信息系统定级、备案、专家评审流程【最新版】

信息系统定级、备案、专家评审流程

一、系统定级

请参考GAT 1389-2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级，定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师)，出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。

1、等保2.0定级备案流程:

确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。

2、信息系统定级备案工作

甲方可以自己独立完成，也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。

3、定级参考

《GAT 1389-2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。(附件1)

4、等级保护对象的安全保护等级分为以下五级

a)第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;

b)第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;

c)第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;

d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;

e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

解读:

县级重要的信息系统，地市级和省级的一般信息系统，这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统，这些系统都可以定为二级系统;

●省级门户网站和地市级及以上重要的业务网站需要定为三级，地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统，管理系统需要定到三级，跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级，跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。

现在一些地区区县虽然行政是区县，但是实际经济总量和人口已经远远大于中西部一些地级市，所以我们在系统定级的时候还是要结合系统的重要性去实际定级，切勿死搬硬套，例如我们在某区一个系统里面存储了全区上百万的人口信息，住房信息等等敏感信息，这样的系统就得定到三级。

定级不合理，将来不小心出了事情都是自己的事情，没必要把这样的风险全抗在自己肩膀上。另外补充一点如果行业有要求就按照行业要求来，这样办事省心省力。总结成一句话就是:信息系统涉及到工作秘密、敏感信息的，信息泄露出去或者被非法篡改、破坏后造成比较大的影响的系统，建议定到三级，其他系统定到二级。当然涉及到国家安全的特别是全国性的系统要定四级。

5、定级范围

包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。

解读:

(1)对于电信网、广播电视传输网、互联网等基础信息网络。应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象，而跨省业务专网既可以作为一个整体定级，也可根据区域划分为若干对象定级。

(2)对于工业控制系统。应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级，而生产管理要

素可以单独定级。

(3)对于云计算平台。则应区分为服务提供方与租户方，各自分别作为定级对象。

(4)对于物联网。虽然其包括感知、网络传输和处理应用等多种特征因素，但仍应将以上要素作为一个整体的定级对象，各要素并不单独定级。

(5)采用移动互联技术的网络与物联网类似。应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。

(6)对于大数据。除安全责任主体相同的平台和应用可以整体定级外，应单独定级。

《定级指南》针对基础信息网络、云计算平台和大数据平台进行了特别规定，相关平台应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级，原则上应不低于其承载的等级保护对象的安全保护等级。大数据安全保护等级不低于第三级。此外，若上述平台被确定为关键信息基础设施的，原则上其安全保护等级应不低于第三级。

6、以上信息确定好

根据甲方信息系统及机房实际情况，编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。(附件2、3)

7、定级备案表和定级报告编写完成

下一步进行专家评审工作，专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师，专家现场会根据甲方负责人对公司及信息系统的介绍，提出定级是否合理相关建议并形成专家评审意见表;

专家评审流程:根据要求确定专家评审名单、编辑专家评审会议程(附件4)、专家签到表(附件5)、信息系统定级专家评审意见表(附件6)、被定级单位及信息系统介绍PPT(附件7)。

专家评审现场工作流程:专家到现场签到入座、甲方会议负责人将定级备案表及定级报告纸质版给专家查阅，甲方信息安全负责人宣布会议开始，由甲方负责人介绍公司及信

息系统实际情况，专家根据公司介绍、现场访谈、备案表、定级报告等信息提出建议，专家提出建议形成专家评审意见表，现场打印由专家签字，专家评审工作完成。

二.备案需要提交的材料

●提交网安大队纸质版:按照纸质版文件夹内材料进行准备，提交时备案材料按照第三步提交网安大队纸质版文件夹内序号排列。

●电子版压缩包要求:以“单位全称-系统名称”命名压缩包，将以下文件放入压缩包内，提交纸质材料的同时在钉钉内向负责民警提交电子版压缩包。原件扫描件要求，分辨率300dpi---jpg格式。

纸质版:

1. 信息系统安全等级保护备案表一式两份(封面单位名称处盖章)。应填写完整、无漏项，不得改动备案表版面格式。机打，不可手写，单面打印。

2. 信息系统安全等级保护定级报告一式两份(定级表格处盖章)。机打，单面打印。

3. 信息安全承诺书签字盖章。法人亲笔签字

4. 相关证件复印件各一份:工商营业执照(或执业许可证、事业单位证书、非盈利性机构证书等许可证明)、法人代表身份证、组织机构代码证(如三证合一，省略)。

5. 法人授权书(被授权人需携带本人身份证原件及复印近)。

6. 实际办公地的房产证或租房合同复印件。

7.主机托管合同或云主机租用合同的复印件。

8. 企业内部信息安全部门、技术部门组织架构人员登记信息表，左上角盖章(表格中确定两位24小时应急处置网络安全事件联系人)。

9.从事互联网金融的企业(如网贷P2P平台、证券交易系统等)，备案时需提交纸质版《信息安全等级保护备案证明使用承诺书》法人亲笔签字，加盖单位公章。其他行业无需提交。

电子版压缩包要求:

