《網(wǎng)絡(luò)安全法》 明確規(guī)定信息系統(tǒng)運營、使用單位應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度要求，履行安全保護(hù)義務(wù)，如果拒不履行，將會受到相應(yīng)處罰。安徽等級保護(hù)建設(shè)流程為：定級、備案、安全建設(shè)、等級測評、監(jiān)督檢查。
 
下面，等級保護(hù)標(biāo)準(zhǔn)制定的參與者，將結(jié)合等保2.0三大核心標(biāo)準(zhǔn)： 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》以及《GBT 22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》，為安徽各企事業(yè)單位提供信息安全等級保護(hù)辦理指南，最快情況下，30天內(nèi)就可拿證。
 
一、安徽企業(yè)如何進(jìn)行等級保護(hù)定級？
 
1、等保定級流程
 
等保定級工作依照以下流程開展：確定定級對象→初步確定等級→專家評審→主管部門審批→公安機(jī)構(gòu)備案審查→最終確定的級別。
 
①專家評審指定級對象的運營、使用單位組織信息安全專家和業(yè)務(wù)專家，對初步定級結(jié)果的合理性進(jìn)行評審，出具專家評審意見。
②主管部門審核指定級對象的運營、使用單位應(yīng)初步定級結(jié)果上報行業(yè)主管部門或上級主管部門進(jìn)行審核。
③公安機(jī)關(guān)備案審查指定級對象的運營、使用單位應(yīng)按照相關(guān)管理規(guī)定，將初步定級結(jié)果提交公安機(jī)關(guān)進(jìn)行備案審查。如果審查不通過，其運營使用單位應(yīng)組織重新定級。審查通過才能最終確定定級對象的所屬等級。
 
2、信息系統(tǒng)級別怎么確定？
 
根據(jù)等級保護(hù)相關(guān)管理文件，等級保護(hù)對象的安全保護(hù)等級一共分五個級別，從一到五級別逐漸升高。等級保護(hù)對象的級別由兩個定級要素決定：①受侵害的客體；②對客體的侵害程度。信息系統(tǒng)級別不能由企業(yè)想當(dāng)然的決定。
 
3、定級對象如何確定？
 
可參考以下內(nèi)容確定定級對象：
①起到支撐和傳輸作用的基礎(chǔ)信息網(wǎng)絡(luò)是需要定級對象。
②包括網(wǎng)管系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)（專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)等）都要作為定級對象。
③各單位網(wǎng)站要作為獨立的定級對象。不過安全級別較高的網(wǎng)站后臺的數(shù)據(jù)庫管理系統(tǒng)，需要作為獨立的定級對象。
④不同業(yè)務(wù)類別的應(yīng)用系統(tǒng)需要分別作為獨立的定級對象，不能以系統(tǒng)是否有數(shù)據(jù)交換或獨享設(shè)備作為確定標(biāo)準(zhǔn)。
⑤確認(rèn)組織需要定級的系統(tǒng)有專門的業(yè)務(wù)主管，以便運維部門（例如信息中心、托管方）可以協(xié)助該組織的業(yè)務(wù)門開展后續(xù)等保工作。
⑥具備信息系統(tǒng)的基本要素，避免將服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等單一的系統(tǒng)組件作為定級對象。
 
4、信息系統(tǒng)級別的確定與審批
 
如果運行的信息系統(tǒng)是跨省或者全國統(tǒng)一聯(lián)網(wǎng)的，可由主管部門統(tǒng)一確定保護(hù)等級。其中兩點需要注意：
①全國聯(lián)網(wǎng)系統(tǒng)的保護(hù)策略是由各行業(yè)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)的，需要分別讓行業(yè)的主管部門確定等級。
②信息系統(tǒng)是全國聯(lián)網(wǎng)由各行業(yè)統(tǒng)一規(guī)劃、分級建設(shè)的，應(yīng)該由部、省、地市分別對系統(tǒng)等級進(jìn)行確定，各行業(yè)的主管部門只對系統(tǒng)提出定級意見，但不應(yīng)出現(xiàn)同類系統(tǒng)下級定級高于上級的情況。
③如果出現(xiàn)部、省、市行政級別的降低的情況，同類信息系統(tǒng)的安全保護(hù)等級不能降低。
 
5、誰對定級負(fù)責(zé)任？
 
企業(yè)（運營使用單位）和主管部門需要配合信息安全監(jiān)管部門做好信息系統(tǒng)的安全工作，一旦發(fā)生安全問題，這三方都是需要承擔(dān)責(zé)任的，不過企業(yè)和主管部門需要負(fù)主要責(zé)任。“誰主管誰負(fù)責(zé)、誰運維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”。
 
