网络安全等级保护定级备案流程包括:确定定级对象、确定信息系统级别、确定系统服务等级、确定业务信息等级、确定信息系统级别、专家评审与审批、主管单位审批。
1、确定定级对象
各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求确定定级对象。
2、确定信息系统级别
各信息系统主管部门和运营使用单位要按照《管理办法》和《定级指南》,初步确定定级对象的安全保护等级。
3、确定系统服务等级
系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定。
4、确定业务信息等级
业务信息安全是指确保信息系统内信息的保密性、完整性和可用性等。业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
5、确定信息系统级别
SAG的级别,其中S为业务信息等级,A为系统服务等级,G取两者中大的。
6、专家评审与审批
《信息安全等级保护管理办法》第十条信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
初步确定信息系统安全保护等级后,可以聘请专家进行评审。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。
7、主管单位审批
没有主管单位的,或者感觉系统就是自己用不需要主管单位批准的完全可以省略这一步。目前大部分的主管单位其实不想掺合各下属单位定级备案,怕负责任吧。