以“单位全称-系统名称”命名压缩包，将以下文件放入压缩包内，提交纸质材料的同时在钉钉内向负责民警提交电子版压缩包。原件扫描件要求，分辨率300dpi---jpg格式。

1.备案表、定级报告和信息安全承诺书盖章扫描件

2.备案表和定级报告word版

3.XX单位XX系统-专家评审意见(原件扫描件)

4.(三级系统备案时需提交)《XX单位-信息安全工作管理制度》(word版，盖章扫面件均可)

5.(三级系统备案时需提交)XX单位系统使用的安全产品清单及认证、销售许可证明(盖章扫描件)

6.(三级系统备案时需提交)单位拓扑图及说明(盖章扫描件)

7.三级系统需提交备案表表四全部内容

8.信息安全部、技术部组织架构人员登记信息表，可编辑版

9.工商营业执照副本原件扫描件(或执业许可证、事业单位证书、非盈利性机构证书等许可证明)、组织机构代码证原件扫描件(如三、五证合一，省略)

10.法人代表身份证原件扫描件

11.备案表表一中单位负责人身份证原件扫描件

12.从事经营性公众互联网行业及有交易投资活动的信息系统的企业需要提交

三.现场备案人员要求

备案办理人员需为单位法人授权的被授权人;被授权人需携带本人身份证原件、营业执照副本原件、法人授权书原件到现场备案;被授权人，应为单位网络安全分管领导(如主管副总裁或技术部门负责人)，应了解信息系统整体情况，

参与日常信息系统安全运维。

四、工作提示

三级系统备案，自备案证明领取之日起，30日内提交测评报告，整改实施方案可在系统测评完成后同测评报告一同提交网安部门，并每年开展一次信息系统安全等级保护测评。

信息系统安全等级保护备案表精选版

信息系统安全等级保护 备案表 Company number【1089WT-1898YT-1W8CB-9UUT-92108】

信息系统安全等级保护 备案表 备案单位：（盖章） 备案日期： 受理备案单位：（盖章） 受理日期： 中华人民共和国公安部监制 填 表 说 明 一、 制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43 号）之规定，制作本表； 二、 填表范围。本表由第二级以上信息系统运营使用单位或主管部门 （以下简称“备案单位”）填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表二为信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张；表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系统填写一张，并在完成系统建设、整改、测评等工作，投入运行后三十日内向受理备案公安机关提交；表二、表三、表四可以复印使用； 三、 保存方式。本表一式二份，一份由备案单位保存，一份由受理备案 公安机关存档； 四、 本表中有选择的地方请在选项左侧“”划“√”，如选择“其 他”，请在其后的横线中注明详细内容； 五、 封面中备案表编号（由受理备案的公安机关填写并校验）：分两部 分共11位，第一部分6位，为受理备案公安机关代码前六位（可参照行标GA380-2002）。第二部分5位，为受理备案的公安机关给出的备案单位的顺序编号； 六、 封面中备案单位：是指负责运营使用信息系统的法人单位全称； 七、 封面中受理备案单位：是指受理备案的公安机关公共信息网络安全 监察部门名称。此项由受理备案的公安机关负责填写并盖章； 八、 表一04行政区划代码：是指备案单位所在的地(区、市、州、盟)行 政区划代码； 九、 表一05单位负责人：是指主管本单位信息安全工作的领导； 十、 表一06责任部门：是指单位内负责信息系统安全工作的部门； 备案表编号：

《信息系统安全等级保护定级报告》.doc

《信息系统安全等级保护定级报告》 一、马尔康县人民检察院门户网站信息系统描述 （一）该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门，信息股为该信息系统定级的责任单位。 （二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。 服务器托管在九龙县电信公司机房 （三）该信息系统业务主要包含：等业务。 二、马尔康县人民检察院门户网站信息系统安全保护等级确定 （一）业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包含：九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是社会秩序和公众利 —9 —

益。 侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对社会秩序和公众利益造成影响和损害，可以表现为：发布虚假信息，影响公共利益，造成不良影响，引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为严重损害，即工作职能受到严重影响，造成较大范围的不良影响等。 4、业务信息安全等级的确定 业务信息安全保护等级为第二级。 （二）系统服务安全保护等级的确定 1、系统服务描述 该系统属于为民生、经济、建设等提供信息服务的信息系统，其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为：一可以对公民、法人和其他组织的合法权益造成侵害（影响正常工作的开展，造成不良影响，引起法律纠纷等）；—10 —

网站信息安全管理制度-公安部网站备案

网站信息安全管理制度 信息发布登记制度 1. 在信源接入时要落实安全保护技术措施，保障本网络的运行安全和信息安全； 2. 我公司是以虚拟主机方式接入，系统要做好用户权限设定工作，不能开放其信息目录以外的其他目录的操作权限。 3. 对委托发布信息的部门和个人进行登记并存档。 4. 对信源部门提供的信息进行审核，不得有违犯《计算机信息网络国际联网安全保护管理办法》的内容出现。 5. 发现有违犯《计算机信息网络国际联网安全保护管理办法》情形的，应当保留有关原始记录，并在二十四小时内向当地公安机关报告。 信息内容审核制度 1、必须认真执行信息发布审核管理工作，杜绝违犯《计算机信息网络国际联网安全保护管理办法》的情形出现。 2、对在本网站发布信息的信源部门提供的信息进行认真检查，不得有危害国家安全、泄露国家秘密，侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。

