上海等保测评备案办理流程及办理部门揭秘

上海等保测评备案办理全流程及办理部门揭秘

在网络安全备受重视的当下，上海地区的信息系统运营使用单位若想保障系统安全、合规运营，办理等保测评备案是关键一步。那么，究竟该如何办理？又在哪个部门办理呢？接下来将为你详细介绍。

一、上海等保测评备案办理流程（一）确定定级对象

全面开展对所属信息系统的摸底调查，深入了解信息系统的数量，明确其分布在公司的哪些部门和区域。界定业务类型，例如判断是政务办公、金融交易，还是电商销售类业务。清晰掌握应用或服务范围，确定是面向本地、全国，还是特定行业用户。细致梳理系统结构，涵盖硬件架构中服务器、存储设备的配置，软件架构中各类应用程序的部署，以及网络拓扑结构中网络设备的连接方式等情况。以一家综合性企业集团为例，需要对旗下的办公自动化系统、财务管理系统、供应链管理系统等进行详细梳理，明确各系统的功能、用户群体及数据交互关系。

依据《信息安全等级保护管理办法》和《网络安全等级保护定级指南》的要求，应用系统通常按照业务类别不同单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为依据。比如，一个多功能的在线教育平台，其课程直播系统、学生作业批改系统、教师管理系统等，即便存在数据共享和设备共用的情况，在确定定级对象时，也需分别将这些系统独立对待。

（二）初步确定安全保护等级

综合考量信息系统所处理数据的重要性、系统服务的对象范围，以及系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益造成的影响等多方面因素，初步确定定级对象的安全保护等级。例如，一个涉及大量公民个人敏感信息，且对社会秩序和公共利益有较大影响的医疗信息系统，经评估可能初步确定为第三级。

初步确定安全保护等级后，可聘请行进行评审。专家会从技术可行性、业务关联性、安全合规性等多个角度，对定级的合理性、准确性进行评估并提出意见。若运营使用单位有上级行业主管部门，所确定的信息系统安全保护等级需报上级行业主管部门审批同意，确保定级符合行业整体规划与要求。

（三）备案申请

信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门，应在安全保护等级确定后 30 日内，到当地公安机关网安部门办理备案手续。新建第二级以上信息系统，需在投入运行后 30 日内，由其运营、使用单位到当地公安机关网安部门办理备案手续。

备案时需准备一系列材料，包括系统安全组织机构、三员审查表（涵盖系统开发建设人员、维护人员、及管理人员，对人员的资质、权限等进行审查）、管理制度及应急预案（安全组织机构明确机构名称、负责人、成员、职责分工等，管理制度包含安全管理规范、章程等，需有单位签章，应急预案针对可能出现的安全事件，制定应对措施和流程，降低损失和影响）；系统安全保护设施设计实施方案或者改建实施方案，系统拓扑结构说明，安全产品清单及证书（安全保护设施设计实施方案或改建实施方案，详细阐述为保障信息系统安全所采取的技术措施和实施步骤，系统拓扑结构说明展示信息系统的网络架构、设备连接等情况，安全产品清单及证书列出所使用的安全产品，并附上其认证、销售许可证明，证明产品的合法性和安全性）；填写《信息系统安全等级保护备案表》（纸质材料一式两份，包括《单位基本情况》《信息系统情况》《信息系统定级情况》和《第三级以上信息系统提交材料情况》，第二级以上信息系统备案时提交表一、二、三，第三级以上信息系统还需在系统整改、测评完成后 30 日内提交表四及其有关材料，需有单位签章及电子版）；编制《信息系统安全等级保护定级报告》（纸质材料一式两份，每个备案的信息系统均需提供对应的报告，报告参照模板格式填写，内容涵盖信息系统的基本情况、定级依据、定级结果等，需有单位签章及电子版）。

（四）备案审核

公安机关网安部门收到备案材料后，首先对备案材料进行完整性审核，检查材料是否齐全，如营业执照副本复印件、系统安全组织机构资料、《信息系统安全等级保护备案表》等是否缺失；检查填写是否规范，包括表格中的信息是否准确无误、格式是否符合要求等。例如，营业执照副本复印件需清晰可辨，企业名称、统一社会信用代码等关键信息不能模糊。同时进行定级准确审核，判断定级是否符合相关标准和规定。若对信息系统的定级存在疑问，如认为定级过高或过低，与系统实际情况不符，会要求企业重新评估定级或提供更多的证明材料。

（五）建设整改及测评

定级对象的运营和使用单位根据公安机关定级审查的结果，按照《信息安全技术 网络安全等级保护基本要求》（GB/T ）的相关要求，在测评机构和相关技术支持单位的指导下，开展系统的安全建设及整改工作。若测评发现系统存在网络漏洞，需及时修复；若安全管理制度不完善，要进行补充和优化。例如，对于发现的 SQL 注入漏洞，及时进行代码修复；对于安全管理制度中职责划分不明确的问题，重新明确各部门、各岗位的安全职责。

完成整改后，由的测评机构依据相关标准，对信息系统的安全技术措施和安全管理措施进行全面测评。包括网络安全方面的网络边界防护、访问控制；主机安全方面的操作系统安全配置、恶意代码防范；应用安全方面的身份认证、数据完整性保护；数据安全方面的数据备份与恢复等多个方面，评估系统是否达到相应的安全保护等级要求。

（六）监督检查

公安机关全程负责信息安全等级保护工作的督促、检查和指导。在工作中若发现不符合管理规范和技术标准的情况，会发出整改通知要求整改。运营使用单位需积极配合整改，不断提升信息系统的安全性和合规性。例如，若发现安全管理制度执行不到位，企业需加强内部管理，通过定期培训、监督考核等方式，确保制度有效落实；若发现安全设备配置不合理，需及时调整配置，保障系统安全。

二、办理部门

在上海，等保测评备案需在当地公安机关网安部门办理。这些部门负责受理备案申请，对备案材料进行审核，颁发信息系统安全保护等级备案证明，并对整个信息安全等级保护工作进行督促、检查和指导 。在办理过程中，运营使用单位要与公安机关网安部门保持良好沟通，及时了解办理进度和相关要求，确保备案工作顺利进行。

办理上海等保测评备案，运营使用单位需全面了解办理流程和办理部门，认真准备材料，积极配合公安机关和测评机构工作。若在办理过程中遇到疑问，可咨询上海市公安机关网安部门或的网络安全服务机构，确保顺利完成等保测评备案，提升信息系统的安全性和合规性。