北京 GB/T 22239 信息安全等級保護申請全解：條件、流程和費用

一、申請條件

1. 主體資格：北京市內(nèi)依法設(shè)立的各類機關(guān)、企事業(yè)單位、社會團體、民辦非企業(yè)等組織，無論規(guī)模大小、所屬行業(yè)領(lǐng)域，只要運營或處理信息，均有義務(wù)依規(guī)開展等級保護工作、申請相應(yīng)評定。像互聯(lián)網(wǎng)科技企業(yè)手握海量用戶數(shù)據(jù)，傳統(tǒng)金融機構(gòu)承載資金交易信息，乃至教育機構(gòu)保存師生資料，皆是適格主體。
2. 信息系統(tǒng)特性：具備獨立業(yè)務(wù)處理功能、有明確邊界與運維責(zé)任主體的信息系統(tǒng)，是申請等保評定的基礎(chǔ)單元。系統(tǒng)需穩(wěn)定運行一定周期（常規(guī)不少于三個月），積累可供評測的運行數(shù)據(jù)與安全狀態(tài)表現(xiàn)，例如政務(wù)服務(wù)平臺日常辦理審批業(yè)務(wù)、電商企業(yè)線上交易系統(tǒng)處理訂單，方能納入等?？剂糠秶?。
3. 安全基礎(chǔ)支撐：從技術(shù)層面看，要有基礎(chǔ)的網(wǎng)絡(luò)安全防護設(shè)備，如防火墻阻擋外部非法入侵、入侵檢測 / 防御系統(tǒng)監(jiān)測異常流量與攻擊；服務(wù)器需定期更新補丁、加固系統(tǒng)配置。管理維度上，應(yīng)制定涵蓋人員安全職責(zé)、數(shù)據(jù)分類分級、應(yīng)急處置預(yù)案等系列制度，構(gòu)建起基本的信息安全管理框架，確保日常運維有章可循、應(yīng)急響應(yīng)及時高效。

二、申請流程

1. 系統(tǒng)定級：依據(jù)信息系統(tǒng)所承載業(yè)務(wù)的重要性、涉及數(shù)據(jù)敏感程度、受破壞后的影響范圍與程度等因素，參照 GB/T 22239 標(biāo)準(zhǔn)，自主確定系統(tǒng)安全保護等級，一般分為一至五級，在北京，常見業(yè)務(wù)系統(tǒng)多集中在二級、三級。定級后編制詳細定級報告，闡述系統(tǒng)概況、業(yè)務(wù)流程、數(shù)據(jù)分布、定級依據(jù)等，提交至上級主管部門（有行業(yè)主管時）或?qū)俚毓矙C關(guān)網(wǎng)安部門審核，獲取定級備案審核意見。
2. 備案準(zhǔn)備與提交：按審核通過的定級情況，準(zhǔn)備備案材料，涵蓋單位基本證照（營業(yè)執(zhí)照、法人身份證等）、信息系統(tǒng)備案表（詳細填列系統(tǒng)名稱、域名、IP 地址段、網(wǎng)絡(luò)拓撲等關(guān)鍵信息）、定級報告等，通過 “全國網(wǎng)絡(luò)安全等級保護備案管理系統(tǒng)”（北京屬地對應(yīng)端口）線上錄入，同時向公安機關(guān)網(wǎng)安部門提交紙質(zhì)材料，完成備案登記，領(lǐng)取備案證明，正式開啟等保流程。
3. 差距評估與整改：委托具備等保測評資質(zhì)的專業(yè)測評機構(gòu)，依據(jù) GB/T 22239 對應(yīng)等級要求，全面檢查信息系統(tǒng)在安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心及管理制度等層面的現(xiàn)狀，梳理與標(biāo)準(zhǔn)要求的差距點，形成評估報告。單位依此制定整改方案，投入人力、物力、財力資源，逐一落實整改措施，如升級網(wǎng)絡(luò)設(shè)備、完善身份認證機制、強化數(shù)據(jù)加密存儲等，使系統(tǒng)契合標(biāo)準(zhǔn)規(guī)范。
4. 測評驗收：整改完畢且穩(wěn)定運行一段時間后，測評機構(gòu)再次入場，依規(guī)范流程開展深度測評，檢驗整改成效，從技術(shù)、管理各項指標(biāo)綜合考量，評定系統(tǒng)是否達到所定等級安全要求。若測評合格，出具測評報告提交公安機關(guān)網(wǎng)安部門審核；未合格則需持續(xù)整改、復(fù)測，直至通過驗收，最終獲得信息安全等級保護認證。

三、費用情況

1. 測評費用：這是申請等保的主要開支項，北京市場上，二級信息系統(tǒng)測評費用通常在 5 - 8 萬元左右，因系統(tǒng)復(fù)雜程度、測評機構(gòu)品牌影響力等因素有所波動；三級信息系統(tǒng)測評因測評項目增多、要求更高，費用大致在 8 - 15 萬元區(qū)間。部分大型復(fù)雜集團企業(yè)的多級架構(gòu)、多功能融合系統(tǒng)，測評成本會依實際評估工作量上浮。
2. 整改費用：整改投入依系統(tǒng)短板狀況差異極大。購置基礎(chǔ)安全設(shè)備如防火墻（入門級約 2 - 5 萬元 / 臺）、漏洞掃描設(shè)備（3 - 8 萬元 / 套），完善軟件系統(tǒng)安全功能模塊（如數(shù)據(jù)加密插件按授權(quán)數(shù)收費，幾千元到數(shù)萬元不等），搭建安全管理體系涉及制度梳理、人員培訓(xùn)（單次培訓(xùn)課程費用幾千元至上萬元）等，整體整改花費少則數(shù)萬元，多則數(shù)十萬元，視整改深度廣度而定。
3. 咨詢費用：部分單位為確保等保流程順暢、精準(zhǔn)把握標(biāo)準(zhǔn)要求，聘請專業(yè)安全咨詢顧問或機構(gòu)協(xié)助，咨詢服務(wù)費依服務(wù)周期、復(fù)雜程度，二級系統(tǒng)項目約 2 - 4 萬元，三級系統(tǒng)項目約 4 - 6 萬元，為等保申請全程提供專業(yè)指引、文檔編制審核等增值服務(wù)。