3、对在新闻公告板等发布公共言论的栏目建立完善的审核检查制度，并定时检查，防止违犯《计算机信息网络国际联网安全保护管理办法》的言论出现。 4、一旦在本网站发现用户制作、复制、查阅和传播下列信息的：（1）. 煽动抗拒、破坏宪法和法律、行政法规实施 （2）. 煽动颠覆国家政权，推翻社会主义制度 （3）. 煽动分裂国家、破坏国家统一 （4）. 煽动民族仇恨、民族歧视、破坏民族团结 （5）. 捏造或者歪曲事实、散布谣言，扰乱社会秩序 （6）. 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪 （7）. 公然侮辱他人或者捏造事实诽谤他人 （8）. 损害国家机关信誉 （9）. 其他违反宪法和法律、行政法规 按照国家有关规定，删除本网络中含有上述内容的地址、目录或者关闭网站。并保留原始记录，在二十四小时之内向当地公安机关报告。 信息监视、保存、清除和备份制度 为促进公司网站健康、安全，高效的应用和发展，维护国家和社会的稳定，杜绝各类违法、犯罪行为的发生，根据《计算机信息网络国际互联网安全保护管理办法》的规定，特制定本制度： 1、制度适用于本网站发布信息及部门人员在网站发布信息。

信息系统定级备案

信息系统定级备案 （一）信息系统定级工作原则 信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。定级工作的主要内容包括：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核，具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》要求执行。各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，根据所属信息系统的重要程度和遭到破坏后的危害程度，确定信息系统的安全保护等级。同时，按照所定等级，依照相应等级的管理规范和技术标准，建设信息安全保护设施，建立安全制度，落实安全责任，对信息系统进行保护。 在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任；公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序，也会影响国家安全、社会稳定、公共利益，因此，国家必然要对重要信息系统的安全进行监管。

（二）信息系统安全保护等级 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级，从第一级到第五级逐级增高。 （三）信息系统安全保护等级的定级要素 信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 1.受侵害的客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面：一是公民、法人和其他组织的合法权益；二是社会秩序、公共利益；三是国家安全。 2. 对客体的侵害程度 对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度有三种：一是造成一般损害；二是造成严重损害；三是造成特别严重损害。 （四）五级保护和监管 信息系统运营、使用单位依据国家信息安全等级保护政策和相

信息系统安全保密制度

信息系统安全保密制度 信息系统的安全保密工作是保证数据信息安全的基础，同时给全院的信息安全保密工作提供了一个工作指导。为了加强我院信息系统的安全保密管理工作，根据上级要求，结合我院的实际情况，现制定如下制度： 第一章总则 第一条***学院校园网和各个信息系统的服务对象是学校教学、科研和管理机构，全校教职工和学生，以及其他经学校授权的单位及个人。 第二条我院内任何部门及个人不得利用校园网危害国家安全、泄露国家秘密，不得侵犯国家、社会、集体利益和个人的合法权益，不得从事违法犯罪活动。 第三条未经批准，任何单位或个人不得将校园网延伸至校外或将校外网络引入至校园内。未经批准，任何数据业务运营商或电信代理商不得擅自进入山东信息职业技术学院内进行工程施工，开展因特网业务。 第四条各部门应按照国家信息系统等级保护制度的相关法律法规、标准规范的要求，落实信息系统安全等级保护制度。 第五条各部门要规范信息维护、信息管理、运行维护等方面的工作流程和机制，指定专人负责系统运行的日常工作，做好用户授权等管理服务工作。 第二章数据安全 第六条本制度中的数据是指各类信息系统所覆盖的所有数据，包括档案管理系统、财务管理系统、资产管理系统、安防监控系统以及学院网站等网站和系统的所有数据。 第七条各部门要及时补充和更新管理系统的业务数据，确保数据的完整性、时效性和准确性。

第八条各部门要保证信息系统安全和数据安全，制定重要数据库和系统主要设备的容灾备案措施。记录并保留至少60天系统维护日志。各系统管理员和个人要妥善保管好账号和密码，定期更新密码，防止密码外泄。 第九条保证各系统相关数据安全。各部门和系统管理人员，要对自己所管理的数据负责，保证数据安全，防止数据泄漏。 第十条学校数据信息主要用于教学、科研、管理、生活服务等，申请数据获取的单位有义务保护数据的隐秘性，不得将数据信息用于申请用途外的活动。 第十一条未经批准，任何部门和个人不得擅自提供信息系统的内部数据。对于违反规定、非法披露、提供数据的单位和个人，应依照相关规定予以处罚。 第三章信息安全 第十二条任何部门和个人不得利用校园网及各系统制作、复制、传播和查阅下列信息： （一）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；（二）损害国家荣誉和利益的； （三）煽动民族仇恨、民族歧视，破坏民族团结的； （四）破坏国家宗教政策，宣扬邪教和封建迷信的； （五）散布谣言，扰乱社会公共秩序，破坏国家稳定的； （六）散步淫秽、色情、暴力、凶杀、恐怖或者教唆犯罪的； （七）侮辱和诽谤他人，侵害他人合法权益的； （八）含有国家法律和行政法规禁止的其他内容的； （九）煽动抗拒、破坏宪法和法律、法规实施的； 第十三条未经批准，任何个人和部门不能擅自发布、删除和改动学院网站和系统信息。凡发布信息，必须经过严格审核。 第十四条校园网用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户若发现违法有害信息，有义务向学校有关部门报告。

