企业需重点关注等保的动态性与持续性。等保不仅是阶段性测评，更需建立长效机制，包括定期安全评估、漏洞修复和应急演练。做等保需全面掌握政策、技术及流程要求。首先需明确系统所属行业及业务特性，判断其涉及的数据敏感度和潜在风险，本文详细为大家介绍关于等保的相关信息。

　　一、做等保需要了解哪些信息

　　等保级别划分：了解五个等级(一级到五级)的划分依据，即信息系统受到破坏后可能造成的危害程度，涵盖对公民、法人和其他组织合法权益、社会秩序、公共利益以及国家安全的影响范围和严重性。

　　等保流程：熟悉从系统定级、备案、整改实施、系统测评到运维检查的完整流程，明确每个环节的具体要求和操作步骤。

　　费用构成：清楚等保测评费用包括测评费用和其他相关费用，费用根据信息系统的等级和规模而定，例如二级系统测评费用在3万至6万元之间，三级系统在4万至10万元之间。

　　适用企业与系统：了解不同等保级别适用的企业和系统类型，如三级等保适用于第四级以上的国家机关、企业事业单位内部重要的信息系统，以及涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。

　　备案材料：掌握向公安机关提交备案资料的具体内容，包括信息系统等级保护备案表、定级报告、网络与信息安全承诺书、营业执照复印件、法人身份证复印件、被授权人身份证及委托书、单位办公地证明、服务器托管协议、应急联系人登记表、定级专家评审意见、行业主管部门定级审核意见、安全产品清单及认证销售许可证明、信息安全工作管理制度、系统拓扑图及说明、系统使用网络IP地址清单等。

　　二、等保级别划分

　　等保等级根据信息系统受到破坏后可能造成的危害程度，从低到高划分为五个级别：

　　一级(自主保护级)：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。一般适用于小型私营个体企业、中小学乡镇所属的信息系统，县级单位中一般的信息系统不需要备案，对评估周期没有要求。

　　二级(指导保护级)：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。适用于县级其他单位中的重要信息系统，四级以上的国家机关、企事业单位内部一般的信息系统，如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。公安机关备案建议两年评估一次。

　　三级(监督保护级)：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。适用于第四级以上的国家机关、企业事业单位内部重要的信息系统，如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。公安机关备案要求每年检测一次。

　　四级(强制保护级)：等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。一般适用于国家重要领域、重要部门中的特别重要系统，以及核心系统，例如电力、电信、广电、铁路、民航、银行、税务等重要部门的生产调度指挥等涉及国家安全、国计民生的核心系统。公安部门备案要求半年一次。

　　五级(专控保护级)：等级保护对象受到破坏后，会对国家安全造成特别严重损害。一般适用于国家重要领域、重要部门中的极端重要系统，公安部门根据特殊安全需求备案。

　　三、做等保三级的流程

　　1.系统定级：

　　编写定级报告、填写定级备案表。

　　根据《网络安全等级保护定级指南》，对信息系统进行自我评估，确定其业务信息安全等级和系统服务安全等级，由两者中较高者作为信息系统的初步安全保护等级。

　　必要时通过专家评审环节，运营使用单位或主管部门在确定系统安全保护等级后，聘请专家进行评审，并将专家评审报告提交给所属行业或领域的主管部门进行审查。

　　2.系统备案：

　　定级备案表填写完整后，将定级材料提交至公安机关进行备案审核。

　　将主管部门的审批意见提交给所在地的公安机关网安部门，公安机关网安部门对审批意见进行备案，并出具备案通知书。

　　3.整改实施：

　　对系统进行调研，开展差距评估。

　　依照国家相关标准进行方案设计，完成相应设备采购及调整、策略配置调试、完善管理制度等工作。

　　4.系统测评：

　　委托具有相应资质的等级保护测评机构对信息系统进行测评。

　　按照《信息安全技术 网络安全等级保护基本要求》和《信息安全技术 网络安全等级保护测评方法》，对信息系统的安全技术要求和安全管理要求进行检测和评估。

　　测评机构根据测评结果出具测评报告，指出信息系统中存在的问题和改进建议，测评评分合格后获得合格测评报告，并最终获得等级保护备案证。

　　5.运维检查：

　　定期对信息系统进行运维检查，确保各项安全措施得到有效执行。

　　根据运维检查结果和新的安全威胁，不断优化信息系统的安全保护措施，提高信息系统的安全防护能力。

　　四、三级等保是哪个部门管

　　三级等保由国家信息安全监管部门进行监督、检查。公安机关依据国家信息安全保护条例及相关制度规定，按照管理规范和技术标准，对各机构的信息系统安全等级保护状况进行认可及评定。

　　企业在做等保工作的时候需与测评机构、监管部门保持沟通，及时获取政策更新和技术指导。若系统业务扩展或数据量激增，需重新评估定级并调整防护措施。通过持续优化，企业既能满足合规要求，也能提升整体安全防护能力。