上次我們在文末提到定級工作步驟，摸底調查，掌握網絡底數；確定定級對象；初步確定網絡的安全保護等級；專家評審；主管部門核準；公安機關備案；公安機關審核。

　　定級工作步驟

　　1.定級工作流程

　　摸底調查，掌握網絡底數；確定定級對象；初步確定網絡的安全保護等級；專家評審；主管部門核準；公安機關備案；公安機關審核。

　　2.定級范圍

　　已經投入運行的網絡、新建網絡都要定級。

　　新建網絡應在規劃設計階段定級，按照“三同步”原則，同步設計、同步建設、同步使用網絡安全設施，落實安全保護措施。

　　3.等級確定

　　第一級、第二級網絡為一般網絡，第三級、第四級、第五級網絡為重要網絡。

　　網絡的安全保護等級是網絡的客觀屬性。在定級時，應站在維護國家網絡安全的高度，綜合考慮網絡遭到破壞后對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權益的影響，確定網絡的安全保護等級。

　　4.定級工作指導

　　行業主管部門可以根據定級指南，結合行業特點和網絡的實際情況，出臺定級指導意見，保證本行業網絡在不同地區的安全保護等級的一致性，指導本行業網絡的定級工作。

　　今天，我們將展開探討這部分內容。分別是確定定級對象、擬定等級、專家評審、主管部門核準；公安機關備案與審核。圖片

　　確定定級對象

　　定級，是網絡安全保護工作五個規定動作的第一個動作。第一個動作標準不標準，對后續工作的影響是非常大的。第一個動作做好了，后面的工作開展就有了正確的依據，方向也就容易把握了。如果第一個動作錯了，后面工作都將偏離軌道。

　　我們接著上次的內容繼續往下談，這將是比較瑣碎的知識點，望能夠耐心看完。定級、備案、建設整改、等級測評，是網絡運營者落實等級保護制度，其中我們前一段時間通過介紹等級保護對象整個生命周期，大家應該也多少了解等級保護工作的系統化。我們就定級工作繼續談下去，在談定級工作前，還是建議大家能夠對《信息安全技術 網絡安全等級保護定級指南》GB/T 22240-2020和《關于開展全國重要信息系統安全等級保護定級工作的通知》（公通字[2007]861號）有所了解。

　　貫徹落實網絡安全等級保護制度的原則四句話：一是明確責任，共同保護；二是依照標準，開展保護；三是同步建設，動態調整；四是指導監督，重點保護。其中涉及到同步建設，動態調整這一原則，也就是在建設過程中盡量開好頭，但是如果發現開始時有些環節工作考慮不周全，則可以采取補救措施，進行動態調整。

　　定級工作參考的是《定級指南》，我們援引相關內容加強大家對國家標準的理解和領悟。

　　網絡運營者開展網絡定級前，要搞清網絡支撐的業務類型、應用或服務范圍、網絡結構、數據和信息的規模、重要性等基本情況，為合理定級打好基礎。

　　其實第一步算我們工作中常說的“清底數”，只有底數清了，后面工作才能有的放矢。

　　定級對象基本特征：

　　具有確定的主要安全責任主體；

　　承載相對獨立的業務應用；

　　包含相互關聯的多個資源。

　　注意事項：

　　主要安全責任主體包括但不限于企業、機關和事業單位等法人，以及不具備法人資格的社會團體等其他組織；

　　相對獨立并不意味著完全獨立，可與其他業務應用有少量的數據交換；

　　第三，多個資源可包括但不限于網絡資源、計算資源、存儲資源等，應避免將某個單一的系統組件（例如服務器、終端或網絡設備）作為定級對象。

　　確定定級對象參考

　　起支撐、傳輸作用的信息網絡（包括專網、內網、外網、網管系統）要作為定級對象。但不是將整個網絡作為一個定級對象，而是要從安全管理和安全責任的角度將基礎信息網絡劃分成若干安全域或單元去定級。

　　用于生產、調度、管理、作業、指揮、辦公等目的的各類業務系統，要按照不同業務類別單獨確定為定級對象，不以系統是否進行數據交換、是否獨享設備為確定定級對象的條件。不能將某一類信息系統作為一個定級對象去定級。

　　各單位網站、郵件系統要作為獨立的定級對象。如果網站的后臺數據庫管理系統安全級別較高，也要作為獨立的定級對象。網站上運行的信息系統（例如對社會提供服務的報名考試系統）也要作為獨立的定級對象。

　　對于云平臺、大數據、工業控制系統、物聯網、移動互聯網、衛星系統等，要按照定級指南的要求，合理確定定級對象。

　　確認負責定級的單位是否對所定級網絡負有業務主管責任。也就是說，業務部門應主導對業務網絡的定級，運維部門（例如信息中心、托管方）可以協助定級并按照業務部門的要求開展后續安全保護工作。

　　具有網絡的基本要素。作為定級對象的網絡、信息系統應該是由相關的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實體。