信息系统定级、备案、专家评审流程【最新版】

信息系统定级、备案、专家评审流程 一、系统定级 请参考GAT 1389-2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级，定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师)，出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。 1、等保2.0定级备案流程: 确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。 2、信息系统定级备案工作 甲方可以自己独立完成，也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。

3、定级参考 《GAT 1389-2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。(附件1) 4、等级保护对象的安全保护等级分为以下五级 a)第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益; b)第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全; c)第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害; d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;

e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。 解读: 县级重要的信息系统，地市级和省级的一般信息系统，这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统，这些系统都可以定为二级系统; ●省级门户网站和地市级及以上重要的业务网站需要定为三级，地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统，管理系统需要定到三级，跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级，跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。 现在一些地区区县虽然行政是区县，但是实际经济总量和人口已经远远大于中西部一些地级市，所以我们在系统定级的时候还是要结合系统的重要性去实际定级，切勿死搬硬套，例如我们在某区一个系统里面存储了全区上百万的人口信息，住房信息等等敏感信息，这样的系统就得定到三级。

信息系统使用管理规定

信息系统使用管理规定 一、目的 为明确和规范公司信息系统（OA、ERP等）的使用管理，特制定本规定。 二、范围 公司全体使用信息系统的员工。 三、职责 3.1 所有员工必须遵守本规定，各部门经理负责本部门人员的信息系统使用管理。3.2 信息中心负责本规定的执行监督。 3.3所有员工应对公司信息系统操作（包括但不限于流程审批、费用报销等）的真实性、合法性及其产生的法律后果负责，对在公司信息系统中进行的操作负管理责任，对于故意或恶意操作行为，公司将予以严肃处理，包括但不限于通报批评、赔偿损失、开除、诉诸法律等。 四、规定 4.1 OA系统使用规定 4.1.1 系统登陆地址 OA系统的登陆地址为: ●总公司内部网访问地址:http://192 ●总公司内部网以外访问地址:http://115 OA系统APP的登陆地址为: ●总公司访问地址:http://115. 4.1.2 系统应用范围

公司所有的办公信息均通过网上办公系统处理，各类办公信息，如通知、报告、工作任务下达、出差授权、申请审批等，均通过网上办公系统填报、处理。 4.1.3 系统时效性 OA系统文件阅读、答复办理按OA时效考核制度考核，系统将根据OA系统文件的阅读、答复办理的及时性，自动进行待办时效考核；各部门主管应根据部门员工对OA 系统应用熟练程度进行考核，作为员工月度绩效考核的主要依据之一。 4.1.4 系统安全规定 4.1.4.1员工在使用系统前应仔细阅读OA使用手册和相关管理制度，在工作中应规范使用系统，若有疑问请及时联系公司信息中心 4.1.4.2网上办公系统是浙江景岳堂药业有限公司的内部办公系统，禁止非公司人员登陆或使用本系统。 4.1.4.3公司正式员工拥有专用的用户名和密码，系统将自动记录每位员工的登陆情况，请全体员工正确使用系统，保护好自己的用户名和密码的义务，如发现盗用用户名、密码现象，应立即报告主管领导，并通知信息中心。 4.1.4.4 OA系统的初始密码为1，请员工务必在初次登录入系统后，首先必须做更改密码操作。如密码遗忘，由部门负责人通过OA系统告知信息中心，信息中心将恢复初始密码。 4.1.4.5在使用中如出现误操作，由相关部门负责人通过OA系统将操作人姓名、操作时间、操作模块、误操作数据通知总公司信息中心，信息中心对操作做出调整并备案。 4.1.4.6如使用者使用公司以外的公用设备（如网吧）登陆系统，请在使用后删除电脑中的记录。 4.1.4.7员工不得利用系统发送与工作无关的信息，如有违反，一经发现将严肃处理。

网络安全等级保护之信息系统定级备案工作方案

网络安全等级保护之信息系统定级备案工作方案 一、信息系统安全保护等级的划分与保护 （一）信息系统定级工作原则 信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。定级工作的主要内容包括：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核，具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字〔2007〕861号）要求执行。各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，根据所属信息系统的重要程度和遭到破坏后的危害程度，确定信息系统的安全保护等级。同时，按照所定等级，依照相应等级的管理规范和技术标准，建设信息安全保护设施，建立安全制度，落实安全责任，对信息系统进行保护。 在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任；公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序，也会影响国家安全、社会稳定、公共利益，因此，国家必然要对重要信息系统的安全进行监管。 （二）信息系统安全保护等级 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的

