1、确定定级对象:
“国家实行网络安全等级保护制《网络安全法》第二十一条规定度”,同时明确了未履行网络安全保护义务的网络运营者的法律责任。各行业主管部门、运营使用单位应组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》(以下简称《管理办法》)和《网络安全等级保护定级指南》(以下简称《定级指南》)的要求,确定定级对象。
2、初步确定安全保护等级:
各信息系统主管部门和运营使用单位要按照《管理办法》和《定级指南》,初步确定定级对象的安全保护等级。初步确定信息系统安全保护等级后,聘请专家进行评审。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。
初步确定的定级结果,应当提交机关进行备案审查。
3、等级备案:
根据《管理办法》,信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门,应当在安全保护等级确定后30日内,到当地机关网安部门办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到当地机关网安部门办理备案手续。
机关网安部门经审查,符合等级保护要求的第二级以上信息系统,应当在收到备案材料起的10个工作日内向备案单位颁发信息系统安全保护等级备案证明(备案证明由统一监制)。
4、建设整改及测评:
定级对象的运营和使用单位根据机关定级审查的结果,按照《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)的相关要求,在测评机构和相关技术支持单位的指导下,开展系统的安全建设及整改工作。
5、监督检查:
机关全程负责信息安全等级保护工作的督促、检查和指导;机关工作中发现不符合管理规范和技术标准的,应当发出整改通知要求整改。