到底几级需要专家评审？

按《信息安全等级保护管理办法》第十条 对拟确定为第四级以上信息系统的，运营、使用单位者主管部门应当请国家信息安全保护等级专家评审委员会评审。 按《信息安全等级保护管理办法》 第十六条 第三级以上信息系统备案时应提供信息系统安全保护等级专家评审意见。

所以，如果你们一次备案的系统都是二级的系统，那么可以不用专家评审，如果里面包含三级及以上系统，那么还是要专家评审的。请一次专家好几百，建议让专家把二级、三级的系统都评审了。

专家评审时准备什么材料？

 规范一点的专家评审，评审时需要给专家看写好的各系统定级保护、备案表，同时请信息部门或业务部门对每个系统进行介绍及说明定级思路。由专家一个系统一个系统或一批系统一批系统的给出建议。建议包括级别准不准，报告和备案表写的对不对，好不好。

不规范的，就给专家一个定级意向（就是定级报告的后半部分），专家就判断定级准不准就行。但专家是要给予系统介绍来判断定级准不准的，所有系统介绍还是要有。

专家在现场还是会问一个系统的信息数据的敏感性，使用范围等，因此有必要请业务部门参会。

去公安备案到底要拿什么材料？

除了定级保护和备案表，你还有证明你是你。即企业法人证明或营业执照副本复印件、办理人身份证复印件、企业委托办理人办理备案事项的委托书，部分公安机关还要一个企业的信息安全承诺书。

所以去备案前到相关公安机关网站找到对应办事点的电话，先打电话问一下。

定三级还是二级？

按《信息安全等级保护管理办法》第十四条 信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。

信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。

所以三级系统需要每年有一次第三方测评报告和内部自查报告。目前公安部让企事业单位上报关键信息基础设施也是原则上要等保三级的，以后三级系统的相关监督检查会更严格。

 但是定级还是要根据定级指南的。以上只是说说。