二、定级工作的主要步骤 信息系统定级是等级保护工作的首要环节和关键环节，是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。这里先明确一个概念，信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。信息系统安全级别定级不准，系统备案、建设整改、等级测评等后续工作都会失去基础，信息系统安全就没有保证。定级工作可以按照下列步骤进行。 （一）开展摸底调查 按照《定级工作通知》确定的定级范围，各单位、各部门可以组织开展对所属信息系统进行摸底调查，摸清信息系统底数，掌握信息系统（包括信息网络）的业务类型、应用或服务范围、系统结构等基本情况，为下一步明确要求、落实责任奠定基础。（二）确定定级对象 在全国重要信息系统安全等级保护定级工作（以下简称“定级工作”）中，如何科学、合理地确定定级对象是最关键的问题。信息系统运营使用单位或主管部门按如下原则确定定级对象。 一是起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）要作为定级对象。但不是将整个网络作为一个定级对象，而是要从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域或最小单元去定级。 二是用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统，要按照不同业务类别单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象条件。不能将某一类信息系统作为一个定级对象去定级。

等保2.0信息系统定级备案专家评审流程

等保2.0：信息系统定级、备案、专家评审流程 一．系统定级 请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南（见第二步相关材料文件夹）定级，定级对象的运营使用单位应组织专家召开专家定级评审会（专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师），出具初步定级建议并上报行业 主管部门或上级主管部门审核后到公安机关备案（备案审查不通过运营使用单位重新组织定级工作）。 解读： 1、等保2.0定级备案流程：确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。 2、信息系统定级备案工作，甲方可以自己独立完成，也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。 3、定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。（附件1） 4、等级保护对象的安全保护等级分为以下五级： a)第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益： b)第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全； c)第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产

生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害； d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害； e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。5、定级范围：包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。 6、以上信息确定好，根据甲方信息系统及机房实际情况，编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。（附件2、3） 7、定级备案表和定级报告编写完成，下一步进行专家评审工作，专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师，专家现场会根据甲方负责人对公司及信息系统的介绍，提出定级是否合理相关建议并形成专家评审意见表； 专家评审流程：根据要求确定专家评审名单、编辑专家评审会议程（附件4）、专家签到表（附件5）、信息系统定级专家评审意见表（附件6）、被定级单位及信息系统介绍PPT（附件7）。 专家评审现场工作流程：专家到现场签到入座、甲方会议负责人将定级备案表及定级报告纸质版给专家查阅，甲方信息安全负责人宣布会议开始，由甲方负责人介绍公司及信息系统实际情况，专家根据公司介绍、现场访谈、备案表、定级报告等信息提出建议，专家提出建议形成专家评审意见表，现场打印由专家签字，专家评审工作完成。 二．备案需要提交的材料

等保2.0 信息系统定级、备案、专家评审流程

等保2.0 | 信息系统定级、备案、专家评审流程 一．系统定级 请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南（见第二步相关材料文件夹）定级，定级对象的运营使用单位应组织专家召开专家定级评审会（专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师），出具初步定级建议并上报行业主管部门或上级主管部 门审核后到公安机关备案（备案审查不通过运营使用单位重新组织定级工作）。安全专家解读：1、等保2.0定级备案流程：确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。2、信息系统定级备案工作，甲方可以自己独立完成，也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。3、定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。（附件1）4、等级保护对象的安全保护等级分为以下五级：a)第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益：b)第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全； c)第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害； e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。5、定级范围：包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。6、以上信息确定好，根据甲方信息系统及机房实际情况，编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。（附件2、3）7、定级备案表和定级报告编写完成，下一步进行专家评审工作，专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师，专家现场会根据甲方负责人对公司及信息系统的介绍，提出定级是否合理相关建议并形成专家评审意见表；专家评审流程：根据要求确定专家评审名单、编辑专家评审会议程（附件4）、专家签到表（附件5）、信息系统定级专家评审意见表（附件6）、被定级单位及信息系统介绍PPT（附件7）。专家评审现场工作流程：专家到现场签到入座、甲方会议负责人将定级备案表及定级报告纸质版给专家查阅，甲方信息安全负责人宣布会议开始，由甲方负责人介绍公司及信息系统实际情况，专家根据公司介绍、现场访谈、备案表、定级报告等信息提出建议，专家提出建议形成专家评审意见表，现场打印由专家签字，专家评审工作完成。二．备案需要提交的材料提交网安大队纸质版：按照纸质版文件夹内材料进行准备，提交时备案材料按照第三步提交网安大队纸质版文件夹内序号排列。电子版压缩包要求：以“单位全称-系统名称”命名压缩包，将以下文件放入压缩包内，提交纸质材料的同时在钉钉内向负责民警提交电子版压缩包。原件扫描件要求，分辨率300dpi---jpg格式。纸质版：1. 信息系统安全等级保护备案表一式两份（封面单位名称处盖章）。应填写完整、无漏项，不得改动备案表版面格式。机打，不可手写，单面打印。2. 信息系统安全等级保护定级报告一式两份（定级表格处盖章）。机打，单面打印。3. 信息安全承诺书签字盖章。法人亲笔签字4. 相关证件复印件

信息安全等级保护备案工作实施细则(参考Word)

