1. 定级备案
信息系统运营使用单位需要按照《信息系统安全等级保护定级指南》自主确定信息系统的安全保护等级。这一步骤是基础,因为后续的所有操作都基于这个等级来展开。如果系统隶属于中央的在京单位,并且跨省或全国统一联网运行,由主管部门统一定级,则需要向公安部办理备案手续。对于跨省或全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地的市级以上公安机关备案。
2. 编制定级报告和备案材料
在定级之后,需要编写定级报告和备案表等相关材料,并提交至公安机关进行备案。这些材料通常包括《单位基金情况》、《信息系统情况》、《信息系统定级情况》以及其他相关的证明材料。
3. 建设整改
接着,需要对系统进行测评调研,开展风险评估、漏洞扫描、渗透测试等多项差距评估。如果不满足要求,会出具整改建议。这一阶段的目标是通过整改来提高系统的安全性,使之符合预定的安全保护等级。
4. 等保测评
在完成整改后,对系统进行全方面的测评。测评的内容包括安全控制测评和系统整体测评两个方面,前者主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;后者主要测评分析信息系统的整体安全性。
5. 监督检查
Zui后,公安机关会依据信息安全等级保护管理规范,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。