上次我們在文末提到定級工作步驟，摸底調(diào)查，掌握網(wǎng)絡(luò)底數(shù)；確定定級對象；初步確定網(wǎng)絡(luò)的安全保護等級；專家評審；主管部門核準；公安機關(guān)備案；公安機關(guān)審核。

　　定級工作步驟

　　1.定級工作流程

　　摸底調(diào)查，掌握網(wǎng)絡(luò)底數(shù)；確定定級對象；初步確定網(wǎng)絡(luò)的安全保護等級；專家評審；主管部門核準；公安機關(guān)備案；公安機關(guān)審核。

　　2.定級范圍

　　已經(jīng)投入運行的網(wǎng)絡(luò)、新建網(wǎng)絡(luò)都要定級。

　　新建網(wǎng)絡(luò)應(yīng)在規(guī)劃設(shè)計階段定級，按照“三同步”原則，同步設(shè)計、同步建設(shè)、同步使用網(wǎng)絡(luò)安全設(shè)施，落實安全保護措施。

　　3.等級確定

　　第一級、第二級網(wǎng)絡(luò)為一般網(wǎng)絡(luò)，第三級、第四級、第五級網(wǎng)絡(luò)為重要網(wǎng)絡(luò)。

　　網(wǎng)絡(luò)的安全保護等級是網(wǎng)絡(luò)的客觀屬性。在定級時，應(yīng)站在維護國家網(wǎng)絡(luò)安全的高度，綜合考慮網(wǎng)絡(luò)遭到破壞后對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權(quán)益的影響，確定網(wǎng)絡(luò)的安全保護等級。

　　4.定級工作指導(dǎo)

　　行業(yè)主管部門可以根據(jù)定級指南，結(jié)合行業(yè)特點和網(wǎng)絡(luò)的實際情況，出臺定級指導(dǎo)意見，保證本行業(yè)網(wǎng)絡(luò)在不同地區(qū)的安全保護等級的一致性，指導(dǎo)本行業(yè)網(wǎng)絡(luò)的定級工作。

　　今天，我們將展開探討這部分內(nèi)容。分別是確定定級對象、擬定等級、專家評審、主管部門核準；公安機關(guān)備案與審核。圖片

　　確定定級對象

　　定級，是網(wǎng)絡(luò)安全保護工作五個規(guī)定動作的第一個動作。第一個動作標準不標準，對后續(xù)工作的影響是非常大的。第一個動作做好了，后面的工作開展就有了正確的依據(jù)，方向也就容易把握了。如果第一個動作錯了，后面工作都將偏離軌道。

　　我們接著上次的內(nèi)容繼續(xù)往下談，這將是比較瑣碎的知識點，望能夠耐心看完。定級、備案、建設(shè)整改、等級測評，是網(wǎng)絡(luò)運營者落實等級保護制度，其中我們前一段時間通過介紹等級保護對象整個生命周期，大家應(yīng)該也多少了解等級保護工作的系統(tǒng)化。我們就定級工作繼續(xù)談下去，在談定級工作前，還是建議大家能夠?qū)Α缎畔踩夹g(shù) 網(wǎng)絡(luò)安全等級保護定級指南》GB/T 22240-2020和《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公通字[2007]861號）有所了解。

　　貫徹落實網(wǎng)絡(luò)安全等級保護制度的原則四句話：一是明確責任，共同保護；二是依照標準，開展保護；三是同步建設(shè)，動態(tài)調(diào)整；四是指導(dǎo)監(jiān)督，重點保護。其中涉及到同步建設(shè)，動態(tài)調(diào)整這一原則，也就是在建設(shè)過程中盡量開好頭，但是如果發(fā)現(xiàn)開始時有些環(huán)節(jié)工作考慮不周全，則可以采取補救措施，進行動態(tài)調(diào)整。

　　定級工作參考的是《定級指南》，我們援引相關(guān)內(nèi)容加強大家對國家標準的理解和領(lǐng)悟。

　　網(wǎng)絡(luò)運營者開展網(wǎng)絡(luò)定級前，要搞清網(wǎng)絡(luò)支撐的業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)和信息的規(guī)模、重要性等基本情況，為合理定級打好基礎(chǔ)。

　　其實第一步算我們工作中常說的“清底數(shù)”，只有底數(shù)清了，后面工作才能有的放矢。

　　定級對象基本特征：

　　具有確定的主要安全責任主體；

　　承載相對獨立的業(yè)務(wù)應(yīng)用；

　　包含相互關(guān)聯(lián)的多個資源。

　　注意事項：

　　主要安全責任主體包括但不限于企業(yè)、機關(guān)和事業(yè)單位等法人，以及不具備法人資格的社會團體等其他組織；

　　相對獨立并不意味著完全獨立，可與其他業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換；

　　第三，多個資源可包括但不限于網(wǎng)絡(luò)資源、計算資源、存儲資源等，應(yīng)避免將某個單一的系統(tǒng)組件（例如服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備）作為定級對象。

