上次我們?cè)谖哪┨岬蕉?jí)工作步驟，摸底調(diào)查，掌握網(wǎng)絡(luò)底數(shù)；確定定級(jí)對(duì)象；初步確定網(wǎng)絡(luò)的安全保護(hù)等級(jí)；專家評(píng)審；主管部門核準(zhǔn)；公安機(jī)關(guān)備案；公安機(jī)關(guān)審核。

　　定級(jí)工作步驟

　　1.定級(jí)工作流程

　　摸底調(diào)查，掌握網(wǎng)絡(luò)底數(shù)；確定定級(jí)對(duì)象；初步確定網(wǎng)絡(luò)的安全保護(hù)等級(jí)；專家評(píng)審；主管部門核準(zhǔn)；公安機(jī)關(guān)備案；公安機(jī)關(guān)審核。

　　2.定級(jí)范圍

　　已經(jīng)投入運(yùn)行的網(wǎng)絡(luò)、新建網(wǎng)絡(luò)都要定級(jí)。

　　新建網(wǎng)絡(luò)應(yīng)在規(guī)劃設(shè)計(jì)階段定級(jí)，按照“三同步”原則，同步設(shè)計(jì)、同步建設(shè)、同步使用網(wǎng)絡(luò)安全設(shè)施，落實(shí)安全保護(hù)措施。

　　3.等級(jí)確定

　　第一級(jí)、第二級(jí)網(wǎng)絡(luò)為一般網(wǎng)絡(luò)，第三級(jí)、第四級(jí)、第五級(jí)網(wǎng)絡(luò)為重要網(wǎng)絡(luò)。

　　網(wǎng)絡(luò)的安全保護(hù)等級(jí)是網(wǎng)絡(luò)的客觀屬性。在定級(jí)時(shí)，應(yīng)站在維護(hù)國(guó)家網(wǎng)絡(luò)安全的高度，綜合考慮網(wǎng)絡(luò)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益及公民、法人和其他組織的合法權(quán)益的影響，確定網(wǎng)絡(luò)的安全保護(hù)等級(jí)。

　　4.定級(jí)工作指導(dǎo)

　　行業(yè)主管部門可以根據(jù)定級(jí)指南，結(jié)合行業(yè)特點(diǎn)和網(wǎng)絡(luò)的實(shí)際情況，出臺(tái)定級(jí)指導(dǎo)意見(jiàn)，保證本行業(yè)網(wǎng)絡(luò)在不同地區(qū)的安全保護(hù)等級(jí)的一致性，指導(dǎo)本行業(yè)網(wǎng)絡(luò)的定級(jí)工作。

　　今天，我們將展開(kāi)探討這部分內(nèi)容。分別是確定定級(jí)對(duì)象、擬定等級(jí)、專家評(píng)審、主管部門核準(zhǔn)；公安機(jī)關(guān)備案與審核。圖片

　　確定定級(jí)對(duì)象

　　定級(jí)，是網(wǎng)絡(luò)安全保護(hù)工作五個(gè)規(guī)定動(dòng)作的第一個(gè)動(dòng)作。第一個(gè)動(dòng)作標(biāo)準(zhǔn)不標(biāo)準(zhǔn)，對(duì)后續(xù)工作的影響是非常大的。第一個(gè)動(dòng)作做好了，后面的工作開(kāi)展就有了正確的依據(jù)，方向也就容易把握了。如果第一個(gè)動(dòng)作錯(cuò)了，后面工作都將偏離軌道。

　　我們接著上次的內(nèi)容繼續(xù)往下談，這將是比較瑣碎的知識(shí)點(diǎn)，望能夠耐心看完。定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)，是網(wǎng)絡(luò)運(yùn)營(yíng)者落實(shí)等級(jí)保護(hù)制度，其中我們前一段時(shí)間通過(guò)介紹等級(jí)保護(hù)對(duì)象整個(gè)生命周期，大家應(yīng)該也多少了解等級(jí)保護(hù)工作的系統(tǒng)化。我們就定級(jí)工作繼續(xù)談下去，在談定級(jí)工作前，還是建議大家能夠?qū)Α缎畔踩夹g(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》GB/T 22240-2020和《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公通字[2007]861號(hào)）有所了解。

　　貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的原則四句話：一是明確責(zé)任，共同保護(hù)；二是依照標(biāo)準(zhǔn)，開(kāi)展保護(hù)；三是同步建設(shè)，動(dòng)態(tài)調(diào)整；四是指導(dǎo)監(jiān)督，重點(diǎn)保護(hù)。其中涉及到同步建設(shè)，動(dòng)態(tài)調(diào)整這一原則，也就是在建設(shè)過(guò)程中盡量開(kāi)好頭，但是如果發(fā)現(xiàn)開(kāi)始時(shí)有些環(huán)節(jié)工作考慮不周全，則可以采取補(bǔ)救措施，進(jìn)行動(dòng)態(tài)調(diào)整。

