廣東 GB/T 22239 信息安全等級保護(hù)申請全解：條件、流程和費用

一、申請條件

（一）信息系統(tǒng)運營使用單位要求

1. 具有獨立法人資格：無論是企業(yè)、事業(yè)單位還是政府部門等，需在法律上具備獨立承擔(dān)民事責(zé)任的能力，以確保在信息安全等級保護(hù)工作中能夠履行相應(yīng)的義務(wù)和責(zé)任。
2. 有明確的信息系統(tǒng)：必須擁有實際運行且有清晰邊界和功能界定的信息系統(tǒng)，該系統(tǒng)涵蓋了計算機硬件、軟件、網(wǎng)絡(luò)設(shè)備以及相關(guān)數(shù)據(jù)等要素，且在組織的業(yè)務(wù)運營中扮演關(guān)鍵角色。

（二）信息系統(tǒng)要求

1. 依據(jù)系統(tǒng)重要性分級：根據(jù)信息系統(tǒng)所處理、存儲和傳輸信息的重要性、敏感性以及一旦遭受破壞可能對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益造成的損害程度，劃分為不同的安全等級，如一級至五級，一般廣東地區(qū)企業(yè)常見的多為二級和三級。
2. 具備基本安全防護(hù)能力：在申請等級保護(hù)之前，信息系統(tǒng)應(yīng)已實施了一定的安全防護(hù)措施，包括但不限于訪問控制、數(shù)據(jù)加密、漏洞管理、安全審計等方面，以滿足相應(yīng)等級保護(hù)的基本要求。

二、申請流程

（一）確定信息系統(tǒng)安全等級

1. 信息系統(tǒng)運營使用單位首先要依據(jù)自身業(yè)務(wù)特點和信息資產(chǎn)情況，按照 GB/T 22239 標(biāo)準(zhǔn)對信息系統(tǒng)進(jìn)行全面的安全分析和評估，確定其所屬的安全等級?？蓞⒖枷嚓P(guān)行業(yè)指南以及國家、地方的信息安全政策法規(guī)要求進(jìn)行判斷。
2. 對于難以確定等級的復(fù)雜信息系統(tǒng)，可邀請專業(yè)的信息安全評估機構(gòu)或?qū)＜疫M(jìn)行咨詢和指導(dǎo)，確保等級劃分的準(zhǔn)確性和合理性。

（二）開展安全建設(shè)與整改

1. 根據(jù)確定的安全等級，對照相應(yīng)等級的基本要求，全面梳理信息系統(tǒng)存在的安全隱患和不足。制定詳細(xì)的安全建設(shè)與整改方案，方案應(yīng)涵蓋技術(shù)和管理兩個層面的措施，如網(wǎng)絡(luò)架構(gòu)優(yōu)化、服務(wù)器加固、安全管理制度完善等。
2. 組織實施安全建設(shè)與整改工作，可自行組建專業(yè)團(tuán)隊或委托有資質(zhì)的信息安全服務(wù)提供商進(jìn)行。在整改過程中，要注重對整改效果的驗證和評估，確保各項安全措施有效落地并達(dá)到預(yù)期目標(biāo)。

（三）選擇測評機構(gòu)并進(jìn)行測評

1. 在廣東，有眾多具備資質(zhì)的信息安全等級保護(hù)測評機構(gòu)可供選擇。運營使用單位可通過官方網(wǎng)站查詢測評機構(gòu)名單，綜合考慮機構(gòu)的專業(yè)能力、信譽、服務(wù)質(zhì)量以及價格等因素，選擇合適的測評機構(gòu)。
2. 與選定的測評機構(gòu)簽訂測評合同，明確測評范圍、內(nèi)容、時間安排以及雙方的權(quán)利和義務(wù)。測評機構(gòu)將依據(jù) GB/T 22239 標(biāo)準(zhǔn)及相關(guān)測評規(guī)范，對信息系統(tǒng)進(jìn)行全面的安全測評，包括技術(shù)測評和管理測評兩部分，測評過程中會采用多種技術(shù)手段和方法，如漏洞掃描、滲透測試、文檔審查等。
3. 測評完成后，測評機構(gòu)將出具詳細(xì)的測評報告，報告中會明確指出信息系統(tǒng)是否符合相應(yīng)等級保護(hù)要求，若存在不符合項，會詳細(xì)說明具體問題及整改建議。

（四）提交備案申請材料

1. 運營使用單位在獲得符合要求的測評報告后，需準(zhǔn)備相關(guān)備案申請材料，向當(dāng)?shù)毓矙C關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門提交備案申請。備案材料一般包括信息系統(tǒng)備案表、信息系統(tǒng)安全等級保護(hù)定級報告、信息系統(tǒng)安全等級保護(hù)測評報告、單位營業(yè)執(zhí)照或組織機構(gòu)代碼證復(fù)印件等。
2. 公安機關(guān)將對備案材料進(jìn)行審核，若材料齊全且符合要求，將予以受理并發(fā)放備案證明；若材料存在問題或不完整，將通知運營使用單位補充或修改材料后重新提交。

三、費用情況

（一）安全建設(shè)與整改費用

1. 這部分費用因信息系統(tǒng)的規(guī)模、復(fù)雜程度以及安全等級要求的不同而有較大差異。對于小型企業(yè)的二級信息系統(tǒng)，安全建設(shè)與整改費用可能在數(shù)萬元至十幾萬元不等；而對于大型企業(yè)的三級信息系統(tǒng)，費用可能高達(dá)數(shù)十萬元甚至上百萬元。費用主要涵蓋安全設(shè)備采購與部署（如防火墻、入侵檢測系統(tǒng)、防病毒軟件等）、安全軟件開發(fā)與定制、安全服務(wù)（如安全咨詢、漏洞掃描服務(wù)等）以及人員培訓(xùn)等方面。
2. 若委托信息安全服務(wù)提供商進(jìn)行安全建設(shè)與整改，其服務(wù)費用通常根據(jù)項目的具體工作量和難度進(jìn)行計算，一般會在合同中明確約定服務(wù)內(nèi)容和收費標(biāo)準(zhǔn)。

（二）測評費用

1. 在廣東地區(qū)，信息安全等級保護(hù)測評費用也與信息系統(tǒng)的安全等級和規(guī)模相關(guān)。二級信息系統(tǒng)的測評費用一般在 3 - 5 萬元左右，三級信息系統(tǒng)的測評費用則在 6 - 10 萬元左右。這只是一個大致的參考范圍，實際費用可能會因測評機構(gòu)的不同以及市場行情的波動而有所變化。
2. 測評費用通常包括一次性的測評服務(wù)費用以及可能的差旅費用等，在與測評機構(gòu)簽訂合同時應(yīng)明確各項費用明細(xì)，避免后期出現(xiàn)費用糾紛。

（三）其他費用

1. 在申請過程中，可能還會產(chǎn)生一些其他費用，如咨詢專家費用（若需要外部專家對等級劃分或整改方案進(jìn)行指導(dǎo)）、備案材料制作費用（如打印、裝訂等）等，但這些費用相對較少，一般在數(shù)千元以內(nèi)。
2. 此外，信息系統(tǒng)運營使用單位在后續(xù)的運維過程中，還需要持續(xù)投入資金用于安全設(shè)備的更新升級、安全服務(wù)的續(xù)費以及人員的安全培訓(xùn)等，以確保信息系統(tǒng)始終符合信息安全等級保護(hù)要求。