　　確定定級對象參考

　　起支撐、傳輸作用的信息網(wǎng)絡(luò)（包括專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)、網(wǎng)管系統(tǒng)）要作為定級對象。但不是將整個網(wǎng)絡(luò)作為一個定級對象，而是要從安全管理和安全責任的角度將基礎(chǔ)信息網(wǎng)絡(luò)劃分成若干安全域或單元去定級。

　　用于生產(chǎn)、調(diào)度、管理、作業(yè)、指揮、辦公等目的的各類業(yè)務(wù)系統(tǒng)，要按照不同業(yè)務(wù)類別單獨確定為定級對象，不以系統(tǒng)是否進行數(shù)據(jù)交換、是否獨享設(shè)備為確定定級對象的條件。不能將某一類信息系統(tǒng)作為一個定級對象去定級。

　　各單位網(wǎng)站、郵件系統(tǒng)要作為獨立的定級對象。如果網(wǎng)站的后臺數(shù)據(jù)庫管理系統(tǒng)安全級別較高，也要作為獨立的定級對象。網(wǎng)站上運行的信息系統(tǒng)（例如對社會提供服務(wù)的報名考試系統(tǒng)）也要作為獨立的定級對象。

　　對于云平臺、大數(shù)據(jù)、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、衛(wèi)星系統(tǒng)等，要按照定級指南的要求，合理確定定級對象。

　　確認負責定級的單位是否對所定級網(wǎng)絡(luò)負有業(yè)務(wù)主管責任。也就是說，業(yè)務(wù)部門應(yīng)主導(dǎo)對業(yè)務(wù)網(wǎng)絡(luò)的定級，運維部門（例如信息中心、托管方）可以協(xié)助定級并按照業(yè)務(wù)部門的要求開展后續(xù)安全保護工作。

　　具有網(wǎng)絡(luò)的基本要素。作為定級對象的網(wǎng)絡(luò)、信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標和規(guī)則組合而成的有形實體。

　　注：不應(yīng)將某個單一的系統(tǒng)組件。（例如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等）作為定級對象。

　　圖片：何威風

　　擬定保護等級

　　1.定級責任主體

　　網(wǎng)絡(luò)運營者和行業(yè)主管部門是網(wǎng)絡(luò)定級的責任主體。

　　2.定級要素

　　網(wǎng)絡(luò)的安全保護等級由兩個定級要素決定：等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。

　　網(wǎng)絡(luò)的安全保護等級是網(wǎng)絡(luò)本身的客觀自然屬性。

　　不是以已采取或?qū)⒉扇∈裁窗踩Ｗo措施為依據(jù)，而是以網(wǎng)絡(luò)的重要性和網(wǎng)絡(luò)遭到破壞后對國家安全、社會穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，確定網(wǎng)絡(luò)的安全保護等級。

　　定級時應(yīng)主要考慮網(wǎng)絡(luò)被破壞對國家安全、社會穩(wěn)定的影響，以及境內(nèi)外各種敵對勢力、敵對分子針對重要網(wǎng)絡(luò)入侵攻擊破壞和竊取秘密等因素。

　　既要防止因片面追求絕對安全而定級過高，也要防止為逃避監(jiān)管而定級偏低。

　　3.對各類網(wǎng)絡(luò)定級的處理方法

　　?單位自建的網(wǎng)絡(luò)（與上級單位無關(guān)），由本單位定級。

　　?跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的網(wǎng)絡(luò)或信息系統(tǒng)，可以由行業(yè)主管部門統(tǒng)一確定安全保護等級。

　　?由各行業(yè)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一安全保護策略的全國聯(lián)網(wǎng)的大系統(tǒng)，應(yīng)由行業(yè)主管部門統(tǒng)一對下各級網(wǎng)絡(luò)分別確定等級；由各行業(yè)統(tǒng)一規(guī)劃、分級建設(shè)、全國聯(lián)網(wǎng)的信息系統(tǒng)，應(yīng)由部、省、地市分別確定系統(tǒng)等級。

　　?為避免出現(xiàn)同類系統(tǒng)下級定級比上級高的現(xiàn)象。對于該類系統(tǒng)的等級，下級確定后需報上級主管部門審批。這也是上級主管部門審批的一個重要作用。

　　特別注意：同類網(wǎng)絡(luò)的安全保護等級不能隨著部、省、市行政級別的降低而降低，例如地市級重要行業(yè)的重要系統(tǒng)不能定為第一級或第二級。