　　定級(jí)工作參考的是《定級(jí)指南》，我們?cè)嚓P(guān)內(nèi)容加強(qiáng)大家對(duì)國(guó)家標(biāo)準(zhǔn)的理解和領(lǐng)悟。

　　網(wǎng)絡(luò)運(yùn)營(yíng)者開(kāi)展網(wǎng)絡(luò)定級(jí)前，要搞清網(wǎng)絡(luò)支撐的業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)和信息的規(guī)模、重要性等基本情況，為合理定級(jí)打好基礎(chǔ)。

　　其實(shí)第一步算我們工作中常說(shuō)的“清底數(shù)”，只有底數(shù)清了，后面工作才能有的放矢。

　　定級(jí)對(duì)象基本特征：

　　具有確定的主要安全責(zé)任主體；

　　承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用；

　　包含相互關(guān)聯(lián)的多個(gè)資源。

　　注意事項(xiàng)：

　　主要安全責(zé)任主體包括但不限于企業(yè)、機(jī)關(guān)和事業(yè)單位等法人，以及不具備法人資格的社會(huì)團(tuán)體等其他組織；

　　相對(duì)獨(dú)立并不意味著完全獨(dú)立，可與其他業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換；

　　第三，多個(gè)資源可包括但不限于網(wǎng)絡(luò)資源、計(jì)算資源、存儲(chǔ)資源等，應(yīng)避免將某個(gè)單一的系統(tǒng)組件（例如服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備）作為定級(jí)對(duì)象。

　　確定定級(jí)對(duì)象參考

　　起支撐、傳輸作用的信息網(wǎng)絡(luò)（包括專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)、網(wǎng)管系統(tǒng)）要作為定級(jí)對(duì)象。但不是將整個(gè)網(wǎng)絡(luò)作為一個(gè)定級(jí)對(duì)象，而是要從安全管理和安全責(zé)任的角度將基礎(chǔ)信息網(wǎng)絡(luò)劃分成若干安全域或單元去定級(jí)。

　　用于生產(chǎn)、調(diào)度、管理、作業(yè)、指揮、辦公等目的的各類業(yè)務(wù)系統(tǒng)，要按照不同業(yè)務(wù)類別單獨(dú)確定為定級(jí)對(duì)象，不以系統(tǒng)是否進(jìn)行數(shù)據(jù)交換、是否獨(dú)享設(shè)備為確定定級(jí)對(duì)象的條件。不能將某一類信息系統(tǒng)作為一個(gè)定級(jí)對(duì)象去定級(jí)。

　　各單位網(wǎng)站、郵件系統(tǒng)要作為獨(dú)立的定級(jí)對(duì)象。如果網(wǎng)站的后臺(tái)數(shù)據(jù)庫(kù)管理系統(tǒng)安全級(jí)別較高，也要作為獨(dú)立的定級(jí)對(duì)象。網(wǎng)站上運(yùn)行的信息系統(tǒng)（例如對(duì)社會(huì)提供服務(wù)的報(bào)名考試系統(tǒng)）也要作為獨(dú)立的定級(jí)對(duì)象。

　　對(duì)于云平臺(tái)、大數(shù)據(jù)、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、衛(wèi)星系統(tǒng)等，要按照定級(jí)指南的要求，合理確定定級(jí)對(duì)象。

　　確認(rèn)負(fù)責(zé)定級(jí)的單位是否對(duì)所定級(jí)網(wǎng)絡(luò)負(fù)有業(yè)務(wù)主管責(zé)任。也就是說(shuō)，業(yè)務(wù)部門應(yīng)主導(dǎo)對(duì)業(yè)務(wù)網(wǎng)絡(luò)的定級(jí)，運(yùn)維部門（例如信息中心、托管方）可以協(xié)助定級(jí)并按照業(yè)務(wù)部門的要求開(kāi)展后續(xù)安全保護(hù)工作。

　　具有網(wǎng)絡(luò)的基本要素。作為定級(jí)對(duì)象的網(wǎng)絡(luò)、信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。

　　注：不應(yīng)將某個(gè)單一的系統(tǒng)組件。（例如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等）作為定級(jí)對(duì)象。

　　圖片：何威風(fēng)

　　擬定保護(hù)等級(jí)

　　1.定級(jí)責(zé)任主體

　　網(wǎng)絡(luò)運(yùn)營(yíng)者和行業(yè)主管部門是網(wǎng)絡(luò)定級(jí)的責(zé)任主體。

　　2.定級(jí)要素

　　網(wǎng)絡(luò)的安全保護(hù)等級(jí)由兩個(gè)定級(jí)要素決定：等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度。

