信息系统运营使用单位在等级保护备案工作中的义务和责任主要有以下方面：

定级与备案

准确确定等级：按照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》等要求，组织开展对所属信息系统的摸底调查，全面掌握信息系统的基本情况，准确确定定级对象及其安全保护等级。初步确定等级后，聘请专家进行评审，有上级行业主管部门的，需报上级部门审批同意，并提交公安机关进行备案审查。

及时完成备案：信息系统安全保护等级为第二级以上的，运营使用单位或主管部门应在安全保护等级确定后 30 日内，到当地公安机关网安部门办理备案手续。新建第二级以上信息系统，应在投入运行后 30 日内完成备案。

制度建设与人员管理

建立管理制度：建立健全安全等级保护管理制度，包括安全管理规范、章程等，明确安全组织、人员的职责，规范信息系统的日常运行、维护、使用等环节的操作流程。

落实责任人员：明确负责信息安全等级保护的责任部门和人员，确保信息系统的安全等级保护管理工作有专人负责。对信息系统用户进行安全等级保护教育和培训，提高用户的安全意识和操作技能。

安全建设与整改

开展建设整改：根据公安机关定级审查的结果，按照《信息安全技术网络安全等级保护基本要求》等相关标准，在测评机构和相关技术支持单位的指导下，开展系统的安全建设及整改工作，确保信息系统的安全防护措施符合相应等级的要求。

使用合规产品：在安全建设和整改过程中，应当选择使用符合国家相关规定的信息安全产品，不得使用未经许可的产品或技术。涉及密码使用的，需遵守国家密码管理的有关规定，采用经国家密码管理部门批准使用或准予销售的密码产品进行安全保护。

测评与检查配合

定期进行测评：选择具有国家相关技术资质和安全资质的测评单位，按照技术标准定期对信息系统进行安全测评，以发现系统存在的安全问题和隐患。

配合监督检查：接受公安机关、国家保密工作部门、国家密码管理部门等有关部门的安全监督、检查、指导，如实提供有关信息安全保护的信息资料及数据文件，包括信息系统备案事项变更情况、安全组织人员变动情况、信息安全管理制度措施变更情况等。

事件响应与处置

建立响应制度：建立信息安全事件的等级响应、处置制度，明确事件报告、应急处置、调查处理等环节的流程和责任，确保在发生信息安全事件时能够及时、有效地进行应对，降低事件造成的损失和影响。

及时报告处置：发生信息安全事件后，应按照规定及时向有关部门报告，并采取相应的措施进行处置，同时保存相关证据，配合有关部门进行调查处理。

如果信息系统运营使用单位违反等级保护备案工作的相关规定，将由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正；逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理。造成严重损害的，还将由相关部门依照有关法律、法规予以处理。