　　4.新建網(wǎng)絡(luò)的定級

　　對于新建網(wǎng)絡(luò)，網(wǎng)絡(luò)運營者在規(guī)劃設(shè)計時應(yīng)確定網(wǎng)絡(luò)的安全保護等級，按照網(wǎng)絡(luò)等級，“三同步”安全保護技術(shù)措施和管理措施。

　　專家評審

　　在初步確定網(wǎng)絡(luò)的安全保護等級后，為了保證定級合理、準確，應(yīng)聘請由公安機關(guān)組織成立的網(wǎng)絡(luò)安全等級保護專家進行評審，并出具評審意見。

　　*重要行業(yè)、部門的網(wǎng)絡(luò)，必須請專家進行評審，以免發(fā)生網(wǎng)絡(luò)的安全保護等級被故意定低的情況。

　　等級的核準

　　在定級環(huán)節(jié)，網(wǎng)絡(luò)運營者的意見或建議是最終的結(jié)果，這個和責任劃分是密切相關(guān)的。上面提到若網(wǎng)絡(luò)運營者不認可專家評審意見，這個是可以接受的，網(wǎng)絡(luò)運營者應(yīng)明白一旦發(fā)生安全事件，發(fā)現(xiàn)級別不準確時，則可能面臨較重的處罰。

　　單位自建的網(wǎng)絡(luò)（與上級單位無關(guān)）的安全等級確定后，是否報上級主管部門核準由各行業(yè)自行決定。網(wǎng)絡(luò)運營者參考專家定級評審意見，最終確定網(wǎng)絡(luò)安全的保護等級，按要求形成定級報告。如果專家評審意見與網(wǎng)絡(luò)運營者意見不一致，由網(wǎng)絡(luò)運營者自主決定網(wǎng)絡(luò)等級。網(wǎng)絡(luò)運營者有上級主管部門的，應(yīng)當經(jīng)上級主管部門對安全保護等級進行核準。主管部門一般是指行業(yè)的上級主管部門或監(jiān)管部門。如果是跨地域聯(lián)網(wǎng)運營使用的網(wǎng)絡(luò)，則必須由其上級主管部門核準，以確保同類網(wǎng)絡(luò)或分支網(wǎng)絡(luò)在各地域分別定級的一致性。

　　公安機關(guān)審核

　　備案材料送交公安機關(guān)后，公安機關(guān)會對網(wǎng)絡(luò)定級的準確性進行審核。公安機關(guān)的審核是定級工作的最后一道防線。網(wǎng)絡(luò)定級基本準確的，公安機關(guān)頒發(fā)由公安部統(tǒng)一監(jiān)制的《網(wǎng)絡(luò)安全等級保護備案證明》（下稱《備案證明》）。

　　定級不準的，公安機關(guān)會告知網(wǎng)絡(luò)運營者，建議其組織專家重新進行定級評審，并報上級主管部門核準。網(wǎng)絡(luò)運營者仍然堅持原定等級的，公安機關(guān)也會受理其備案，但會當書面告知其承擔由此引發(fā)的責任和后果，經(jīng)上級公安機關(guān)同意，同時通報備案單位的上級主管部門。

　　在這個過程中，網(wǎng)絡(luò)運營者還是可以“堅持己見”到底的，關(guān)鍵是由此產(chǎn)生的這個責任是需要自行承擔，一旦發(fā)生安全事件（故），則可能面臨上級主管部門的處罰和本級公安機關(guān)的處罰。所以，網(wǎng)絡(luò)運營者應(yīng)當遵循科學(xué)合理定級，或遵從上級主管部門文件精神結(jié)合《定級指南》進行定級。

　　在定級環(huán)節(jié)，理論上是沒有測評機構(gòu)的相關(guān)工作。然而，網(wǎng)絡(luò)運營者可以咨詢或?qū)ふ覝y評機構(gòu)服務(wù)，這樣可以促進做到科學(xué)、合理、準確。此過程中，機構(gòu)的責任局限于協(xié)助輔助，不具備完全替代網(wǎng)絡(luò)運營者單位的能力，不應(yīng)當產(chǎn)生誤解。

　　網(wǎng)絡(luò)安全等級保護作為國家的一個基本國策，將是長期的、具有遠期目標的國策，我們應(yīng)當高瞻遠矚著眼未來，做好當下。我將在等級保護領(lǐng)域?qū)⒗^續(xù)竭誠服務(wù)廣大用戶，在不斷夯實基礎(chǔ)技術(shù)、總結(jié)經(jīng)驗的前提下，緊隨國家政策要求解決每一個用戶有關(guān)網(wǎng)絡(luò)安全等級保護的問題。