　　網(wǎng)絡(luò)的安全保護(hù)等級(jí)是網(wǎng)絡(luò)本身的客觀自然屬性。

　　不是以已采取或?qū)⒉扇∈裁窗踩Ｗo(hù)措施為依據(jù)，而是以網(wǎng)絡(luò)的重要性和網(wǎng)絡(luò)遭到破壞后對(duì)國(guó)家安全、社會(huì)穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，確定網(wǎng)絡(luò)的安全保護(hù)等級(jí)。

　　定級(jí)時(shí)應(yīng)主要考慮網(wǎng)絡(luò)被破壞對(duì)國(guó)家安全、社會(huì)穩(wěn)定的影響，以及境內(nèi)外各種敵對(duì)勢(shì)力、敵對(duì)分子針對(duì)重要網(wǎng)絡(luò)入侵攻擊破壞和竊取秘密等因素。

　　既要防止因片面追求絕對(duì)安全而定級(jí)過(guò)高，也要防止為逃避監(jiān)管而定級(jí)偏低。

　　3.對(duì)各類網(wǎng)絡(luò)定級(jí)的處理方法

　　?單位自建的網(wǎng)絡(luò)（與上級(jí)單位無(wú)關(guān)），由本單位定級(jí)。

　　?跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的網(wǎng)絡(luò)或信息系統(tǒng)，可以由行業(yè)主管部門統(tǒng)一確定安全保護(hù)等級(jí)。

　　?由各行業(yè)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一安全保護(hù)策略的全國(guó)聯(lián)網(wǎng)的大系統(tǒng)，應(yīng)由行業(yè)主管部門統(tǒng)一對(duì)下各級(jí)網(wǎng)絡(luò)分別確定等級(jí)；由各行業(yè)統(tǒng)一規(guī)劃、分級(jí)建設(shè)、全國(guó)聯(lián)網(wǎng)的信息系統(tǒng)，應(yīng)由部、省、地市分別確定系統(tǒng)等級(jí)。

　　?為避免出現(xiàn)同類系統(tǒng)下級(jí)定級(jí)比上級(jí)高的現(xiàn)象。對(duì)于該類系統(tǒng)的等級(jí)，下級(jí)確定后需報(bào)上級(jí)主管部門審批。這也是上級(jí)主管部門審批的一個(gè)重要作用。

　　特別注意：同類網(wǎng)絡(luò)的安全保護(hù)等級(jí)不能隨著部、省、市行政級(jí)別的降低而降低，例如地市級(jí)重要行業(yè)的重要系統(tǒng)不能定為第一級(jí)或第二級(jí)。

　　4.新建網(wǎng)絡(luò)的定級(jí)

　　對(duì)于新建網(wǎng)絡(luò)，網(wǎng)絡(luò)運(yùn)營(yíng)者在規(guī)劃設(shè)計(jì)時(shí)應(yīng)確定網(wǎng)絡(luò)的安全保護(hù)等級(jí)，按照網(wǎng)絡(luò)等級(jí)，“三同步”安全保護(hù)技術(shù)措施和管理措施。

　　專家評(píng)審

　　在初步確定網(wǎng)絡(luò)的安全保護(hù)等級(jí)后，為了保證定級(jí)合理、準(zhǔn)確，應(yīng)聘請(qǐng)由公安機(jī)關(guān)組織成立的網(wǎng)絡(luò)安全等級(jí)保護(hù)專家進(jìn)行評(píng)審，并出具評(píng)審意見(jiàn)。

　　*重要行業(yè)、部門的網(wǎng)絡(luò)，必須請(qǐng)專家進(jìn)行評(píng)審，以免發(fā)生網(wǎng)絡(luò)的安全保護(hù)等級(jí)被故意定低的情況。

　　等級(jí)的核準(zhǔn)

　　在定級(jí)環(huán)節(jié)，網(wǎng)絡(luò)運(yùn)營(yíng)者的意見(jiàn)或建議是最終的結(jié)果，這個(gè)和責(zé)任劃分是密切相關(guān)的。上面提到若網(wǎng)絡(luò)運(yùn)營(yíng)者不認(rèn)可專家評(píng)審意見(jiàn)，這個(gè)是可以接受的，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)明白一旦發(fā)生安全事件，發(fā)現(xiàn)級(jí)別不準(zhǔn)確時(shí)，則可能面臨較重的處罰。

