网络安全等级保护备案（等保备案）办理指南

2025年3月8日，公安部网安局发布了《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)，对网络安全等级保护工作提成了新要求。2025年4月27日，公安部发布公网安〔2025〕1846号文件，对3月8日部署的网络安全等级保护工作进一步说明，要求各级单位深化系统备案更新、数据资源摸底及风险整改，并对部分关键问题进行了指导说明。

第一级：用户自主保护级。

　　适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。

第二级：系统审计保护级。

　　适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。

第三级：安全标记保护级。

　　适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。

第四级：结构化保护级。

　　适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。

第五级：访问验证保护级。

　　适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。

（等保备案分级）

　　1.教育行业：985、211大学必须做等保，教育部发文要求在线教育必须做等保;

　　2.医疗行业：各大医院系统必须做等保，互联网医院/互联网诊疗要想上线取得线上诊疗资质，必须过等保;

　　3.金融行业：不做等保不允许经营，P2P行业监管Zui严;

　　4.能源、通信、交通行业：上级主管部门要求;

　　5.，企事业单位，央企：等保和负责人的绩效考核挂钩;

　　6.征信行业：行业要求必须做等保;

　　7.软件开发：行业或者甲方要求必须做等保;

　　8.物联网：行业或者甲方要求必须做等保;

　　9.工业数据安全：行业或者甲方要求必须做等保;

　　10.大数据：行业或者甲方要求必须做等保;

　　11.云计算：阿里云，华为云，云电话，云视频，云服务等;

　　12.货运行业：企业办理网络货运营运资格证要求必须做等保三级;

　　13.酒店行业：个人隐私保密;

　　14.户外大屏、广告牌等用于公众宣传的项目：防止大范围散播政治、暴力、敏感信息。

　　1.系统定级报告;

　　2.签订网络与信息安全承诺书;

　　3.专家评审意见及专家资质复印件;

　　4.营业执照复印件;

　　5.法人身份证复印件;

　　6.被授权人身份证复印件及办理备案工作的授权委托书;

　　7.备案单位办公地证明;

　　8.备案单位服务器托管协议。

第一步：确定定级对象

　　各行业主管部门、运营使用单位应组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，确定定级对象。

第二步：初步确定安全保护等级

　　各信息系统主管部门和运营使用单位要按照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》，初步确定定级对象的安全保护等级。确定信息系统安全保护等级后，聘请专家进行评审。信息系统运营使用单位有上级行业主管部门的，应当报上级行业主管部门审批同意。

第三步：等级备案

　　已运营(运行)或新建的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。公安机关经审查，符合等级保护要求的，应当在收到备案材料起的10个工作日内向备案单位颁发信息系统安全保护等级备案证明;发现不符合要求的，通知备案单位予以纠正;发现定级不准的，通知备案单位重新审核确定。

第四步：建设整改及测评

　　定级对象的运营和使用单位根据公安机关定级审查的结果，按照《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)的相关要求，在测评机构和相关技术支持单位的指导下，开展系统的安全建设及整改工作。

第五步：监督检查

　　公安机关全程负责网络安全等级保护工作的监督、检查和指导;公安机关工作中发现不符合管理规范和技术标准的，应当发出整改通知要求整改。