等級(jí)保護(hù)的五個(gè)規(guī)定動(dòng)作分別是定級(jí)、備案、建設(shè)整改、安全測(cè)評(píng)、監(jiān)督檢查，定級(jí)與備案屬于等級(jí)保護(hù)前兩個(gè)動(dòng)作，定級(jí)過(guò)程中又涉及到評(píng)審，所以再分則可以理解第一個(gè)大階段包含定級(jí)、評(píng)審與備案三個(gè)工作項(xiàng)。如下圖，最上一層所示。

等級(jí)保護(hù)遵循“三同步”原則，現(xiàn)在《網(wǎng)絡(luò)安全法》規(guī)定的“三同步”為“同步規(guī)劃、同步建設(shè)、同步使用”，基本上在規(guī)劃之初就應(yīng)該考慮等級(jí)保護(hù)工作如何開(kāi)展，也就是等級(jí)保護(hù)工作與規(guī)劃同步開(kāi)展。

　　今天我們結(jié)合《網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》探討一下等級(jí)保護(hù)定級(jí)與備案階段工作流程。

　　流程大致如下圖所示：

　　依據(jù)上圖，我們將定級(jí)與備案工作分成四個(gè)階段。

　　第一階段：

　　需要輸入的包括行業(yè)介紹文檔、GB/T 22240-2020《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》（以下簡(jiǎn)稱“《定級(jí)指南》”，主要過(guò)程是行業(yè)/領(lǐng)域定級(jí)工作，最終需要輸出包括行業(yè)/領(lǐng)域的業(yè)務(wù)總體描述文件、行業(yè)/領(lǐng)域定級(jí)指導(dǎo)意見(jiàn)、行業(yè)/領(lǐng)域定級(jí)工作部署文件。在這個(gè)階段，從輸入來(lái)看基本上是網(wǎng)絡(luò)所有者、運(yùn)營(yíng)者所在的行業(yè)主管部門根據(jù)自己所處行業(yè)和領(lǐng)域特點(diǎn)結(jié)合《定級(jí)指南》出具行業(yè)性定級(jí)指導(dǎo)性文件。

　　這個(gè)階段涉及的子活動(dòng)有識(shí)別、分析行業(yè)/領(lǐng)域重要性，識(shí)別行業(yè)/領(lǐng)域的主要業(yè)務(wù)，定級(jí)指導(dǎo)，定級(jí)工作部署等，這些子活動(dòng)基本上以行業(yè)主管部門負(fù)責(zé)。

　　這個(gè)階段的工作主要是行業(yè)主管部門和安全服務(wù)機(jī)構(gòu)共同完成。

　　作為網(wǎng)絡(luò)網(wǎng)絡(luò)運(yùn)營(yíng)、使用單位則需要了解有哪些關(guān)于等級(jí)保護(hù)定級(jí)的行業(yè)/領(lǐng)域性文件。作為測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)師，大多都會(huì)關(guān)注這塊工作，網(wǎng)絡(luò)運(yùn)營(yíng)、使用單位可以咨詢測(cè)評(píng)機(jī)構(gòu)或與測(cè)評(píng)機(jī)構(gòu)一起努力查找相關(guān)文件。

　　第二階段：

　　到第二階段，進(jìn)入等級(jí)保護(hù)對(duì)象分析，需要輸入上階段輸出的行業(yè)/領(lǐng)域定級(jí)指導(dǎo)意見(jiàn)、定級(jí)部署文件等，結(jié)合網(wǎng)絡(luò)網(wǎng)絡(luò)運(yùn)營(yíng)、使用單位自身單位情況說(shuō)明的文檔、等級(jí)保護(hù)對(duì)象的立項(xiàng)、建設(shè)和管理文檔再加上《定級(jí)指南》，經(jīng)過(guò)等級(jí)保護(hù)對(duì)象分析輸出等級(jí)保護(hù)對(duì)象總體描述文件、等級(jí)保護(hù)對(duì)象詳細(xì)描述文件。

　　這個(gè)階段的工作是網(wǎng)絡(luò)網(wǎng)絡(luò)運(yùn)營(yíng)、使用單位與網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)來(lái)完成。

　　這個(gè)階段涉及識(shí)別、分析行業(yè)/領(lǐng)域重要性、主要業(yè)務(wù)、定級(jí)指導(dǎo)、定級(jí)工作部署等。

　　第三階段：

　　到第三個(gè)階段結(jié)合行業(yè)/領(lǐng)域定級(jí)指導(dǎo)意見(jiàn)、等級(jí)保護(hù)對(duì)象總體描述文件、等級(jí)保護(hù)對(duì)象詳細(xì)描述文件完成安全保護(hù)等級(jí)確定，在這個(gè)階段輸出主管部門審核意見(jiàn)、等級(jí)保護(hù)對(duì)象安全保等級(jí)定級(jí)報(bào)告。

　　這個(gè)階段的工作是網(wǎng)絡(luò)網(wǎng)絡(luò)運(yùn)營(yíng)、使用單位與網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)來(lái)完成。

