网络安全等级保护定级备案一定要测评报告吗

A. 网络安全等级保护定级备案怎么办理

等保测评工作的主体第三方测评机构，测评机构应当对等保2.0涉及到的云计算、物联网、工控等新型系统具有充足的工作能力。
等保专业测评工作中是这项对实践经验规定较强的工作中，必须专业测评组织和工作人员在实践活动全过程中连续不断积淀和健全各种专业测评方式，标准专业测评主题活动。测评机构的权威性、公正性和质量保证，是维持测评机构生存的基础，也是保证测评数据、测评结论客观、准确的基础。

B. 信息系统的信息安全等级保护的测评是必须的吗有没有专门的出台了法律法规监管细则规范了这件事

1、能不能自己测评要看你的等级保护备案时的级别，2级以上都要公安部门和上级主管部门测评的。
2、等保很多要求标准在不断修改中，建议在对自己的信息安全整改过程中，引入有资质的第三方，这样会比较容易些。 二级及以下可以自己测评，也可以不做测评。3级以上必须经过测评。

《信息安全等级保护管理办法》第十四条第一款规定： 信息系统安全保护等级为第三级的信息系统应当每年至少进行一次等级测评。

C. 如何进行信息系统安全等级保护备案

信息系统安全等级保护备案办理流程：

1、摸底调查：摸清信息系统底数，掌握信息系统的业务类型、应用或服务范围、系统结构等基本情况。

2、确立定级对象：应用系统应按照业务类别不同单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象。

3、系统定级：定级是信息安全等级保护工作的首要环节，是开展信息系统安全建设、等级测评、监督检查等工作的重要基础。

4、专家批审和主管部门审批：运营使用单位或主管部门在确定系统安全保护等级后，可以聘请专家进行评审。

5、备案：备案单位准备备案工具，填写备案表，生成备案电子数据，到公安机关办理备案手续。

6、备案审核：受理备案的公安机关要及时公布备案受理地点、备案联系方式等，对备案材料进行完整性审核和定级准确审核。

7、系统测评：第三级以上信息系统按《信息系统安全等级保护备案表》表四的要求提交01-07共七分材料。

8、整改实施：根据测评结果进行安全要求整改。

注释：不同地区，办理的条件及要求会有所不同。

D. 网站公安备案已通过,为什么还需要安全评估报告

等保备案，全称为“网站和信息系统等级保护备案定级测评”，是对网站安全性和业务连续性的一个认定，防止网页篡改、数据泄露等情况的发生。主要由于现在互联网安全的形式不容乐观，受facebook用户数据泄露影响，欧盟也推出了史无前例严格的GDPR数据保护条例。

怎么做等保备案？涉及到比较多的流程步骤，具体参照当地公安机关出具的文档文件，下图为上海公安机关出具的备案文件，供参考。其中，“具备资质的测评机构”为指定的，且需要支付一笔不小的费用（以万元为单位）

现实如何？据我们观察，目前绝大多数网站只有ICP备案，做了公安备案的都比较少，更不说做过等保备案的了。

E. 信息系统安全等级保护定级工作是一项什么样的工作需要做哪些工作

你好，我国实行网络安全等级保护制度，网络运营单位都要按要求落实等级保护工作。什么是等级保护呢？简而言之，就是对信息和信息载体按照重要性等级分级别进行保护。就我国目前的情况而言，信息和信息载体的保护等级分为五个级别，从一到五级别逐渐升高。网络运营单位的信息和信息载体属于哪一个等级，就要按照这个等级的要求来做等级保护工作。

等级保护需要做哪些工作呢？

一般来说，等级保护工作包含定级、备案、安全建设、等级测评、监督检查五个环节，下面我将依照等保2.0标准，对三级等保办理流程做详细解读：

1、系统定级

等保办理的第一步是确定企业信息系统的安全保护等级。根据等保2.0定级指南，云计算、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施以及数据资源等系统属于强制定级备案的范畴。其他团体，比如公益组织和中小私营企业，原则上也要进行定级备案。

同时，根据相关规定，定级对象具有以下三大基本特征：

①具有确定的主要安全责任主体；

②承载相对独立的业务应用；

③包含相互关联的多个资源。

如果企业的系统有以上特征，那么就算系统再小，也需要进行定级备案。简而言之，互联网上的系统差不多都要进行定级备案。

那么，等保定级究竟怎么定呢？根据等级保护相关管理文件，等级保护对象的安全保护等级一共分五个级别，从一到五级别逐渐升高。等级保护对象的级别由两个定级要素决定：①受侵害的客体；②对客体的侵害程度。对于关键信息基础设施，“定级原则上不低于三级”，且第三级及以上信息系统每年或每半年就要进行一次测评。

定级流程：确定定级对象→初步确定等级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别。

2、系统备案

根据《网络安全法》规定：

①已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内（等保2.0相关标准已将备案时限修改为10日内），由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

②新建第二级以上信息系统，应当在投入运行后30日内（等保2.0相关标准已将备案时限修改为10日内），由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

③隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。

④跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。

企业最终确定保护对象的级别以后，就可以到公安机关进行备案。备案所需材料主要是《信息安全等级保护备案表》，不同级别的信息系统需要的备案材料有所差异。第三级以上信息系统需提供以下材料：（一）系统拓扑结构及说明；（二）系统安全组织机构和管理制度；（三）系统安全保护设施设计实施方案或者改建实施方案；（四）系统使用的信息安全产品清单及其认证、销售许可证明；（五）测评后符合系统安全保护等级的技术检测评估报告；（六）信息系统安全保护等级专家评审意见；（七）主管部门审核批准信息系统安全保护等级的意见。

