信息安全等级保护备案工作包括信息系统备案、受理、审核和备案信息管理等工作。第二级及以上信息系统,应在安全保护等级确定后10日内,由其运营、使用单位或者其主管部门到所在地设区的市级以上公安机关办理备案手续。 “三级等保”是对非银行机构的最高等级保护认证。这一认证由公安机关依据国家信息安全保护条例及相关制度规定,按照管理规范和技术标准,对各机构的信息系统安全等级保护状况进行认可及评定。通过“三级等保”认证,表明企业的信息安全管理能力达到国内最高标准。要想获得三级等保认证,企业需要做的第一件事就是确定信息系统的安全保护等级,并成功备案。具体怎么做呢?如下所示: 根据规定,企业在确定自己的信息系统属于第三级信息系统之后,就应当在10日内准备材料并进行备案。 一、备案所需材料 备案所需材料主要是《信息安全等级保护备案表》,第三级以上信息系统同时提供以下材料:(一)系统拓扑结构及说明;(二)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案;(四)系统使用的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。 二、备案流程 备案材料准备完毕,就可以提交公安机关网安部门进行审核。对符合等级保护要求的,在收到备案材料之日起的10个工作日内颁发《信息系统安全等级保护备案证明》;发现不符合本办法及有关标准的,在收到备案材料之日起的10个工作日内通知备案单位予以纠正。 1.定级报告→备案申请→公安机关初审 如果等级不符合要求,需要打回重新定级;定级符合要求则进行下一步。 2.系统安全建设→等保测评→测评报告→公安机关审核 如果经审核发现不符合要求,申办单位需要组织开展系统建设整改→提交整改报告,然后重新走一遍等保测评→测评报告→公安机关审核的流程。 3.审核通过→备案证明→监督检查。 三、等保备案常见问题解答 1.等保备案费用如何? 公安机关不对等保备案收取任何费用,企业准备好相关材料去到公安机关办理即可。但如果企业嫌等保备案太麻烦,委托第三方来帮忙准备材料等的话,可能就需要支付一定的服务费用。 2.不备案或者备案不成功会怎么样? ①公安机关对定级不准的备案单位,在通知整改的同时,应当建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。 ②备案单位仍然坚持原定等级的,公安机关可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报备案单位上级主管部门。 ③对拒不备案的,公安机关应当根据《中华人民共和国计算机信息系统安全保护条例》等其他有关法律、法规规定,责令限期整改。逾期仍不备案的,予以警告,并向其上级主管部门通报。向中央和国家机关通报的,应当报经公安部同意。