上海怎么办理注册信息安全技术信息系统安全等级保护

　　作为国家网络安全等级保护标准体系的核心标准之一，《信息安全技术信息系统安全等级保护指南》规定了定级的原理与方法，指导信息系统的运营、使用单位如何开展等级保护工作。

　　1.谁需要等级保护

　　需要对自己的用户证明自己安全能力的信息系统运营或使用单位。

　　目前对国企有强制要求，未来可能会更普及。

　　2.等级保护的五个级别

　　国家发布实施的《计算机信息系统安全保护等级划分准则》中将安全等级划分为五个级别：级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。

　　安全能力从级到第五级逐渐增强。各部门、各单位应当依照等级保护实施指南及相关标准，根据实际安全需求，按照等级的确定原则，要求和方法，确定本部门、本单位所属信息系统的安全保护等级，制定各自的安全等级保护解决方案，组织对现有信息系统进行加固改造，逐步开展新建系统的安全等级保护工作。

　　3.定级流程有哪些

　　整体来说一共有五个步骤，包括了：

　　Step1：系统定级。需要过等保的运营单位要确定好定级对象，确定要过的系统等级，寻找当地公安认可的评测机构一起编写定级报告。如果确定需要通过三级等保，则还需要组织专家评审。

　　Step2：系统备案。系统投入运行的30日内由其运营、使用单位到当地公安机关网监部门办理备案手续。可以让评测机构辅导进行材料的准备和备案。

　　Step3：差距分析。评测机构根据确定的等级和《网络安全等级保护基本要求》对信息系统进行差距对比分析，告知运营单位需要对信息系统及自身管理进行哪些整改。运营单位按照整改要求进行安全建设和整改。建设整改的时间有3个月，一般根据系统的规模和复杂程度决定整改的时间，短的一周可以完成，长的3个月左右。

　　Step4：等级测评。运营使用单位提供符合等级保护要求的建设和整改完成的证据。由评测机构对系统等级符合情况进行等级评测并出具评测报告。评测结束后将评测报告提交给公安机关部门进行保存，完成等级评测。

　　Step5：监督检查。定级为二级的系统评测当年复查一次即可。定级为三级的系统需要每年进行评测检查，由评测机构出具评测报告并由运营使用单位提交给公安机关。定级为四级的系统需要每半年进行评测检查，由评测机构出具评测报告并由运营使用单位提交给公安机关。

　　4.系统建设、整改包含哪些内容

　　落实信息安全的管理制度和技术和系统上的信息安全措施。此阶段主要分为管理整改和技术整改。管理整改主要涉及：

　　管理整改主要包括：

　　明确主管领导，和责任部门

　　落实安全岗位和人员

　　对安全管理现状进行分析

　　确定安全管理策略，制定安全管理制度

　　落实和执行确定的策略和制度

　　安全自查和调整

　　安全管理策略和制度中又包括：

　　人员安全管理

　　事件处置和应急响应

　　日常运行维护

　　设备和介质管理

　　安全监测

　　……

　　技术整改主要是指部署和购买能够满足等保要求的系统，比如网页防篡改、流量监测、网络入侵监测等等，跟目前已有的技术能力对比，查缺补漏。