1、確定定級對象:
:“國家實行網(wǎng)絡安全等級保護制《網(wǎng)絡安全法》第二十一條規(guī)定度”,同時明確了未履行網(wǎng)絡安全保護義務的網(wǎng)絡運營者的法律責任。各行業(yè)主管部門、運營使用單位應組織開展對所屬信息系統(tǒng)的摸底調查,全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務類型、應用或服務范圍、系統(tǒng)結構等基本情況,按照《信息安全等級保護管理辦法》(以下簡稱《管理辦法》)和《網(wǎng)絡安全等級保護定級指南》(以下簡稱《定級指南》)的要求,確定定級對象。
2、初步確定安全保護等級:
各信息系統(tǒng)主管部門和運營使用單位要按照《管理辦法》和《定級指南》,初步確定定級對象的安全保護等級。初步確定信息系統(tǒng)安全保護等級后,聘請專家進行評審。信息系統(tǒng)運營使用單位有上級行業(yè)主管部門的,所確定的信息系統(tǒng)安全保護等級應當報上級行業(yè)主管部門審批同意。
初步確定的定級結果,應當提交機關進行備案審查。
3、等級備案:
根據(jù)《管理辦法》,信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)運營使用單位或主管部門,應當在安全保護等級確定后30日內(nèi),到當?shù)貦C關網(wǎng)安部門辦理備案手續(xù)。新建第二級以上信息系統(tǒng),應當在投入運行后30日內(nèi),由其運營、使用單位到當?shù)貦C關網(wǎng)安部門辦理備案手續(xù)。
機關網(wǎng)安部門經(jīng)審查,符合等級保護要求的第二級以上信息系統(tǒng),應當在收到備案材料起的10個工作日內(nèi)向備案單位頒發(fā)信息系統(tǒng)安全保護等級備案證明(備案證明由統(tǒng)一監(jiān)制)。
4、建設整改及測評:
定級對象的運營和使用單位根據(jù)機關定級審查的結果,按照《信息安全技術網(wǎng)絡安全等級保護基本要求》(GB/T 22239-2019)的相關要求,在測評機構和相關技術支持單位的指導下,開展系統(tǒng)的安全建設及整改工作。
5、監(jiān)督檢查:
機關全程負責信息安全等級保護工作的督促、檢查和指導;機關工作中發(fā)現(xiàn)不符合管理規(guī)范和技術標準的,應當發(fā)出整改通知要求整改。