2018年以来各地公安网安部门加强了网络安全等保测评执法检查力度，逐步要求属地企业必须落实网络安全等保定级备案义务，否则被约谈或处罚。事实上网络安全等保测评制度早在1994年的《计算机信息系统安全保护条例》中即已确立。公安部先后发布了《信息安全等级保护管理办法》、《关于开展全国重要信息系统安全等级保护定级工作的通知》、《信息安全等级保护备案实施细则》等几个规定。2017年《网络安全法》首次将等保制度上升到法律层面。2018年初全国信安标委更新、发布了一系列等保有关的指引性标准。

下面西安弈聪信息技术有限公司结合企业办理等保定级备案、测评的实务经验，简要分享网络安全等保定级备案及测评有关的几个实务问题。

一、哪些企业必须执行网络安全等保制度

尽管在早些时候，等保制度实行自主定级、自主保护的原则，但是随着2017年《网络安全法》实施，国家实行普遍性网络安全等级保护制度。所有网络运营者（网络的所有者、管理者和网络服务提供者）都应当按照网络安全等级保护制度的要求，履行相关的安全保护义务。所以一切具有联网功能的网络信息系统的运营、使用单位或者其主管部门（参照《信息安全等级保护管理办法》规定，统称为“备案主体”），都必须执行网络安全等级保护制度，并根据定级情况履行等定级保备案义务。

根据更新后的《信息安全技术 网络安全等级保护基本要求（送审稿）》规定，不同新技术行业（例如通用网络、云计算、移动互联网、物联网、工业控制系统等）执行的等级保护标准和要求略有差异。此外根据特定行业适用的法律规范不一样，特定行业在服务器放置、数据留存、系统安全、个人信息保护等方面有一些特殊合规要求，这将影响网络安全等保测评的标准适用及整改措施的执行。

值得注意的是，企业必须执行网络安全等级保护制度，但并不一定必须办理公安等保备案。只有运营二级（含）以上网络系统的企业，才需要办理公安等保备案。但实践中哪些网络系统属于二级以上，相关标准较为模糊，企业往往极难把握。从降低企业合规风险的角度，往往需要向公安网安部门递交书面文件后，由他们最终确定等级认定情况。

根据近期监管执法实践，应当办理等保定级备案而拒不备案的，公安机关应当根据《计算机信息系统安全保护条例》、《网络安全法》等有关规定，责令限期整改；逾期仍不备案的，予以警告，并可以对企业处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

二、企业等保定级备案机构、流程等实务问题

根据《信息安全等级保护管理办法》、《信息安全技术 网络安全等级保护基本要求（送审稿）》等规定，已运营的二级以上信息系统应当在安全保护等级确定后30日内，新建第二级以上信息系统应当在投入运行后30日内，由其运营、使用单位到所在地公安机关办理备案手续。根据等保定级备案实践，企业可以向注册地或者实际经营地所在区网安部门（我们建议向企业网站的公安联网备案的办理机构）递交备案申请，最终由市局审核并出具备案证明。

具体流程方面，各地实际备案流程略有差异。根据上海市的情况，由企业先行确定定级对象及初步的等级，并根据业务及系统实际情况，自行或者委托第三方机构（西安弈聪信息技术有限公司团队可以代为办理）填报《信息系统安全等级保护备案表》及其附表并递交至属地网安部门。网安部门根据申报材料及初步审查情况，对不符合等保要求的，会要求备案单位进行整改（通常是让企业委托第三方测评机构开展网络安全等保测评），整改合格（测评结果合格）的，颁发《信息系统安全等级保护备案证明》。

企业有多个网络系统的，可以集中一次办理等级定级备案，备案长期有效，无需每年办理公安等保定级备案（非测评）。但是如果企业的网络系统发生变更或者定级变更的，应当办理变更手续或者重新办理备案。

三、信息系统等保定级标准及合规要求

我国现有等保定级采取自主定级申报模式，但实践中定级标准较为模糊、主观，企业很难把握。

根据《信息安全等级保护管理办法》、《信息安全技术 网络安全等级保护基本要求（送审稿）》等规定，根据等级保护对象受到破坏后对客体造成侵害的程度不同，我国等保实行五级分级保护制度：

但在实践中，如何区分“公民、法人和其他组织的合法权益”与“社会秩序、公共利益”，如何量化“一般损害”、“严重损害”等具体标准，成为企业合规定级的最大障碍。当然，汇业黄春林律师团队在协助企业办理定级备案过程中，如何通过企业信息系统所处的行业、作用，以及