一、系统定级

1.1 确定定级范围

企业需首先界定需要评估的系统或应用，例如包含员工信息、财务数据或客户资料的核心业务系统。定级需综合考虑以下因素：

业务重要性：系统中断或数据泄露对企业运营的影响程度；

数据敏感性：涉及个人隐私、商业秘密或公共利益的敏感信息；

风险后果：系统遭破坏后可能对公民权益或社会秩序造成的损害。

1.2 等级划分与自评估

根据《信息安全技术 网络安全等级保护定级指南》，二级等保的判定标准为：系统破坏可能对公民、法人权益造成严重损害，或对社会秩序造成一般损害。企业可通过内部技术团队或第三方专家完成自评估，并编制《系统定级报告》明确保护等级。

关键动作：

组织业务部门、技术部门和管理层共同参与定级讨论；

参考行业案例，避免定级过高或过低。

二、备案申请：提交材料与合规审查

完成定级后，企业需在30日内向属地公安机关提交备案材料，包括：

系统定级报告及备案表；

系统拓扑图与功能说明；

安全管理制度框架；

运营使用单位资质证明。

注意事项：

备案材料需加盖公章，部分地区支持线上提交；

跨区域系统需向公安部指定的管辖机构备案；

公安机关将在20个工作日内反馈备案结果。

三、自查与整改建设：弥补安全差距

3.1 安全自查与差距分析

企业需对照《网络安全等级保护基本要求》二级标准，开展技术与管理层面的全面自查：

技术层面：检查物理环境、网络架构、访问控制、数据加密等；

管理层面：审查安全制度、人员培训、应急预案等。

典型问题示例：

未部署防火墙或入侵检测系统（IDS）；

日志存储未达6个月以上；

缺乏定期的漏洞扫描与渗透测试。

3.2 整改实施要点

技术整改：

基础防护：部署防火墙、漏洞扫描设备；

数据安全：实现敏感数据加密存储与传输，定期备份并测试恢复流程；

日志管理：配置日志审计系统，确保日志留存合规。

管理整改：

制定《网络安全管理制度》《数据分类分级规范》等文档；

每季度开展全员安全意识培训，留存培训记录；

建立安全事件响应机制，明确责任人及处置流程。

四、等级测评：技术与管理双重审查

4.1 选择测评机构

企业需委托具备资质的等保测评机构（如公安部认可的单位）进行测评，签订合同并提供系统资料。

4.2 测评内容与流程

技术测评：

物理环境：检查机房防火、防雷、门禁等设施；

网络架构：验证安全区域划分与访问控制策略；

应用安全：扫描代码漏洞，测试身份认证强度。

管理测评：

审查安全制度文件的完整性与可操作性；

抽查应急演练报告与人员培训记录；

验证日志留存周期是否符合要求。

测评周期：

现场测评通常需2周，整体流程约3个月。

五、监督检查与持续优化

通过测评后，企业需接受公安机关的定期抽查，重点检查：

高危漏洞修复进度；

安全制度的执行效果；

安全策略的更新与优化措施。

持续改进建议：

动态防护：每半年开展一次渗透测试，及时修复漏洞；

策略迭代：根据业务变化调整访问控制规则与数据分类标准；

行业协同：参与网络安全论坛，跟进最新威胁情报。