　　注：不應將某個單一的系統組件。（例如服務器、終端、網絡設備等）作為定級對象。

　　圖片：何威風

　　擬定保護等級

　　1.定級責任主體

　　網絡運營者和行業主管部門是網絡定級的責任主體。

　　2.定級要素

　　網絡的安全保護等級由兩個定級要素決定：等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。

　　網絡的安全保護等級是網絡本身的客觀自然屬性。

　　不是以已采取或將采取什么安全保護措施為依據，而是以網絡的重要性和網絡遭到破壞后對國家安全、社會穩定、人民群眾合法權益的危害程度為依據，確定網絡的安全保護等級。

　　定級時應主要考慮網絡被破壞對國家安全、社會穩定的影響，以及境內外各種敵對勢力、敵對分子針對重要網絡入侵攻擊破壞和竊取秘密等因素。

　　既要防止因片面追求絕對安全而定級過高，也要防止為逃避監管而定級偏低。

　　3.對各類網絡定級的處理方法

　　?單位自建的網絡（與上級單位無關），由本單位定級。

　　?跨省或者全國統一聯網運行的網絡或信息系統，可以由行業主管部門統一確定安全保護等級。

　　?由各行業統一規劃、統一建設、統一安全保護策略的全國聯網的大系統，應由行業主管部門統一對下各級網絡分別確定等級；由各行業統一規劃、分級建設、全國聯網的信息系統，應由部、省、地市分別確定系統等級。

　　?為避免出現同類系統下級定級比上級高的現象。對于該類系統的等級，下級確定后需報上級主管部門審批。這也是上級主管部門審批的一個重要作用。

　　特別注意：同類網絡的安全保護等級不能隨著部、省、市行政級別的降低而降低，例如地市級重要行業的重要系統不能定為第一級或第二級。

　　4.新建網絡的定級

　　對于新建網絡，網絡運營者在規劃設計時應確定網絡的安全保護等級，按照網絡等級，“三同步”安全保護技術措施和管理措施。

　　專家評審

　　在初步確定網絡的安全保護等級后，為了保證定級合理、準確，應聘請由公安機關組織成立的網絡安全等級保護專家進行評審，并出具評審意見。

　　*重要行業、部門的網絡，必須請專家進行評審，以免發生網絡的安全保護等級被故意定低的情況。

　　等級的核準

　　在定級環節，網絡運營者的意見或建議是最終的結果，這個和責任劃分是密切相關的。上面提到若網絡運營者不認可專家評審意見，這個是可以接受的，網絡運營者應明白一旦發生安全事件，發現級別不準確時，則可能面臨較重的處罰。

　　單位自建的網絡（與上級單位無關）的安全等級確定后，是否報上級主管部門核準由各行業自行決定。網絡運營者參考專家定級評審意見，最終確定網絡安全的保護等級，按要求形成定級報告。如果專家評審意見與網絡運營者意見不一致，由網絡運營者自主決定網絡等級。網絡運營者有上級主管部門的，應當經上級主管部門對安全保護等級進行核準。主管部門一般是指行業的上級主管部門或監管部門。如果是跨地域聯網運營使用的網絡，則必須由其上級主管部門核準，以確保同類網絡或分支網絡在各地域分別定級的一致性。

　　公安機關審核

　　備案材料送交公安機關后，公安機關會對網絡定級的準確性進行審核。公安機關的審核是定級工作的最后一道防線。網絡定級基本準確的，公安機關頒發由公安部統一監制的《網絡安全等級保護備案證明》（下稱《備案證明》）。

　　定級不準的，公安機關會告知網絡運營者，建議其組織專家重新進行定級評審，并報上級主管部門核準。網絡運營者仍然堅持原定等級的，公安機關也會受理其備案，但會當書面告知其承擔由此引發的責任和后果，經上級公安機關同意，同時通報備案單位的上級主管部門。

　　在這個過程中，網絡運營者還是可以“堅持己見”到底的，關鍵是由此產生的這個責任是需要自行承擔，一旦發生安全事件（故），則可能面臨上級主管部門的處罰和本級公安機關的處罰。所以，網絡運營者應當遵循科學合理定級，或遵從上級主管部門文件精神結合《定級指南》進行定級。

　　在定級環節，理論上是沒有測評機構的相關工作。然而，網絡運營者可以咨詢或尋找測評機構服務，這樣可以促進做到科學、合理、準確。此過程中，機構的責任局限于協助輔助，不具備完全替代網絡運營者單位的能力，不應當產生誤解。

　　網絡安全等級保護作為國家的一個基本國策，將是長期的、具有遠期目標的國策，我們應當高瞻遠矚著眼未來，做好當下。我將在等級保護領域將繼續竭誠服務廣大用戶，在不斷夯實基礎技術、總結經驗的前提下，緊隨國家政策要求解決每一個用戶有關網絡安全等級保護的問題。