网络安全等级保护：等级保护备案

关键词：

在日常交流中，我们常常会把定级备案连在一起探讨，因为这两个工作的连贯性非常强。所以，我们前面探讨完等级保护的定级工作，接下来我们就要探讨等级保护备案工作，以及备案过程中需要注意的一些事项。

在《信息安全等级保护管理办法》中，给出了等级保护工作的五个规定动作，而备案则是开展等级保护工作的第二个规定动作。

在备案要求的规范性文件中以中华人民共和国公安部、国家保密局、国家密码管理局、国务院信息化工作办公室四部门联合发布的《信息安全等级保护管理办法》（公通字〔2007〕43号）、《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安〔2007〕861号等，以及公安部发布的《关于印发信息安全等级保护备案实施细则的通知》公信安〔2007〕1360号等文件，规范了关于等级保护备案工作。

在《信息安全等级保护管理办法》在第十五条明确了第二以上网络的备案要求，同时要求在规定时间内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续，办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第十六条同时明确了第三级以上信息系统应当同时提供的七个材料。第十七条明确了公安机关对备案进行审核与颁发备案证明以及定级存在问题告知义务等内容。运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。第十八条则是公安机关依据备案情况，对运营、使用单位的信息安全等级保护工作情况进行检查。

有关第十五条中“已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。”这条理解时，我们要结合《信息安全等级保护管理办法》第四十二条表述进行，《信息安全等级保护管理办法》发布于2007年，结合“已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级”，法理上也就是说，存量的网络（信息系统）已经不存在未定级备案的“老系统”了。

取得公安机关出具《信息系统安全等级保护备案证明》，网络运营者（责任单位）需要根据最终确定的安全保护等级，按照等级保护要求落实“同步设计”，按照安全等级保护相关国家标准从技术和管理两个维度开展详细设计；严格依据设计方案建设，并做好安全建设管理工作，对与建设过程中发现不满足安全保护等级的部分，及时开展整改加固，直至符合国家和行业标准要求，留存详实的安全建设管理过程文档，在这个过程中要落实“同步建设”，落实安全责任，落实安全管理措施和技术保护措施。为后期的安全等级保护测评，打下良好基础。

原文始发于微信公众号（祺印说信安）：网络安全等级保护：等级保护备案