3、安全建设（整改）

等级保护整改是等保建设的其中一个环节，指按照等级保护建设要求，对信息和信息系统进行的网络安全升级，包括技术层面整改和管理层面整改。整改的最终目的就是为了提高企业信息系统的安全防护能力，让企业可以成功通过等级测评。

等级保护整改没有什么资质要求，只要公司可以按照等级保护要求来进行相关网络安全建设，由谁来实施，是没有要求的。但由于目前企业网络安全人才紧缺，企业很多时候都需要寻找专业的网络安全服务公司来进行整改。

整改主要分为管理整改和技术整改。管理整改主要包括:明确主管领导和责任部门，落实安全岗位和人员，对安全管理现状进行分析，确定安全管理策略，制定安全管理制度等。其中，安全管理策略和制度又包括人员安全管理事件处置、应急响应、日常运行维护设备、介质管理安全监测等。

技术整改主要是指企业部署和购买能够满足等保要求的产品，比如网页防篡改、流量监测、网络入侵监测产品等。

4、等级测评

等级测评指经公安部认证的具有资质的测评机构，依据国家信息安全等级保护规范规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。

根据规定，对信息系统安全等级保护状况进行的测试应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

二级及以上的信息系统都要做等级测评，且等级测评得分要在70分以上，并且没有高风险项才算通过。等级测评结束后，测评机构会出具测评报告。企业需要把测评报告提交给公安机关，才算真正落实了等级保护工作。

5、监督检查

企业要接受公安机关不定期的监督和检查，对公安机关提出的问题予以改进。

F. 有没有详细的网络安全等级保护流程介绍谢谢了。

开展网络安全等级保护工作的五个规定基本动作：定级、备案、建设整改、等级测评、监督检查。具体细节：

定级阶段：

网络运营者确定等级保护对象，明确定级对象，梳理等级保护对象受到破坏时所侵害的客体及对客体造成侵害的程度。

备案阶段：

第二级及以上网络运营者在定级、撤销或变更调整网络安全保护等级时，在明确安全保护等级后需在10个工作日内，到县级以上机关备案，提交相关材料。

建设整改阶段：

安全建设整改工作分五步进行：

落实安全建设整改工作部门，建设整改工作规划，进行总体部署;
确定网络安全建设需求并论证;
确定安全防护策略，制定网络安全建设整改方案
根据网络安全建设整改方案，实施安全建设工程;
开展安全自查和等级测评，及时发现安全风险及安全问题，进一步开展整改。

注意：全国各地区政策不一样，以实际情况为准。

等级测评阶段：

网络安全等级保护测评过程分为4个基本活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。

监督检查阶段：

每年至少开展一次安全检查，涉及相关行业的可以会同其行业主管部门开展安全检查。必要时，机关可以委托社会力量提供技术支持。

以上都是摘自时代新威官网，里面等保干货非常多，解释更加规范、准确。

G. 信息安全等级保护测评备案的要求有哪些

第一步：定级
定级的依就是《信息系统安全等级保护定级指南》。定级的原则是“自主定级”，因为系统在遭受破坏后造成多大影响自己最清楚。确定等级后起草“定级报告”，定级报告模版网络文库里可以搜到。
第二步：准备备案材料
备案所需材料主要是《信息安全等级保护备案表》，备案表模版网络文库里可以搜到。每个系统填写一份备案表，其中二级系统只需要填写备案表的表一、表二和表三；三级系统需要填写表一、表二、表三和表四。
第三步：等级测评
二级系统不需要进行等级测评即可进行备案；三级系统需要有资质的测评机构进行测评并出具测评报告，测评报告作为备案材料之一（备案表表四中有明确说明）进行备案。
第四步：提交备案材料
将《信息安全等级保护备案表》打印一式两份盖章，连同一份电子版提交到当地地市级以上公安局网监支队（现在叫网安支队），在审批结束后会为你出具《信息安全等保保护备案证明》，备案工作结束。

H. 等级保护必须要做么找谁做

等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。

企业办理等级保护的原因：

1、通过等级保护工作发现单位信息系统存在的安全隐患和不足，进行安全整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险，维护单位良好的形象。

2、等级保护是我国关于信息安全的基本政策，国家法律法规、相关政策制度要求单位开展等级保护工作。如《网络安全等级保护管理办法》和《中华人民共和国网络安全法》。

3、很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育等行业等。

4、落实个人及单位的网络安全保护义务，合理规避风险。

等级保护总共分为5级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

I. 网站公网安备、ICP备案及国家信息安全等级保护定级备案各是什么他们中间有什么关系吗谢谢

网络安全等级保护是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。

企业办理等级保护的作用：

1.建立有效的网络安全防御体系（让客户的系统真正具有安全防御的能力）

2. 完成信息系统等级保护公安备案（取得备案证明） ，顺利通过网络安全等级保护测评（取得测评报告）

3 满足相关部门的合规性要求（包括国家的政策，法律法规的要求，还有上级部门的要求，还有甲方客户的要求等）

4. 系统过了等保，一定程度上可以提高企业投标锁标的能力，为投标加分

证书案例