等级保护通常需要5个步骤:
1. 定级(企业自主定级-专家评审-主管部门审核-公安机关审核)
2. 备案(企业提交备案材料-公安机关审核-发放备案证明)
3. 测评(等级测评-三级每年测评一次)
4. 建设整改(安全建设-安全整改)
5. 监督检查(公安机关每年监督检查)
企业自己如何做等级保护?
1. 在定级备案的步骤,一级不需要备案仅需企业自主定级。二级、三级是大部分普通企业的信息系统定级。四级、五级普通企业不会涉及,通常是与国家相关(如等保四级-涉及民生的,如铁路、能源、电力等)的重要系统。根据地区不同备案文件修改递交通常需要1个月左右的时间。
2. 定级备案后,寻找本地区测评机构进行等级测评。
3. 根据测评评分(GBT22239-2019信息安全技术网络安全等级保护基本要求。具体分数需要测评后才能给出)对信息系统(APP)进行安全整改,如果企业没有专业的安全团队,需要寻找安全公司进行不同项目的整改。等级保护2.0三级有211项内容,通常企业需要根据自身情况采购安全产品完成整改。
4. 进行安全建设整改后,通过测评。当地公安机关会进行监督检查包含定级备案测评、测评后抽查。
整个流程企业自行做等级保护,顺利的话3-4个月完成,如果不熟悉需要半年甚至更久。