互联网医院三级等保流程详细介绍

等保三级认证（国家信息安全等级保护三级认证）是中国对涉及社会秩序、公共利益或国家安全的信息系统实施的强制性安全评估制度。其流程严格遵循《信息安全等级保护管理办》及配套标准，具体流程及要求如下：

一、等保三级认证全流程解析

1. 系统定级（1-2周）

l 自主定级：企业依据《GBT 22240-2020》标准，评估系统受破坏后对社会秩序、公共利益或国家安全的损害程度，确定三级保护等级。

l 专家评审：需组织专家评审会，出具《信息系统安全等级保护定报告》。

l 主管部门审批：报上级行业主管部门批准定级结果。

2. 备案申报（2-4周）

l 提交材料：向属地市级以上公安机关网安部门提交：

《信息系统安全等级保护备表》（表一至表三）

《定级报告》及专家评审意见

系统拓扑图、安全管理制度、应急预案

l 审核流程：

公安机关10个工作日内完成审核，符合要求则颁发《备案证明》。

材料不全需5日内补正，定级不准需重新申报。

3. 初测评估（4-6周）

由公安部认可的测评机构开展现场测评，覆盖以下方面：

4. 整改建设（8-12周）

l 依据初测报告：针对不符合项（如未实现数据加密、审计日志不全等）制定整改方案。

l 典型整改措施：

部署SSL证书、升级防火墙规则

建立异地备份中心

完善安全管理制度文档。

5. 复测验收（2-4周）

l 整改后由测评机构复测，出具《等级测评报告》。

l 报告提交公安机关备案，通过后获得等保三级认证。

关键提示：首次测评通过率通常低于30%，建议提前开展自查预评估。

二、备案材料清单（三级系统必需）

三、持续监督与合规要求

1.年度测评：通过认证后需每年开展一次等级测评，提交报告至公安机关。

2.变更备案：当系统业务类型、服务范围或责任主体发生重大变化时，需重新定级备案。

3.定期自查：每季度检查安全策略有效性，每12个月全面自查并留存记录。

四、常见问题解答

1.Q：测评未通过怎么办？

→ 需在30日内完成整改并提交整改报告，逾期将面临警告或通报。

2.Q：跨省系统如何备案？

→ 由系统责任主体所在地公安机关受理，跨省业务需协同多地监管部门。

3.Q：云平台系统需注意什么？

→ 需额外提供云服务商的等保证明及测评报告，并明确双方安全责任边界。