一、 定级备案阶段

1.1.系统识别与梳理： 组织需要梳理清楚需要做等保的信息系统范围、边界、业务功能、服务对象、重要程度、承载的数据类型（尤其是否涉及敏感个人信息或重要数据）等。

1.2.自主定级： 根据《网络安全等级保护定级指南》，组织自主确定信息系统的安全保护等级为第二级（S2A2G2）。二级系统通常指：一旦遭到破坏，会对公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不危害国家安全的信息系统

1.3.专家评审（非强制，但推荐）： 虽然二级等保没有强制要求专家评审，但组织可以邀请专家对定级结果进行评审，确保定级准确合理，规避后续风险。

1.4.主管部门审核（如需）： 如果信息系统有上级主管行业部门，可能需要将定级结果报其审核批准（依据行业要求）。

1.5.准备备案材料： 填写《信息系统安全等级保护备案表》，主要内容包括：单位信息、系统信息（名称、域名/IP、承载业务、服务范围、网络拓扑等）、定级信息、安全负责人、安全服务机构情况（如有）等。

1.6.提交材料： 将备案表及相关证明文件（如系统拓扑图、安全产品清单、管理制度清单等）提交给属地市级及以上公安机关网安部门。

1.7.获取备案证明： 公安机关审核通过后，会发放《信息系统安全等级保护备案证明》，这是后续测评的前提。备案号通常以 公安备网 XXXXXXXXXX 号 形式体现。

 二、 等级测评阶段

2.1测评准备：明确测评对象、测评指标、测评方法（访谈、检查、测试）、测评工具等。

2.3现场测评：组织方提供必要的资料（备案证明、系统资料、制度文档、网络拓扑图、资产清单等），协调相关人员配合。

2.4文档审查： 检查安全管理制度文档、操作规程、配置记录、审计日志、培训记录、应急预案等是否齐全、有效。

2.5配置检查： 登录网络设备、安全设备、服务器、数据库等，检查安全配置是否符合要求（如口令策略、访问控制列表、日志审计开启情况等）。

2.6工具测试： 在授权和可控范围内，使用漏洞扫描工具、渗透测试工具（视情况）进行技术测试，验证系统是否存在高风险漏洞。

2.7分析与报告编制：测评机构对现场收集的证据进行分析，逐项判定测评指标（安全要求项）的符合情况（符合、部分符合、不符合）。编写《网络安全等级测评报告》，清晰描述测评过程、发现、结果（给出最终测评结论：基本符合、不符合）。

2.8结果通报： 测评机构将测评报告初稿提交给组织方确认事实。如有异议，可沟通澄清。

正式报告： 测评机构出具正式的测评报告，并提交一份给组织方，另一份由测评机构上传至国家等级保护管理平台（部分省市要求）。

三、 监督检查与持续改进阶段

3.1问题整改： 针对测评报告中发现的问题（尤其是不符合项和中高风险项），组织方需要制定整改计划并实施整改。

3.2监督检查：公安机关网安部门会不定期对已备案的信息系统进行监督检查，核查安全状况和整改情况。组织方需配合检查，提供相关材料。