二、廣州市企業(yè)如何進(jìn)行等級保護(hù)備案？
 
根據(jù)《信息安全等級保護(hù)管理辦法》、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求（送審稿）》等規(guī)定，已運營的二級以上信息系統(tǒng)應(yīng)當(dāng)在安全保護(hù)等級確定后10日內(nèi)，新建第二級以上信息系統(tǒng)應(yīng)當(dāng)在投入運行后10日內(nèi)，由其運營、使用單位到所在地公安機(jī)關(guān)辦理備案手續(xù)。
 
企業(yè)最終確定信息系統(tǒng)安全保護(hù)等級之后，就可以準(zhǔn)備對應(yīng)材料到公安機(jī)關(guān)進(jìn)行備案。備案所需材料主要是《信息安全等級保護(hù)備案表》，不同級別的信息系統(tǒng)需要的備案材料有所差異。
 
二級及其以上的信息系統(tǒng)運行使用單位或主管部門在備案時需要提交的資料有：① 信息系統(tǒng)安全定級報告紙質(zhì)材料，一式兩份；② 信息系統(tǒng)安全備案表紙質(zhì)材料，一式兩份；③上述備案的電子檔，并制作出光盤提交。
 
第三級以上信息系統(tǒng)同時提供以下材料：（一）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明；（二）系統(tǒng)安全組織機(jī)構(gòu)和管理制度；（三）系統(tǒng)安全保護(hù)設(shè)施設(shè)計實施方案或者改建實施方案；（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明；（五）測評后符合系統(tǒng)安全保護(hù)等級的技術(shù)檢測評估報告；（六）信息系統(tǒng)安全保護(hù)等級專家評審意見；（七）主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級的意見。
 
此外，企業(yè)有多個網(wǎng)絡(luò)系統(tǒng)的，可以集中一次辦理等級定級備案，備案長期有效，無需每年辦理公安等保定級備案。但是，如果企業(yè)的網(wǎng)絡(luò)系統(tǒng)發(fā)生變更或者定級變更的，應(yīng)當(dāng)辦理變更手續(xù)或者重新辦理備案。
 
三、安徽企業(yè)如何進(jìn)行等級保護(hù)安全建設(shè)（整改）？
 
等級保護(hù)安全建設(shè)即等級保護(hù)整改，指按照等級保護(hù)建設(shè)要求，對信息和信息系統(tǒng)進(jìn)行的網(wǎng)絡(luò)安全升級，包括技術(shù)層面整改（比如設(shè)備缺失）和管理層面整改（比如安全管理人員建設(shè)）。企業(yè)可以自己進(jìn)行整改，也可以委托專業(yè)的第三方進(jìn)行整改。我們?yōu)榘不掌髽I(yè)提供專業(yè)的等保整改服務(wù)，能根據(jù)企業(yè)實際情況定制方案，盡可能為企業(yè)省錢。
 
四、安徽企業(yè)如何進(jìn)行等級保護(hù)測評？
 
根據(jù)等保2.0規(guī)定，二級及以上的信息系統(tǒng)必須進(jìn)行等級測評，且等級測評得分在70分以上、系統(tǒng)沒有高風(fēng)險項才算通過。測評和整改不同，進(jìn)行測評的單位需要具備測評資質(zhì)。也因此，企業(yè)需要尋找專業(yè)的測評機(jī)構(gòu)來進(jìn)行測評。安徽企事業(yè)單位可以參考國家網(wǎng)絡(luò)安全等級保護(hù)工作協(xié)調(diào)小組辦公室推薦測評機(jī)構(gòu)名單來進(jìn)行選擇。
 
測評機(jī)構(gòu)測評結(jié)束之后，會根據(jù)公安機(jī)關(guān)提供的模板出具測評報告，測評報告上面就有測評得分。測評報告主要涉及內(nèi)容有：①物理安全測評；②網(wǎng)絡(luò)安全測評、數(shù)據(jù)安全測評；③主機(jī)安全測評、數(shù)據(jù)安全測評；④應(yīng)用安全測評、數(shù)據(jù)安全測評；⑤安全管理測評。主要測評對象為與信息安全管理有關(guān)的策略、制度、操作規(guī)程、運行記錄、管理人員、技術(shù)人員等。測評報告也需要提交公安機(jī)關(guān)。
 
最后，企業(yè)通過等級測評之后，還要接受公安機(jī)關(guān)不定期的監(jiān)督檢查。