浙江 GB/T 22239 信息安全等級保護(hù)申請全解：條件、流程和費用

一、申請條件

（一）合法合規(guī)運營

（二）明確信息系統(tǒng)邊界與功能

（三）具備基本安全管理制度與措施

二、申請流程

（一）系統(tǒng)定級

1. 確定定級對象
   單位首先要依據(jù)自身業(yè)務(wù)和信息系統(tǒng)的實際情況，確定需要進(jìn)行等級保護(hù)定級的信息系統(tǒng)?？梢允菃蝹€獨立的信息系統(tǒng)，也可以是由多個相互關(guān)聯(lián)的子系統(tǒng)組成的大型信息系統(tǒng)綜合體。例如，一家大型企業(yè)可能將其辦公自動化系統(tǒng)、財務(wù)系統(tǒng)、客戶關(guān)系管理系統(tǒng)等分別作為定級對象。
2. 初步確定等級
   根據(jù)信息系統(tǒng)所處理信息的重要性、業(yè)務(wù)對信息系統(tǒng)的依賴程度以及信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素，參照相關(guān)定級指南，初步確定信息系統(tǒng)的安全保護(hù)等級。浙江地區(qū)信息系統(tǒng)的安全保護(hù)等級一般分為五級，從第一級到第五級逐級增高，大多數(shù)企業(yè)的信息系統(tǒng)集中在二級和三級。例如，涉及公民個人信息且業(yè)務(wù)影響范圍較大的電商平臺交易系統(tǒng)可能初步定為三級。
3. 專家評審與主管部門審核
   初步定級后，單位需組織專家對定級結(jié)果進(jìn)行評審，專家應(yīng)涵蓋信息安全技術(shù)專家、行業(yè)業(yè)務(wù)專家以及相關(guān)法律專家等。評審?fù)ㄟ^后，將定級結(jié)果報送給相應(yīng)的行業(yè)主管部門或監(jiān)管部門進(jìn)行審核。例如，金融機構(gòu)的信息系統(tǒng)定級結(jié)果需報送當(dāng)?shù)亟鹑诒O(jiān)管部門審核，教育機構(gòu)的信息系統(tǒng)則報送教育主管部門審核。

（二）備案

1. 準(zhǔn)備備案材料
   在通過定級審核后，單位需準(zhǔn)備詳細(xì)的備案材料，包括《信息系統(tǒng)安全等級保護(hù)備案表》、信息系統(tǒng)定級報告、系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明、安全管理制度文檔、安全保護(hù)設(shè)施設(shè)計實施方案或者改建實施方案等。備案表應(yīng)如實填寫單位基本信息、信息系統(tǒng)基本情況、信息系統(tǒng)定級情況等內(nèi)容，確保信息準(zhǔn)確無誤。
2. 提交備案申請
   將準(zhǔn)備好的備案材料提交至所在地的市級以上公安機關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門。可以通過線上或線下的方式進(jìn)行提交，線上提交一般通過當(dāng)?shù)毓矙C關(guān)指定的信息安全等級保護(hù)備案管理系統(tǒng)，線下則需將紙質(zhì)材料遞交至公安機關(guān)的相關(guān)辦事窗口。例如，杭州市的單位可將備案材料提交至杭州市公安局網(wǎng)絡(luò)安全保衛(wèi)部門。
3. 備案審核與反饋
   公安機關(guān)在收到備案申請后，會對備案材料進(jìn)行審核。審核內(nèi)容包括材料的完整性、準(zhǔn)確性以及定級的合理性等。如果審核通過，公安機關(guān)將向申請單位發(fā)放《信息系統(tǒng)安全等級保護(hù)備案證明》；若存在問題，公安機關(guān)會通知申請單位進(jìn)行補充或修改材料，并重新提交審核。

（三）測評

1. 選擇測評機構(gòu)
   單位在取得備案證明后，需自主選擇具有資質(zhì)的信息安全等級保護(hù)測評機構(gòu)進(jìn)行測評。浙江地區(qū)有多家具備相應(yīng)資質(zhì)的測評機構(gòu)，單位可根據(jù)測評機構(gòu)的專業(yè)能力、行業(yè)口碑、服務(wù)價格等因素進(jìn)行綜合評估和選擇。例如，可參考測評機構(gòu)過往的測評案例、客戶評價以及其在信息安全領(lǐng)域的技術(shù)實力和研究成果等。
2. 開展測評工作
   測評機構(gòu)在接受委托后，會依據(jù) GB/T 22239 標(biāo)準(zhǔn)以及相關(guān)測評規(guī)范，對信息系統(tǒng)的安全技術(shù)狀況和安全管理狀況進(jìn)行全面測評。測評內(nèi)容包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等方面。測評過程中，測評機構(gòu)會采用訪談、檢查、測試等多種方法收集證據(jù)，并對信息系統(tǒng)的安全狀況進(jìn)行綜合評價，形成測評報告。例如，測評機構(gòu)會檢查信息系統(tǒng)所在機房的物理環(huán)境是否符合安全要求，測試網(wǎng)絡(luò)設(shè)備的安全配置是否合理，審查安全管理制度是否有效執(zhí)行等。
3. 整改與復(fù)測
   根據(jù)測評報告中指出的不符合項和安全隱患，單位需制定詳細(xì)的整改方案并組織實施整改。整改完成后，可申請測評機構(gòu)進(jìn)行復(fù)測，確保信息系統(tǒng)達(dá)到相應(yīng)等級的安全要求。整改工作可能涉及網(wǎng)絡(luò)架構(gòu)優(yōu)化、安全設(shè)備升級、安全管理制度完善、人員培訓(xùn)加強等多個方面。例如，如果測評發(fā)現(xiàn)某單位信息系統(tǒng)的防火墻策略配置存在漏洞，單位則需對防火墻策略進(jìn)行調(diào)整和優(yōu)化，并在整改后再次進(jìn)行測試驗證。

（四）監(jiān)督檢查

1. 公安機關(guān)定期檢查
   浙江公安機關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門會定期對已備案的信息系統(tǒng)開展監(jiān)督檢查工作，檢查內(nèi)容包括信息系統(tǒng)的安全運行狀況、安全管理制度落實情況、測評整改情況等。檢查方式包括現(xiàn)場檢查、遠(yuǎn)程技術(shù)檢測、數(shù)據(jù)調(diào)閱分析等。例如，公安機關(guān)可能會不定期對信息系統(tǒng)的網(wǎng)絡(luò)流量進(jìn)行監(jiān)測分析，檢查是否存在異常流量和安全威脅；或者對單位的安全管理制度文檔進(jìn)行調(diào)閱審查，核實制度的執(zhí)行情況。
2. 單位自查與配合檢查
   單位自身也應(yīng)建立信息系統(tǒng)安全自查機制，定期對信息系統(tǒng)進(jìn)行安全檢查和風(fēng)險評估，及時發(fā)現(xiàn)并解決安全問題。在公安機關(guān)開展監(jiān)督檢查時，單位應(yīng)積極配合，如實提供相關(guān)信息和資料，不得隱瞞或拒絕檢查。例如，單位應(yīng)按照公安機關(guān)要求提供信息系統(tǒng)的運維日志、安全審計報告、整改記錄等資料，協(xié)助公安機關(guān)全面了解信息系統(tǒng)的安全狀況。

三、費用情況

（一）測評費用

（二）整改費用

（三）其他費用