等保测评建设整改和备案

计算机信息系统规划、设计、建设和维护应当同步落实相应的安全措施。运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。

在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术网络基础安全技术要求》(GB/T20270-2006)、《信息安全技

术操作系统安全技术要求》(GB/T20272-2006)《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。

运营、使用单位应当参照《信息安全技术信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。

一、总体要求

新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

二、备案管辖

(一)管辖原则。

备案管辖分工采取级别管辖和属地管辖相结合。

(二)中央在京单位。

隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由公安部公共信息网络安全监察局受理备案，其他信息系统由北

京市公安局公共信息网络安全监察部门(简称网监部门，下同)受理备案。

(三)中央驻粤及省直国有单位。

隶属中央或省的驻穗国有单位的信息系统，由省公安厅网警总队受理备案。上述单位在各地运行、维护的分支系统由其在各地的分支机构报所在地地级以上市公安机关网监部门备案。

(四)其他单位。

其他单位的信息系统由所在地地级以上市公安机关网监部门备案。

三、备案流程

(一)备案时限。

信息系统运营、使用单位或者其主管部门(以下简称“备案单位”)应当在信息系统设计阶段确定信息系统安全保护等级，并在安全保护等级确定后30日内，到公安机关网监部门办理备案手续。

(二)备案申请。

办理备案手续，应当到公安机关指定网址下载信息安全等级保护备案软件，利用该软件填写生成《信息系统安全等级保护备案表》(简称《备案表》，下同)

表一、表二、表三纸质WORD格式文档一式两份和电子数据(RAR格式)，并准备好相关附件(一式两份)，向公安机关网监部门提出备案申请。第三级以上信息系统应当同时提供以下材料:

1.系统拓扑结构及说明;

2.系统安全组织机构和管理制度;

3.系统安全保护设施设计实施方案或者改建实施方案:

4.系统使用的信息安全产品清单及其认证、销售许可证明:

5.测评后符合系统安全保护等级的技术检测评估报告:

6.信息系统安全保护等级专家评审意见:

7.主管部门审核批准信息系统安全保护等级的意见。

四、备案审核

公安机关网监部门收到申请材料后，应当在10个工作日内进行审查。对符合要求的，公安机关网监部门应当在《备案表》加盖公共信息网络安全监察专用章并将其中一份反馈备案单位，并出具《信息系统安全等级保护备案证明》(以下简称《备案证明》)。《备案证明》由公安部统一监制。对不符合要求的，公

安网监部门应当出具《信息系统安全等级保护备案审核结果通知》，通知备案单位进行整改。其中，对定级不准的备案单位，在通知整改的同时，应当建议备案单位重新定级。

五、变更备案

《备案表》所载事项发生变更，备案单位应当自变更之日起30日内重新填写《备案表》报公安机关网监部门备案。其中，变更事项涉及《备案证明》的，公机关网监部门应当重新颁布《备案证明》。

六、重新备案

运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。

等保备案如何做

一、总体要求

新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

二、备案管辖

(一)管辖原则。

备案管辖分工采取级别管辖和属地管辖相结合。

(二)中央在京单位。

隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由公安部公共信息网络安全监察局受理备案，其他信息系统由北

京市公安局公共信息网络安全监察部门(简称网监部门，下同)受理备案。

(三)中央驻粤及省直国有单位。

隶属中央或省的驻穗国有单位的信息系统，由省公安厅网警总队受理备案。上述单位在各地运行、维护的分支系统由其在各地的分支机构报所在地地级以上市公安机关网监部门备案。

(四)其他单位。

其他单位的信息系统由所在地地级以上市公安机关网监部门备案。

二、备案流程

(一)备案时限。

信息系统运营、使用单位或者其主管部门(以下简称“备案单位”)应当在信息系统设计阶段确定信息系统安全保护等级，并在安全保护等级确定后30日内，到公安机关网监部门办理备案手续。

(二)备案申请。

办理备案手续，应当到公安机关指定网址下载信息安全等级保护备案软件，利用该软件填写生成《信息系统安全等级保护备案表》(简称《备案表》，下同)

表一、表二、表三纸质WORD格式文档一式两份和电子数据(RAR格式)，并准备好相关附件(一式两份)，向公安机关网监部门提出备案申请。第三级以上信

息系统应当同时提供以下材料:

1.系统拓扑结构及说明;

2.系统安全组织机构和管理制度;

3.系统安全保护设施设计实施方案或者改建实施方案:

4.系统使用的信息安全产品清单及其认证、销售许可证明:

5.测评后符合系统安全保护等级的技术检测评估报告:

6.信息系统安全保护等级专家评审意见:

7.主管部门审核批准信息系统安全保护等级的意见。

四、备案审核

公安机关网监部门收到申请材料后，应当在10个工作日内进行审查。对符合要求的，公安机关网监部门应当在《备案表》加盖公共信息网络安全监察专用章并将其中一份反馈备案单位，并出具《信息系统安全等级保护备案证明》(以下简称《备案证明》)。《备案证明》由公安部统一监制。对不符合要求的，公

安网监部门应当出具《信息系统安全等级保护备案审核结果通知》，通知备案单位进行整改。其中，对定级不准的备案单位，在通知整改的同时，应当建议备案单位重新定级。

五、变更备案

《备案表》所载事项发生变更，备案单位应当自变更之日起30日内重新填写《备案表》报公安机关网监部门备案。其中，变更事项涉及《备案证明》的，公机关网监部门应当重新颁布《备案证明》。

六、重新备案

运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。