信息安全等级保护备案实施细则第一条为加强和指导信息安全等级保护备案工作，规范备案受理、审核和管理等工作，根据《信息安全等级保护管理办法》制定本实施细则。 第二条本细则适用于非涉及国家秘密的第二级以上信息系统的备案。 第三条地市级以上公安机关公共信息网络安全监察部门受理本辖区内备案单位的备案。隶属于省级的备案单位，其跨地（市）联网运行的信息系统，由省级公安机关公共信息网络安全监察部门受理备案。 第四条隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由公安部公共信息网络安全监察局受理备案，其他信息系统由北京市公安局公共信息网络安全监察部门受理备案。 隶属于中央的非在京单位的信息系统，由当地省级公安机关公共信息网络安全监察部门（或其指定的地市级公安机关公共信息网络安全监察部门）受理备案。 跨省或者全国统一联网运行并由主管部门统一定级的信息系统在各地运行、应用的分支系统（包括由上级主管部门定级，在当地有应用的信息系统），由所在地地市级以上公安机关公共信息网络安全监察部门受理备案。 第五条受理备案的公安机关公共信息网络安全监察部

门应该设立专门的备案窗口

，配备必要的设备和警力，专门负责受理备案工作，受理备案地点、时间、联系人和联系方式等应向社会公布。 第六条信息系统运营、使用单位或者其主管部门（以下简称“备案单位”）应当在信息系统安全保护等级确定后30日内，到公安机关公共信息网络安全监察部门办理备案手续。办理备案手续时，应当首先到公安机关指定的网址下载并填写备案表，准备好备案文件，然后到指定的地点备案。 第七条备案时应当提交《信息系统安全等级保护备案表》（以下简称《备案表》）（一式两份）及其电子文档。第二级以上信息系统备案时需提交《备案表》中的表一、二、三；第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材料。 第八条公安机关公共信息网络安全监察部门收到备案单位提交的备案材料后，对属于本级公安机关受理范围且备案材料齐全的，应当向备案单位出具《信息系统安全等级保护备案材料接收回执》；备案材料不齐全的，应当当场或者在五日内一次性告知其补正内容；对不属于本级公安机关受理范围的，应当书面告知备案单位到有管辖权的公安机关办理。 第九条接收备案材料后，公安机关公共信息网络安全监察部门应当对下列内容进行审核：

《信息系统安全等年级保护备案表》

信息系统安全等级保护 备案表 备 案 单 位： （盖章） 备 案 日 期： 受理备案单位： （盖章） 受 理 日 期： 中华人民共和国公安部监制 填 表 说 明 一、 制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43号） 之规定，制作本表； 二、 填表范围。本表由第二级以上信息系统运营使用单位或主管部门（以 下简称“备案单位”）填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表二为信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张；表四为第三级以上信 备案表编号：

息系统需要同时提交的内容，由每个第三级以上信息系统填写一张，并在完成系统建设、整改、测评等工作，投入运行后三十日内向受理备案公安机关提交；表二、表三、表四可以复印使用； 三、保存方式。本表一式二份，一份由备案单位保存，一份由受理备案公 安机关存档； 四、本表中有选择的地方请在选项左侧“”划“√”，如选择“其他”，请 在其后的横线中注明详细内容； 五、封面中备案表编号（由受理备案的公安机关填写并校验）：分两部分 共11位，第一部分6位，为受理备案公安机关代码前六位（可参照行标GA380-2002）。第二部分5位，为受理备案的公安机关给出的备案单位的顺序编号； 六、封面中备案单位：是指负责运营使用信息系统的法人单位全称； 七、封面中受理备案单位：是指受理备案的公安机关公共信息网络安全监 察部门名称。此项由受理备案的公安机关负责填写并盖章； 八、表一04行政区划代码：是指备案单位所在的地(区、市、州、盟)行 政区划代码； 九、表一05单位负责人：是指主管本单位信息安全工作的领导； 十、表一06责任部门：是指单位内负责信息系统安全工作的部门； 十一、表一08隶属关系：是指信息系统运营使用单位与上级行政机构的从属关系，须按照单位隶属关系代码（GB/T12404―1997）填写； 十二、表二02系统编号：是由运营使用单位给出的本单位备案信息系统的编号； 十三、表二05系统网络平台：是指系统所处的网络环境和网络构架情况；十四、表二07关键产品使用情况：国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股，在中华人民共和国境内具有独立的法人资格，产品的核心技术、关键部件具有我国自主知识产权； 十五、表二08系统采用服务情况：国内服务商是指服务机构在中华人民共和国境内注册成立（港澳台地区除外），由中国公民、法人或国家投资的企事业单位； 十六、表三01、02、03项：填写上述三项内容，确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》，信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选； 十七、表三06主管部门：是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。部级单位此项可不填； 十八、解释：本表由公安部公共信息网络安全监察局监制并负责解释，未经允许，任何单位和个人不得对本表进行改动。

信息系统安全等级保护定级备案相关表格

附件1：《信息系统安全等级保护定级报告》模版 信息系统安全等级保护定级报告》 一、XXX信息系统描述 简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。 二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统 安全等级保护定级指南》） （一）业务信息安全保护等级的确定 1、业务信息描述 描述信息系统处理的主要业务信息等。 2、业务信息受到破坏时所侵害客体的确定 说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。 3、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。 —9 —

