信息系统为什么要做等级保护定级备案？标准依据是什么？

信息系统为什么要做等级保护定级备案呢？原因其实有如下三个：

1.为信息系统建立有效的网络安全防御体系，让信息系统真正具有安全防御的能力；

2.满足相关部门的合规性要求。根据《网络安全法》及等保相关标准规定，企业信息系统需要进行备案，并通过测评，否则会被公安机关和上级主管单位追责；

3.企业完成等保备案，说明企业信息系统有保障，能增强客户对企业的信心，从而为企业的投标加分。

具体来说，信息系统等级保护定级备案依据主要是《网络安全法》和《GBT 22240-2020信息安全技术网络安全等级保护定级指南》。由于信息系统必须通过等级测评，才算是落实了等保，企业还需参考等级保护测评要求、等级保护测评过程实施指南以及各行业出台的等级保护相关标准。

信息系统怎么做等级保护定级备案？

我国实行网络安全等级保护制度，信息系统分为五个安全保护等级，如下图所示：

第一步是定级，企业根据定级指南确定信息系统的安全保护等级。信息系统的安全保护等级由两个定级要素决定：①受侵害的客体。分三个方面，即：公民、法人和其他组织的合法权益；社会秩序、公共利益；国家安全；②对客体的侵害程度。分三种程度，即：造成一般损害；造成严重损害；造成特别严重损害。

企业初步定级之后，根据等保2.0标准，还需邀请专家评审，以及提交主管部门审核。当然，初步确定为第一级的等级保护对象，可不进行专家评审、主管部门批准和公安机关审核。

专家评审和主管部门审核之后，就可以准备备案材料，然后提交公安机关审核。审核通过，即可拿到备案号或者备案证明。需要特别注意的是，备案并不代表等保工作的结束，备案之后，企业需要接着进行下一步的等保整改和等保测评工作，只有信息系统通过测评，才算是取得了等保认证。否则，仅仅备案了是不行的。