　　單位自建的網(wǎng)絡(luò)（與上級(jí)單位無(wú)關(guān)）的安全等級(jí)確定后，是否報(bào)上級(jí)主管部門核準(zhǔn)由各行業(yè)自行決定。網(wǎng)絡(luò)運(yùn)營(yíng)者參考專家定級(jí)評(píng)審意見(jiàn)，最終確定網(wǎng)絡(luò)安全的保護(hù)等級(jí)，按要求形成定級(jí)報(bào)告。如果專家評(píng)審意見(jiàn)與網(wǎng)絡(luò)運(yùn)營(yíng)者意見(jiàn)不一致，由網(wǎng)絡(luò)運(yùn)營(yíng)者自主決定網(wǎng)絡(luò)等級(jí)。網(wǎng)絡(luò)運(yùn)營(yíng)者有上級(jí)主管部門的，應(yīng)當(dāng)經(jīng)上級(jí)主管部門對(duì)安全保護(hù)等級(jí)進(jìn)行核準(zhǔn)。主管部門一般是指行業(yè)的上級(jí)主管部門或監(jiān)管部門。如果是跨地域聯(lián)網(wǎng)運(yùn)營(yíng)使用的網(wǎng)絡(luò)，則必須由其上級(jí)主管部門核準(zhǔn)，以確保同類網(wǎng)絡(luò)或分支網(wǎng)絡(luò)在各地域分別定級(jí)的一致性。

　　公安機(jī)關(guān)審核

　　備案材料送交公安機(jī)關(guān)后，公安機(jī)關(guān)會(huì)對(duì)網(wǎng)絡(luò)定級(jí)的準(zhǔn)確性進(jìn)行審核。公安機(jī)關(guān)的審核是定級(jí)工作的最后一道防線。網(wǎng)絡(luò)定級(jí)基本準(zhǔn)確的，公安機(jī)關(guān)頒發(fā)由公安部統(tǒng)一監(jiān)制的《網(wǎng)絡(luò)安全等級(jí)保護(hù)備案證明》（下稱《備案證明》）。

　　定級(jí)不準(zhǔn)的，公安機(jī)關(guān)會(huì)告知網(wǎng)絡(luò)運(yùn)營(yíng)者，建議其組織專家重新進(jìn)行定級(jí)評(píng)審，并報(bào)上級(jí)主管部門核準(zhǔn)。網(wǎng)絡(luò)運(yùn)營(yíng)者仍然堅(jiān)持原定等級(jí)的，公安機(jī)關(guān)也會(huì)受理其備案，但會(huì)當(dāng)書面告知其承擔(dān)由此引發(fā)的責(zé)任和后果，經(jīng)上級(jí)公安機(jī)關(guān)同意，同時(shí)通報(bào)備案單位的上級(jí)主管部門。

　　在這個(gè)過(guò)程中，網(wǎng)絡(luò)運(yùn)營(yíng)者還是可以“堅(jiān)持己見(jiàn)”到底的，關(guān)鍵是由此產(chǎn)生的這個(gè)責(zé)任是需要自行承擔(dān)，一旦發(fā)生安全事件（故），則可能面臨上級(jí)主管部門的處罰和本級(jí)公安機(jī)關(guān)的處罰。所以，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)遵循科學(xué)合理定級(jí)，或遵從上級(jí)主管部門文件精神結(jié)合《定級(jí)指南》進(jìn)行定級(jí)。

　　在定級(jí)環(huán)節(jié)，理論上是沒(méi)有測(cè)評(píng)機(jī)構(gòu)的相關(guān)工作。然而，網(wǎng)絡(luò)運(yùn)營(yíng)者可以咨詢或?qū)ふ覝y(cè)評(píng)機(jī)構(gòu)服務(wù)，這樣可以促進(jìn)做到科學(xué)、合理、準(zhǔn)確。此過(guò)程中，機(jī)構(gòu)的責(zé)任局限于協(xié)助輔助，不具備完全替代網(wǎng)絡(luò)運(yùn)營(yíng)者單位的能力，不應(yīng)當(dāng)產(chǎn)生誤解。

　　網(wǎng)絡(luò)安全等級(jí)保護(hù)作為國(guó)家的一個(gè)基本國(guó)策，將是長(zhǎng)期的、具有遠(yuǎn)期目標(biāo)的國(guó)策，我們應(yīng)當(dāng)高瞻遠(yuǎn)矚著眼未來(lái)，做好當(dāng)下。我將在等級(jí)保護(hù)領(lǐng)域?qū)⒗^續(xù)竭誠(chéng)服務(wù)廣大用戶，在不斷夯實(shí)基礎(chǔ)技術(shù)、總結(jié)經(jīng)驗(yàn)的前提下，緊隨國(guó)家政策要求解決每一個(gè)用戶有關(guān)網(wǎng)絡(luò)安全等級(jí)保護(hù)的問(wèn)題。