各单位首先要确定定级对象，然后需要对自己单位的所有系统进行梳理，对每一个系统进行一个初步预定级，如果认为该系统应该为二级以上，就应该进行专家评审，但是很多单位对于自己单位的系统认识不够，所以建议所有的系统都应该做专家评审。

避免出现二级（含二级）以上系统没有定级备案的情况，避免因为信息系统没有定级备案而被违法处罚。专家评审后有主管部门的报主管部门审核，审核后出具定级审批意见后，报给公安机关备案审查，公安机关属于终审，如果公安机关认为仍然定级不准备，则重新调整回到第一步。公安机关审核通过后，最终确定等级，出具备案证明。

各个行业都有各自的行业标准，比如电力，金融，航空，医疗等，但是所有的标准必须尊从网络安全等级保护的标准，除非行业标准高于等保标准。即便是行业标准高于等保标准，公安机关也是按照等保标准而不是行业标准去执法。

专家评审注意问题：

1.专家评审的时候，不是审查备案表和定级报告的瑕疵，文件的毛病，不是看系统的安全性和否缺少了什么安全防护设备。

2.专家的主要职责是根据系统的重要程度，根据系统被破坏后产生的影响后果去确定系统的级别，这才是专家评审的意义。其实系统定级是一件比较难，也非常重要的工作。系统级别确定后，系统就要按照这个标准去建设，去防护。

3.专家评审时，应该对系统的边界划分清楚。有些单位习惯把一些系统合并成为一个系统，专家应该审核这种合并的合理性。

4.在评审表中应该考虑系统服务安全和系统业务安全，并认清对应的级别。

5.在评审时，很多单位会把所有的系统都拿出来评审，对于认定为一级的系统也应该在专家评审意见中写明原因。不能只写二级以上的评审意见。

系统定级仍然可以参考公安部2007年7月下发的《等级保护实施主要技术环节说明》。

作为定级对象的信息系统应具有如下基本特征：

a)  具有确定的主要安全责任主体；

b)  承载相对独立的业务应用；

c)  包含相互关联的多个资源。

注1：主要安全责任主体包括但不限于企业、机关和事业单位等法人，以及不具备法人资格的社会团体等其他组织；

注2：避免将某个单一的系统组件，如服务器、终端或网络设备作为定级对象。

如需等保测评服务，可后台私信联系。陆陆信息科技，整合云安全产品的技术优势，联合优质等保咨询、等保测评合作资源，提供等保项目的一站式服务，全面覆盖等保定级、备案、建设整改以及测评阶段，高效通过等保测评，落实网络安全等级保护工作。