4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。 （二）系统服务安全保护等级的确定 1、系统服务描述 描述信息系统的服务范围、服务对象等。 2、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。 4、系统服务安全等级的确定 依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。 （三）安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较咼者决定，最终确定XXX系统安全保护等级为第几级。 —10 —

信息系统管理制度

信息系统管理制度 一、总则 （一）用于公司办公信息系统、项目管理系统、财务管理系统等信息系统的管理，通过对信息的系统设置、开发、使用权限、日常维护、信息平台建设、信息整合、信息共享，使企业信息有效沟通与资源共享，为业务操作及资源管理提供决策依据。 （二）公司信息资源管理系统依照“一个整体，两个层次；归口管理，分工负责”的方针建立，主管部门归口管理，各业务部门专业管理。 二、分工与职责 （一）综合管理部 1、负责办公信息系统建设、推广应用和维护工作； 2、负责办公信息系统的安全、检查和保密工作。 （二）财务审计部 1、负责财务信息系统建设、应用、维护工作； 2、负责财务信息系统的安全、检查和保密工作。 （三）项目运营部 1、负责项目管理系统建设、推广应用和维护工作； 2、负责项目管理系统的安全、检查和保密工作； 3、接受安徽科达洁能关于项目信息管理业务的工作指导。 （四）人力资源部 1、负责办公信息系统的考勤管理工作； 2、负责审查离职员工信息系统账户注销工作。 （五）相关部门 1、负责与业务资源的信息系统录入及数据维护； 2、负责本部门业务范围内有关信息资源的日常管理工作； 3、协同信息系统归口部门全面开展信息资源管理工作。 （六）网络管理员 1、负责信息系统网络连接、电脑及服务器等硬件的维护； 2、负责公司信息系统的技术支持工作。 （七）系统管理员 1、负责员工信息系统账户分配、备案和离职员工账户注销工作； 2、负责信息系统的数据信息维护、备份工作； 3、监控督促各专业部门及时进行信息录入工作； 4、负责审查信息系统中的审批流与授权的符合性； 5、负责提出信息系统存在问题及改进意见，完善信息系统知识库。

信息系统安全等级保护备案表

《信息系统安全等级保护备案表》 数据项说明 1.填表范围：本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单位”） 填写；本表由四张表单构成，表一为单位信息，每个备案单位填写一张；表二为信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张；表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系统填写，并在完成系统建设、整改、测评等工作，投入运行后30日内向受理备案公安机关提交；表二、表 三、表四可以复印使用，在使用过程中注意信息系统编号，如某单位共有6个信息系统， 则填写过程中要遵循表二（1/6）、表二（2/6）……表二（6/6）的编号和命名规则。如果6个信息系统中有3个是第三级以上信息系统，则表四的编号要和同一信息系统的表 二、三的编号保持一致。如，单位共有6个信息系统，其中有一个第三级以上信息系统 A，则该单位需要填写1张表一，6张表二和表三，1张表四。假设A系统表二的编号为表二（2/6），则相对应的表四的编号也应当是表四（2/6）。 2.保存方式：本表一式二份，由备案单位和受理备案的公安机关分别盖章后，一份由备案 单位保存，一份交受理备案公安机关存档。 3.《备案表》中有选择的地方请在选项左侧划“√”，如选择“其他”，请在其后的横线中 注明详细内容,需要填写数字代码的地方，请在“ ”中直接填写。 4.备案表编号：封面中的“备案表编号”由两组共11位数字组成，第一组6位，代表受 理备案的公安机关代码前六位（可参照行标GA380-2002）；第二组5位，为受理备案的公安机关给出的备案单位的受理顺序号。此项内容统一由受理备案的公安机关填写。 5.备案单位：本表封面中的“备案单位”填写运营使用信息系统的法人单位全称。 6.受理备案单位：本表封面中的“受理备案单位”填写受理备案的公安机关网监部门名称。 此项由受理备案的公安机关负责填写。 7.行政区划代码：表一中04项“行政区划代码”中6位代码是指单位所在地县(区、市、 旗)的代码，该代码需与《中华人民共和国行政区划代码》（GB 2260-1995）一致。以北京市举例，标准6位地址码的构成如下： 110000 北京市，110101 东城区……。 8.单位负责人：表一中的“单位负责人”是指负责本单位信息安全的领导。 9.责任部门：表一中的“责任部门”是指单位内负责信息系统安全的部门。如果单位内的 信息系统分别由不同的责任部门管理，则可以统一填写在表一的责任部门一栏中，或分别填写表一。 10.责任部门联系人：表一中的“责任部门联系人”是指本单位开展信息安全等级保护工作 的联系人。如果责任部门联系人有多个，则可以分别填写表一或均填写在表一责任部门联系人一栏中。 11.隶属关系：表一中第08项“隶属关系”是指本单位隶属于哪一级行政管理单位，按照 国家标准《单位隶属关系代码》(GB/T12404-1997)分为：中央、省、市(地区)、县、街道、镇、乡、社区(居委会)、村民委员会和其他。

