不做 “信息安全等级保护” 后果很严重！罚款可至百万元！

信息安全等级保护工作是《网络安全法》中明确要求需要履行的网络安全义务。等保是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

信息安全等级保护工作是《网络安全法》中明确要求需要履行的网络安全义务。根据信息系统等级保护相关标准，等级保护工作总共分五个阶段，分别为：

一是定级。根据等级保护相关管理文件，等级保护对象的安全保护等级一共分五个级别，从一到五级别逐渐升高。等级保护对象的级别由两个定级要素决定：①受侵害的客体；②对客体的侵害程度。对于关键信息基础设施，“定级原则上不低于三级”，且第三级及以上信息系统每年或每半年就要进行一次测评。

定级流程：确定定级对象→初步确定等级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别。

二是备案。第二级以上信息系统定级单位到所在地所在地设区的市级以上公安机关办理备案手续。省级单位到省公安厅网安总队备案，各地市单位一般直接到市级网安支队备案，也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的，具体根据各地市要求来。备案的时候带上定级资料去网安部门，一般两份纸质文档，一份电子档，纸质的首页加盖单位公章。

三是系统安全建设。信息系统安全保护等级确定后，运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。

四是等级测评。信息系统建设完成后，运营使用单位选择符合管理办法要求的检测机构，对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改，特别是高危风险。测评的结论分为：不符合、基本符合、符合。当然符合基本是不可能的，那是理想状态。

五是监督检查。公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。

级别分化

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

备案流程

第一步：确定定级对象

各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照《信息安全等级保护管理办法》（以下简称《管理办法》）和《信息系统安全等级保护定级指南》（以下简称《定级指南》）的要求，确定定级对象。

第二步：初步确定安全保护等级

各信息系统主管部门和运营使用单位要按照《管理办法》和《定级指南》，初步确定定级对象的安全保护等级。

第三步：专家评审与审批

初步确定信息系统安全保护等级后，可以聘请专家进行评审。信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。

第四步：备案

根据《管理办法》，信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门，应当在安全保护等级确定后30日内，到当地公安机关网监部门办理备案手续。新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到当地公安机关网监部门办理备案手续。

等保是强制性做的吗？

根据《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求，履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。

等级保护相关标准虽然为非强制性的推荐标准，但网络（个人与家庭网络除外）运营者必须按网络安全法开展等级保护工作。

不做等保有什么后果

根据《网络安全法》要求，不备案视为违法，需要承担相应法律责任与处罚。
以下为《网络安全法》中相关违法处罚内容，供参考：

第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。严重情节处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

举个例子，四川宜宾市翠屏区教师培训与教育研究中心网站自上线运行以来，始终未进行网络安全等级保护的定级备案、等级测评等工作，未落实网络安全等级保护制度，未履行网络安全保护义务，导致网站存在高危漏洞，造成网站发生被黑客攻击事件。根据《网络安全法》第二十一条和五十九条之规定，内乡县公安局网安大队依法对四川宜宾市翠屏区教师培训与教育研究中心被处一万元罚款，法人代表唐某某被处五千元罚款。

等保测评多久做一次？

关于系统测评时间有明确规定，二级信息系统每两年测评一次，三级信息系统明确规定每年测评一次，四级信息系统每半年测评一次。

等保能包过吗？

等级保护采用备案与测评机制而非认证机制，不存在花钱即包过的说法。应当选取合适的测评机构来开展等保测评工作。

多久能拿到备案证明？

全国各省网警管理有所差异，一般提交备案流程后，如资料完备（三级系统要求含测评报告），顺利通过审核后15个工作日即可拿到备案证明。