上海等保测评备案一站式指南：办事流程与申请材料详解

在数字化浪潮中，网络安全的重要性愈发凸显。对于上海地区的信息系统运营使用单位而言，办理等保测评备案是保障信息系统安全、合规运营的关键举措。以下将为您详细介绍上海等保测评备案的办事指南及申请材料。

一、办事指南

（一）确定定级对象

1. 全面摸底调查：各行业主管部门和运营使用单位需对所属信息系统展开全面摸底。详细了解信息系统的数量，明确其分布在公司内部的哪些部门、区域；界定业务类型，比如是政务办公类、金融交易类，还是电商销售类等；清晰知晓应用或服务范围，是面向本地用户、全国用户，还是特定行业用户；深入梳理系统结构，包括硬件架构中服务器、存储设备的配置情况，软件架构中各类应用程序的部署，以及网络拓扑结构中网络设备的连接方式等基本情况。例如，一家大型金融集团，需要对旗下的网上银行系统、信贷管理系统、风险管理系统等进行细致梳理，明确各系统的功能、用户群体及数据交互关系。

1. 依据标准确定：严格按照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》的要求，确定定级对象。应用系统通常依据业务类别不同单独确定为定级对象，而不以系统是否进行数据交换、是否独享设备为判断依据。以一个综合性的教育平台为例，其在线授课系统、学生作业管理系统、教务管理系统等，即便存在数据共享和设备共用的情况，在确定定级对象时，也需分别将这些系统独立对待。

（二）系统定级

1. 初步定级：各信息系统主管部门和运营使用单位依据相关标准，综合考虑信息系统所处理数据的重要性、系统服务的对象范围、系统遭到破坏后可能对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的影响等多方面因素，初步确定定级对象的安全保护等级。例如，一个涉及大量公民个人敏感信息，且对社会秩序和公共利益有较大影响的医疗信息系统，经评估可能初步确定为第三级。

1. 专家评审与审批：初步确定安全保护等级后，运营使用单位可聘请行进行评审。专家凭借丰富的经验和知识，从技术可行性、业务关联性、安全合规性等多个角度，对定级的合理性、准确性进行评估并提出意见。若运营使用单位有上级行业主管部门，所确定的信息系统安全保护等级需报上级行业主管部门审批同意，确保定级符合行业整体规划与要求。

（三）备案申请

1. 申请时间：信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门，应在安全保护等级确定后 30 日内，到当地公安机关网安部门办理备案手续。新建第二级以上信息系统，需在投入运行后 30 日内，由其运营、使用单位到当地公安机关网安部门办理备案手续。

1. 申请方式：可前往当地公安机关网安部门指定的办事窗口，提交纸质申请材料；也可通过上海市公安机关网安部门guanfangwangzhan的在线申请平台，按照系统提示上传电子申请材料。

（四）备案审核

1. 完整性审核：公安机关网安部门收到备案材料后，首先对备案材料进行完整性审核。检查材料是否齐全，如营业执照副本复印件、系统安全组织机构资料、《信息系统安全等级保护备案表》等是否缺失；检查填写是否规范，包括表格中的信息是否准确无误、格式是否符合要求等。例如，营业执照副本复印件需清晰可辨，企业名称、统一社会信用代码等关键信息不能模糊。

1. 定级准确审核：同时进行定级准确审核，判断定级是否符合相关标准和规定。若对信息系统的定级存在疑问，如认为定级过高或过低，与系统实际情况不符，会要求企业重新评估定级或提供更多的证明材料。

（五）建设整改及测评

1. 建设整改：定级对象的运营和使用单位根据公安机关定级审查的结果，按照《信息安全技术 网络安全等级保护基本要求》（GB/T 22239 - 2019）的相关要求，在测评机构和相关技术支持单位的指导下，开展系统的安全建设及整改工作。若测评发现系统存在网络漏洞，需及时修复；若安全管理制度不完善，要进行补充和优化。例如，对于发现的 SQL 注入漏洞，及时进行代码修复；对于安全管理制度中职责划分不明确的问题，重新明确各部门、各岗位的安全职责。

1. 系统测评：完成整改后，由的测评机构依据相关标准，对信息系统的安全技术措施和安全管理措施进行全面测评。包括网络安全方面的网络边界防护、访问控制；主机安全方面的操作系统安全配置、恶意代码防范；应用安全方面的身份认证、数据完整性保护；数据安全方面的数据备份与恢复等多个方面，评估系统是否达到相应的安全保护等级要求。

（六）监督检查

公安机关全程负责信息安全等级保护工作的督促、检查和指导。在工作中若发现不符合管理规范和技术标准的情况，会发出整改通知要求整改。运营使用单位需积极配合整改，不断提升信息系统的安全性和合规性。例如，若发现安全管理制度执行不到位，企业需加强内部管理，通过定期培训、监督考核等方式，确保制度有效落实；若发现安全设备配置不合理，需及时调整配置，保障系统安全。

二、申请材料

（一）系统安全相关材料

1. 系统安全组织机构、三员审查表、管理制度及应急预案：安全组织机构需明确机构名称、负责人、成员、职责分工等，确保信息系统安全管理工作有人负责、责任到人。三员审查表涵盖系统开发建设人员、维护人员、及管理人员，对人员的资质、权限等进行审查。管理制度包括安全管理规范、章程等，需有单位签章，从制度层面保障信息系统安全。应急预案针对可能出现的安全事件，制定应对措施和流程，降低损失和影响。

1. 系统安全保护设施设计实施方案或者改建实施方案，系统拓扑结构说明，安全产品清单及证书：安全保护设施设计实施方案或改建实施方案，详细阐述为保障信息系统安全所采取的技术措施和实施步骤。系统拓扑结构说明展示信息系统的网络架构、设备连接等情况，便于理解系统的布局。安全产品清单及证书列出所使用的安全产品，如防火墙、入侵检测系统等，并附上其认证、销售许可证明，证明产品的合法性和安全性。

（二）备案表格与报告

1. 《信息系统安全等级保护备案表》：纸质材料一式两份，包括《单位基本情况》《信息系统情况》《信息系统定级情况》和《第三级以上信息系统提交材料情况》。第二级以上信息系统备案时提交表一、二、三；第三级以上信息系统还应当在系统整改、测评完成后 30 日内提交表四及其有关材料，需有单位签章及电子版。

1. 《信息系统安全等级保护定级报告》：纸质材料一式两份，每个备案的信息系统均需提供对应的报告。报告参照模板格式填写，内容涵盖信息系统的基本情况、定级依据、定级结果等，需有单位签章及电子版。

办理上海等保测评备案，运营使用单位需全面了解办事指南，认真准备申请材料，积极配合公安机关和测评机构工作。若在办理过程中遇到疑问，可咨询上海市公安机关网安部门或的网络安全服务机构，确保顺利完成等保测评备案，提升信息系统的安全性和合规性。