信息系统运行维护管理规定守则

信息系统运行维护管理 规定守则 Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】

信息系统运行维护管理制度 第一章范围及职责 第一条本制度适用于信息系统的运行维护管理，包括：业务系统运维管理、备份和恢复、口令和权限管理、恶意代码防范管理以及系统补丁管理。 第二条某某单位办公室（以下简称：办公室）负责信息系统运行维护管理制度的制定和修订；系统管理员负责信息系统的运行维护。 第二章业务系统运维管理 第三条对运行关键业务的系统进行监控。监控系统关键性能参数（如启动参数）、工作状态、占用资源和容量使用情况等内容。 第四条不得随意重启业务系统服务器、相关网络设备和安全设备，尽量少安装业务无关的与其它软件。 第五条定期对系统日志进行审计、备份。 第六条对主机系统上开放的网络服务和端口进行检查，发现不需要开放的网络服务和端口时及时通知相关管理员进行关闭。 第七条对系统运行情况进行记录，每月对记录结果进行分析、统计，并形成分析报告向上级汇报。 第八条开办交互式栏目的信息系统必须配备关键字过滤措施，防止出现有害信息和非法言论。 第九条不同的业务系统应采取不同的保护措施，达到等级保护二级以上标准时应向网监部门提交备案申请并取得备案编号。

第十条已在网监部门备案的信息系统要根据等级保护国标和上级主管部门的工作要求开展测评和整改工作。 第十一条所有在互联网发布的信息系统都必须在公安部门进行备案登记。已备案信息系统应注意前次备案的有效期限，应在备案失效前再次向公安部门报送材料进行备案，保证信息系统备案状态的持续性。 第三章备份与恢复管理 第十二条按照业务数据的重要性，采取不同介质进行备份，如：专业存储阵列、磁带、硬盘、光盘等；备份介质要标注内容、日期、操作员和状态。 第十三条备份介质（磁带、硬盘和光盘）要按照时间顺序保存。 第十四条备份介质必须异地存放，存放环境要满足介质存储的安全要求。 第十五条当介质超出有效使用期时，即使还能使用也要强制报废。 第十六条按照备份策略，对不同业务数据采用不同备份方式，灵活运用完全备份、增量备份和差异备份等方式进行备份，保证信息系统出现故障时，能够满足数据恢复的时间点和速度要求。 第十七条每次备份必须进行备份记录，对备份介质类型、备份的频率、数据量、数据属性等有明确描述，并及时检查备份的状态和日志，确保备份是成功的。 第十八条定期对介质做恢复测试，至少一年两次。 第三章口令、权限管理 第十九条口令安全是保护信息安全的重要措施之一。口令规范如下：

《信息系统安全等级保护备案表》模板

信息系统安全等级保护 备案表 备 案 单 位： （盖章） 备 案 日 期： 受理备案单位： （盖章） 受 理 日 期： 中华人民共和国公安部监制 备案表编号：

填表说明 一、制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43号）之规定，制作 本表； 二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单 位”）填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表二为信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张； 表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系统填写一张，并在完成系统建设、整改、测评等工作，投入运行后三十日内向受理备案公安机关提交；表二、表三、表四可以复印使用； 三、保存方式。本表一式二份，一份由备案单位保存，一份由受理备案公安机关存档； 四、本表中有选择的地方请在选项左侧“ ”划“√”，如选择“其他”，请在其后的横线 中注明详细内容； 五、封面中备案表编号（由受理备案的公安机关填写并校验）：分两部分共11位，第一部 分6位，为受理备案公安机关代码前六位（可参照行标GA380-2002）。第二部分5位，为受理备案的公安机关给出的备案单位的顺序编号； 六、封面中备案单位：是指负责运营使用信息系统的法人单位全称； 七、封面中受理备案单位：是指受理备案的公安机关公共信息网络安全监察部门名称。此 项由受理备案的公安机关负责填写并盖章； 八、表一04行政区划代码：是指备案单位所在的地(区、市、州、盟)行政区划代码； 九、表一05单位负责人：是指主管本单位信息安全工作的领导； 十、表一06责任部门：是指单位内负责信息系统安全工作的部门； 十一、表一08隶属关系：是指信息系统运营使用单位与上级行政机构的从属关系，须按照单位隶属关系代码（GB/T12404―1997）填写； 十二、表二02系统编号：是由运营使用单位给出的本单位备案信息系统的编号； 十三、表二05系统网络平台：是指系统所处的网络环境和网络构架情况； 十四、表二07关键产品使用情况：国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股，在中华人民共和国境内具有独立的法人资格，产品的核心技术、关键部件具有我国自主知识产权； 十五、表二08系统采用服务情况：国内服务商是指服务机构在中华人民共和国境内注册成立（港澳台地区除外），由中国公民、法人或国家投资的企事业单位； 十六、表三01、02、03项：填写上述三项内容，确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》，信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选； 十七、表三06主管部门：是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。部级单位此项可不填； 十八、解释：本表由公安部公共信息网络安全监察局监制并负责解释，未经允许，任何单位和个人不得对本表进行改动。