等级保护备案上海怎么申请注册？

　　Q：

　　等级保护的流程有哪些？

　　A：

　　根据信息系统等级保护相关标准，等级保护工作总共分五个阶段，分别为：定级、备案
、安全建设、测评、监督检查。

　　Q：

　　等级保护去哪里备案？

　　A：

　　省级：省级单位将定级备案材料交到省公安网安总队进行备案。

　　市级：各地级市的单位将定级备案材料交到各自地级市的网安支队进行备案。

　　县级：先将定级备案材料交到区县网安大队，再由区县网安大队转交地级市网安支队进
行备案。

　　特殊行业按所在行业的要求执行备案。

　　Q：

　　整个周期是多长？其中现场测评时间多长？

　　A：

　　① 整个测评周期包括前期调研、现场测评、后期报告编写等，一般情况下一个二级系
统会占用3~4周，一个三级系统会占用4~5周（指初次测评，不包括整改和加固时间）；

　　② 其中现场测评（指在被测系统单位现场的测评）的时间根据系统的数量而定：一般
一个二级系统会占用3~4个工作日，一个三级系统会占用5~6个工作日（两组同时进行，每组
两人）。

　　因此，如果要完成等保认证，至少需要预留2个月以上的时间来处理。

　　Q：

　　等级保护多久做一次？

　　A：

　　根据《网络安全等级保护条例》（征求意见稿）第二十三条规定：第三级以上网络的运
营者应当每年开展一次网络安全等级测评。二级信息系统建议每两年开展一次测评。

　　Q：

　　系统在云上，还需要做等级保护吗？

　　A：

　　需要。

　　业务上云有多种情况，如在公有云、私有云、专有云和混合云不同属性的云上，并采用
IaaS、PaaS、SaaS、IDC托管等服务，虽然安全责任边界发生了变化，但网络运营者的安全
责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则，应承担网络
安全责任进行等级保护工作。

　　Q：

　　等级保护需要购买很多安全产品吗？

　　A：

　　不一定。

　　具体需要根据企业系统实际情况采购安全产品，盲目采购安全产品会造成不必要的浪费
。创孵猫在整改建设过程中可以根据企业对测评结果需求和现有安全防护措施的实际效果是
否能保证业务抵抗风险，按需求开展安全建设工作。

　　Q：

　　等级保护需不需要XX软件或XX硬件设备？

　　A：

　　等保的指标项参考基本要求项GBT 22239和测评项 GBT 28448；原则上可以通过配置和
自身调整实现的基本要求项和测评项就不需要额外购买软硬件来弥补，如果实在消耗人力和
资源过大和无法通过自身资源调整实现，那快使用的方式就是购买第三方软硬件和服务
来实现该项的要求。

　　Q：

　　等级保护有哪些规范标准？

　　A：

　　等级保护涉及面广，相关的安全标准、规范、指南还有很多正在编制或修订中。常用的
规范标准包括但不限于如下：

　　Q：

　　等级保护完成可以取得哪些证明？

　　A：

　　等级保护工作完成后可获得《信息系统安全等级保护备案证明》和《网络安全等级保护
 XX系统等级测评报告》。等级保护2.0测评终结论分为优、良、中、差四种。

　　Q：

　　等级保护测评结论不符合是不是等级保护工作就白做了？

　　A：

　　不是。

　　等级保护测评结论为“差”，表示目前该信息系统存在高危风险或整体安全性较差，没
有达到相应标准要求。但是这并不代表等级保护工作白做了，即使你拿着不符合的测评报告
，主管单位也是承认你们单位今年的等级保护工作已经开展过了，只是目前的问题较多，没
达到相应的标准，需要抓紧整改。

　　Q：

　　我们公司能不能所有系统为一个整体，来做等级保护？

　　A：

　　等级保护是以信息系统为整体，而不是以公司或部门。

　　比如有一个公司有10个信息系统，那么除去不重要的，还有5个。

　　a、有两个信息系统之间存在较多的数据之间的交互，则可以以一个整体做等级保护；

　　b、如有较少的数据交互或不存在交互，则建议单独定级。

　　Q：

　　不做等级保护会有什么后果？

　　A：

　　我国在2017年已颁布施行《网络安全法》，有法可依，不做等保就等于违法：

　　① 网络运营者不履行《中华人民共和国网络安全法》【第二十一条】规定的网络安全
保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果
的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款；

　　② 关键信息基础设施的运营者不履行《中华人民共和国网络安全法》【第三十四条】
规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害
网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上
十万元以下罚款。

　　因此，建议客户按要求及时改善网络安全设施，尽早做好等保相关服务，以保障网站、
网络安全，防患于未然。

　　Q：

　　如果准备做等级保护，需要递交的备案资料都包括哪些？

　　A：

　　① 《信息系统安全等级保护备案表》（一式两份）；

　　② 《信息系统安全等级保护定级报告》（一个系统一份）；

　　③ 《系统定级评审意见》（或上级主管部门定级审核意见）；

　　④ 相关电子数据等。

　　Q：

　　等级保护测评与整改，完成备案认证需要多少费用？

　　A：

　　不同等级的等级保护要求不同，等级越高需要达到的要求也会越高，需要配备的设备也
会有更多。

　　等级保护测评是需要另外给测评公司支付费用的，测评后做等级保护整改工作也需要一
定的服务费用，此外购置的设备需要根据单位/企业实际情况，具体分析具体评估，根据测
评结果统一整改以达到等保等级要求。因此费用并非是固定不变，每家企业/单位都是不同
的。