安全等级保护定级指南》，结合系统业务信息重要性、服务范围及受破坏后的影响程度，初步确定安全保护等级。对于三级及以上系统，需组织行业专家、技术骨干进行评审，形成《定级报告》，并报上级主管部门审批。

　　公安机关备案审查：定级结果需提交至所在地设区的市级以上公安机关网安部门备案，公安机关对定级合理性进行审查，最终确认系统等级。

　　2.备案

　　材料准备与提交：运营单位需准备《信息系统安全等级保护备案表》、定级报告、系统拓扑图、安全管理制度等材料，提交至公安机关网安部门。

　　审核与发证：公安机关在10-15个工作日内完成审核，材料齐全且合规的，发放《信息系统安全等级保护备案证明》，作为系统合法合规的凭证。

　　3.建设整改

　　差距分析与整改规划：依据等保标准，运营单位需对系统进行全面自查，识别安全技术措施和管理制度的缺失或不足，制定整改方案。

　　安全建设与制度完善：根据整改方案，采购安全设备、部署安全软件、优化网络架构，同时完善安全管理制度，明确岗位职责、操作流程和监督机制。

　　4.等级测评

　　测评机构选择与委托：运营单位需委托具有公安部认证资质的测评机构开展测评。测评机构需在网络安全等级保护测评机构服务认证获证机构名录中。

　　现场测评与报告编制：测评机构通过漏洞扫描、渗透测试、代码审计等手段，对系统安全技术防护和管理制度执行情况进行检测，编制《等级测评报告》，明确系统是否符合等保要求，并提出改进建议。

　　5.监督检查

　　公安机关定期检查：公安机关网安部门对已备案系统进行年度监督检查，重点检查安全技术措施落实情况、管理制度执行情况及测评报告整改情况。

　　持续优化与动态调整：运营单位需根据监督检查反馈，持续优化安全防护体系，适应业务变化和技术发展，确保系统长期符合等保要求。

　　二、等级保护的实施周期

　　等级保护的实施周期因系统规模、复杂度及整改难度而异，通常需3-6个月完成全流程：

　　定级与备案：1-2个月，含专家评审、材料准备及公安机关审核。

　　建设整改：1-3个月，依系统差距大小而定，需采购设备、部署软件、完善制度。

　　等级测评：1个月，含现场测评、报告编制及整改复测。

　　监督检查：年度循环，公安机关每年开展一次检查。

　　三、等级保护测评的费用

　　等级保护测评费用受系统等级、规模、复杂度及地区差异影响，具体如下：

　　二级系统：费用范围1.5万-5万元人民币，平均3万元左右。适用于一般信息系统，如小型企业官网、内部办公系统。

　　三级系统：费用范围3万-20万元人民币，平均7万-10万元。适用于金融、医疗、能源等高安全需求行业，如网上银行、电子病历系统、电力调度系统。

　　四级及以上系统：费用需根据具体系统情况和服务商报价确定，通常涉及国家级重要基础设施，如核设施控制系统、国家关键信息基础设施核心子系统。

　　费用影响因素：

　　系统规模与复杂度：服务器数量、网络拓扑复杂度、数据资产敏感度直接影响测评工作量。

　　地区差异：一线城市因人力成本较高，测评费用可能上浮20%-30%。

　　服务商资质与口碑：具备国家/行业认可资质的测评机构，因品牌溢价和服务质量，收费可能高于普通机构。

　　额外服务需求：如密码应用评估、渗透测试深度扩展、整改指导等，可能产生额外费用。

　　等级保护的核心步骤是建设整改、等级测评与监督检查。依据等保标准，运营单位需采购安全设备、部署软件、完善制度，完成系统整改。随后委托具有资质的测评机构开展测评，验证系统是否符合要求。公安机关定期对系统进行监督检查，确保安全措施持续有效。