企业信息安全等级保护测评认证定级备案内容介绍解答

首先要明确的是，所有网络运营者（网络的所有者、管理者和网络服务提供者）都应当按照网络安全等级保护制度的要求，履行相关的安全保护义务。所以一切具有联网功能的网络信息系统的运营、使用单位或者其主管部门（参照《信息安全等级保护管理办法》规定，统称为“备案主体”），都必须执行网络安全等级保护制度，并根据定级情况履行等定级保备案义务。

值得注意的是，企业必须执行网络安全等级保护制度，但并不一定必须办理公安等保备案。只有运营二级（含）以上网络系统的企业，才需要办理公安等保备案。同时，一级系统和二级系统不需要进行等级测评。

根据《信息安全等级保护管理办法》、《信息安全技术 网络安全等级保护基本要求（送审稿）》等规定，已运营的二级以上信息系统应当在安全保护等级确定后30日内，新建第二级以上信息系统应当在投入运行后30日内，由其运营、使用单位到所在地公安机关办理备案手续。根据等保定级备案实践，企业可以向注册地或者实际经营地所在区网安部门（我们建议向企业网站的公安联网备案的办理机构）递交备案申请，最终由市局审核并出具备案证明。

具体流程方面，各地实际备案流程略有差异。根据上海市的情况，由企业先行确定定级对象及初步的等级，并根据业务及系统实际情况，自行或者委托第三方机构（西安弈聪信息技术有限公司团队可以代为办理）填报《信息系统安全等级保护备案表》及其附表并递交至属地网安部门。网安部门根据申报材料及初步审查情况，对不符合等保要求的，会要求备案单位进行整改（通常是让企业委托第三方测评机构开展网络安全等保测评），整改合格（测评结果合格）的，颁发《信息系统安全等级保护备案证明》。

企业有多个网络系统的，可以集中一次办理等级定级备案，备案长期有效，无需每年办理公安等保定级备案（非测评）。但是如果企业的网络系统发生变更或者定级变更的，应当办理变更手续或者重新办理备案。

还值得注意的是，尽管备案是每个企业备案一次，但是定级是每个系统单独定级，并以较高者确定最终等级。此外，根据备案实践，企业的网络系统（例如公共网站、APP应用、财务系统及CRM系统等）只要具备联网功能，是不论内外网性质均要定级的。例如在备案申请时填报的《信息系统情况》子表中03选项就是“业务类型”，进而区分“内部办公”还是“公众服务”等；05选项就是“系统网络平台”，进而区分“局域网”还是“广域网”等。

法律上第三方测评机构主导的信息系统等保测评，并不是企业开展等保定级备案的一项必经程序，事实上通常仅发生在如下两种情况：（1）公安机关受理后认为企业定级备案需要整改的；（2）三级以上等保单位需要每年测评一次。

企业应当委托具有资质的、当地公安网安部门认可的等保测评机构开展测评。实践中每家测评机构提供的服务范围各不相同，部分测评机构仅提供测评服务，不负责代理备案申报、整改等事务。测评服务费也各有差异，通常情况下二级等保测评约为6-8万（不含整改费用，下同），三级等保测评约为10-15万，具体根据委托企业的行业、系统数量各有差异。测评期限也跟测评机构的业务繁忙程度（例如近期部分测评机构主要忙于互金平台等保测评，普通测评等待时间较长）、测评人员规模各有差异。

具体测评中，测评机构重点关注信息系统的“技术标准”和“管理标准”两项指标。例如“管理标准”指标中，根据等级不同，重点关注企业是否有合规的安全策略、管理制度、应急预案等，以及企业是否有配置合规的网络安全管理岗位、人员，并开展相应的教育培训等。