　　這個(gè)階段涉及對(duì)象重要性分析，其子活動(dòng)有識(shí)別單位的基本信息，識(shí)別單位的等級(jí)保護(hù)對(duì)象基本信息，識(shí)別等級(jí)保護(hù)對(duì)象的管理框架，識(shí)別等級(jí)保護(hù)對(duì)象的網(wǎng)絡(luò)及設(shè)備部署，識(shí)別等級(jí)保護(hù)對(duì)象的業(yè)務(wù)特性，識(shí)別等級(jí)保護(hù)對(duì)象處理的信息資產(chǎn)，識(shí)別用戶范圍和用戶類型，等級(jí)保護(hù)對(duì)象描述。其中等級(jí)保護(hù)對(duì)象的描述應(yīng)該包含但不限于等級(jí)保護(hù)對(duì)象概述、重要性分析、邊界描述、網(wǎng)絡(luò)拓?fù)?、設(shè)備部署、支撐的業(yè)務(wù)應(yīng)用的種類和特性、處理信息資產(chǎn)、用戶的范圍和用戶類型、管理框架等。

　　定級(jí)對(duì)象確定子活動(dòng)包括劃分方法的選擇、等級(jí)保護(hù)對(duì)象劃分、定級(jí)對(duì)象詳細(xì)描述。一個(gè)描述準(zhǔn)確的大型等級(jí)保護(hù)對(duì)象中應(yīng)包含且不限于相對(duì)獨(dú)立的定級(jí)對(duì)象列表、每個(gè)定級(jí)對(duì)象的概述、每個(gè)定級(jí)對(duì)象的邊界、每個(gè)定級(jí)對(duì)象設(shè)備部署、每個(gè)定級(jí)對(duì)象支撐的業(yè)務(wù)應(yīng)用及其處理的信息資產(chǎn)類型、每個(gè)定級(jí)對(duì)象的服務(wù)范圍和用戶類型。

　　第四階段：

　　最后是第四個(gè)階段需要輸入上個(gè)階段輸出的定級(jí)報(bào)告以及主管部門審核意見(jiàn)、等級(jí)保護(hù)對(duì)象安全總體方案、安全詳細(xì)設(shè)計(jì)方案、安全等測(cè)評(píng)報(bào)告，去公安機(jī)關(guān)進(jìn)行定級(jí)結(jié)果備案，輸出備案材料和備案證明。

　　這個(gè)階段的工作是網(wǎng)絡(luò)網(wǎng)絡(luò)運(yùn)營(yíng)、使用單位、行業(yè)主管部門與網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)來(lái)共同完成。

　　這個(gè)階段涉及的子活動(dòng)有定級(jí)對(duì)象安全保護(hù)等級(jí)初步確定、定級(jí)結(jié)果評(píng)審、定級(jí)結(jié)果評(píng)審、批準(zhǔn)。形成定級(jí)報(bào)告應(yīng)包含但不限于單位信息化現(xiàn)狀概述、管理模式、定級(jí)對(duì)象列表、每個(gè)定級(jí)對(duì)象的概述、每個(gè)定級(jí)對(duì)象的邊界、每個(gè)定級(jí)對(duì)象的設(shè)備部署、每個(gè)定級(jí)對(duì)象支撐的業(yè)務(wù)應(yīng)用、定級(jí)對(duì)象列表、安全保護(hù)等級(jí)以及保護(hù)要求組合等。

　　定級(jí)結(jié)果備案需要對(duì)備案材料進(jìn)行整理，填寫備案表等材料，備案材料提交以及后期補(bǔ)充測(cè)評(píng)報(bào)告等工作。公安機(jī)關(guān)接收備案材料初級(jí)備案證明。這樣，等級(jí)保護(hù)定級(jí)與備案工作算是完結(jié)，接著將進(jìn)入建設(shè)階段，以后再一起探討。這個(gè)階段將定級(jí)工作幾個(gè)視角談?wù)撏辏謩e從宏觀、中觀去談，上次談?wù)摰妮^宏觀，這次較中觀，下次分享以《定級(jí)指南》為參考的單位如何確定定級(jí)對(duì)象以及如何定級(jí)的問(wèn)題。

　　等級(jí)保護(hù)不同階段參與方是不同的，但是作為網(wǎng)絡(luò)運(yùn)營(yíng)、使用單位是自始至終都要參與進(jìn)來(lái)的，而公安監(jiān)督檢查也是貫穿始終的。只是監(jiān)管角度和方式不同而已，對(duì)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)有依法對(duì)安全服務(wù)機(jī)構(gòu)的管理要求，對(duì)行業(yè)主管部門有依法對(duì)行業(yè)主管部門的管理要求，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)、使用單位有依法對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)、使用單位的手段。而只有各司其職，各盡其責(zé)按照相關(guān)國(guó)家法律法規(guī)及標(biāo)準(zhǔn)去建設(shè)網(wǎng)絡(luò)，才能做到最佳的合規(guī)。