上海等保测评备案：审批时长与新办申请全解

在网络安全至关重要的当下，上海地区的信息系统运营使用单位对办理等保测评备案十分关注。其中，等保测评备案批下来需要多久，以及新办申请手续有哪些，成为众多单位关心的重点问题。下面，将为您详细介绍。

一、上海等保测评备案批下来多久

上海等保测评备案的审批时间并非固定不变，它受到多种因素的综合影响。

（一）材料审核阶段

1. 完整性审核：备案管理部门在收到备案申请材料后，会对材料进行完整性审核，检查材料是否齐全、填写是否规范。一般来说，这一过程需要 5 - 10 个工作日。如果材料存在缺失或填写不规范的情况，如营业执照副本复印件模糊不清、信息系统安全等级保护定级报告内容不完整等，备案管理部门会通知企业补充或修改材料，这就会导致审批时间延长。企业收到通知后，需在规定时间内完成材料的补充或修改并重新提交审核，而重新审核又需要一定时间。

1. 定级准确审核：判断定级是否符合相关标准和规定也是审核的重要环节，这通常需要 5 - 10 个工作日。若备案管理部门对信息系统的定级存在疑问，例如认为定级过高或过低，与系统的实际重要性、数据敏感性不匹配，会要求企业重新评估定级或提供更多的证明材料，这无疑会进一步拉长审批周期。

（二）现场检查环节（如有需要）

1. 检查安排：备案管理部门可能会根据实际情况进行现场检查，核实企业的信息系统安全保护措施是否到位，包括物理安全、网络安全、系统安全、应用安全等方面。从决定进行现场检查到实际开展检查，一般需要 5 - 10 个工作日来安排检查人员、确定检查时间等。

1. 检查时间与整改：现场检查本身可能需要 1 - 3 天，具体时间取决于信息系统的复杂程度和规模大小。检查结束后，如果发现存在问题，企业需要进行整改。整改时间因问题的严重程度和整改难度而异，简单问题可能几天内就能完成整改，复杂问题则可能需要数周甚至数月。整改完成后，还需再次提交审核，这又会花费一定时间。

综合来看，在一切顺利的情况下，上海等保测评备案批下来大约需要 1 - 3 个月。但如果在材料审核、现场检查等环节出现问题，审批时间会相应延长。

二、新办申请手续

（一）确定定级对象

1. 全面摸底调查：各行业主管部门、运营使用单位应组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况。例如，一家金融机构需要梳理旗下的网上银行系统、信贷管理系统、客户关系管理系统等各个信息系统的详细信息。

1. 依据标准确定：按照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》的要求，确定定级对象。应用系统通常按照业务类别不同单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定依据。

（二）系统定级

1. 初步定级：各信息系统主管部门和运营使用单位要按照相关标准，初步确定定级对象的安全保护等级。比如，一个涉及大量公民个人敏感信息且对社会秩序和公共利益有较大影响的医疗信息系统，经评估可能初步确定为第三级。

1. 专家评审与审批：初步确定安全保护等级后，运营使用单位可聘请行进行评审，专家凭借丰富的经验和知识，对定级的合理性、准确性进行评估并提出意见。若运营使用单位有上级行业主管部门，所确定的信息系统安全保护等级需报上级行业主管部门审批同意。

（三）备案申请

1. 材料准备：准备系统安全组织机构、三员审查表（系统开发建设人员、维护人员、及管理人员）、管理制度及应急预案，安全组织机构要明确机构名称、负责人、成员、职责分工等，管理制度需包含安全管理规范、章程等，并加盖单位签章；准备系统安全保护设施设计实施方案或者改建实施方案，系统拓扑结构说明，安全产品清单及证书，形成简要的安全建设、整改方案；填写《信息系统安全等级保护备案表》，纸质材料一式两份，包括《单位基本情况》《信息系统情况》《信息系统定级情况》和《第三级以上信息系统提交材料情况》，第二级以上信息系统备案时提交表一、二、三，第三级以上信息系统还需在系统整改、测评完成后 30 日内提交表四及其有关材料；编制《信息系统安全等级保护定级报告》，纸质材料一式两份，每个备案的信息系统均需提供对应的报告，报告需参照模板格式填写并加盖单位签章。

1. 提交备案：信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门，应在安全保护等级确定后 30 日内，到当地公安机关网安部门办理备案手续。新建第二级以上信息系统，需在投入运行后 30 日内，由其运营、使用单位到当地公安机关网安部门办理备案手续。

（四）后续流程

1. 备案审核：公安机关网安部门收到备案材料后，进行完整性审核和定级准确审核。符合等级保护要求的第二级以上信息系统，公安机关会在收到备案材料起的 10 个工作日内向备案单位颁发信息系统安全保护等级备案证明（备案证明由公安部统一监制）。

1. 建设整改及测评：定级对象的运营和使用单位根据公安机关定级审查的结果，按照《信息安全技术 网络安全等级保护基本要求》（GB/T 22239 - 2019）的相关要求，在测评机构和相关技术支持单位的指导下，开展系统的安全建设及整改工作。完成整改后，进行系统测评，确保系统达到相应的安全保护等级要求。

1. 监督检查：公安机关全程负责信息安全等级保护工作的督促、检查和指导。在工作中若发现不符合管理规范和技术标准的情况，会发出整改通知要求整改，运营使用单位需积极配合整改，不断提升信息系统的安全性和合规性。

办理上海等保测评备案，运营使用单位需提前了解审批时间和新办申请手续，认真准备材料，积极配合相关部门工作。若在办理过程中遇到疑问，可咨询上海市公安机关网安部门或的网络安全服务机构，确保顺利完成等保测评备案，提升信息系统的安全性和合规性。