等級保護的五個規(guī)定動作分別是定級、備案、建設(shè)整改、安全測評、監(jiān)督檢查，定級與備案屬于等級保護前兩個動作，定級過程中又涉及到評審，所以再分則可以理解第一個大階段包含定級、評審與備案三個工作項。如下圖，最上一層所示。

　　等級保護遵循“三同步”原則，現(xiàn)在《網(wǎng)絡(luò)安全法》規(guī)定的“三同步”為“同步規(guī)劃、同步建設(shè)、同步使用”，基本上在規(guī)劃之初就應(yīng)該考慮等級保護工作如何開展，也就是等級保護工作與規(guī)劃同步開展。

　　今天我們結(jié)合《網(wǎng)絡(luò)安全等級保護實施指南》探討一下等級保護定級與備案階段工作流程。

　　流程大致如下圖所示：

　　依據(jù)上圖，我們將定級與備案工作分成四個階段。

　　第一階段：

　　需要輸入的包括行業(yè)介紹文檔、GB/T 22240-2020《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護定級指南》（以下簡稱“《定級指南》”，主要過程是行業(yè)/領(lǐng)域定級工作，最終需要輸出包括行業(yè)/領(lǐng)域的業(yè)務(wù)總體描述文件、行業(yè)/領(lǐng)域定級指導意見、行業(yè)/領(lǐng)域定級工作部署文件。在這個階段，從輸入來看基本上是網(wǎng)絡(luò)所有者、運營者所在的行業(yè)主管部門根據(jù)自己所處行業(yè)和領(lǐng)域特點結(jié)合《定級指南》出具行業(yè)性定級指導性文件。

　　這個階段涉及的子活動有識別、分析行業(yè)/領(lǐng)域重要性，識別行業(yè)/領(lǐng)域的主要業(yè)務(wù)，定級指導，定級工作部署等，這些子活動基本上以行業(yè)主管部門負責。

　　這個階段的工作主要是行業(yè)主管部門和安全服務(wù)機構(gòu)共同完成。

　　作為網(wǎng)絡(luò)網(wǎng)絡(luò)運營、使用單位則需要了解有哪些關(guān)于等級保護定級的行業(yè)/領(lǐng)域性文件。作為測評機構(gòu)測評師，大多都會關(guān)注這塊工作，網(wǎng)絡(luò)運營、使用單位可以咨詢測評機構(gòu)或與測評機構(gòu)一起努力查找相關(guān)文件。

　　第二階段：

　　到第二階段，進入等級保護對象分析，需要輸入上階段輸出的行業(yè)/領(lǐng)域定級指導意見、定級部署文件等，結(jié)合網(wǎng)絡(luò)網(wǎng)絡(luò)運營、使用單位自身單位情況說明的文檔、等級保護對象的立項、建設(shè)和管理文檔再加上《定級指南》，經(jīng)過等級保護對象分析輸出等級保護對象總體描述文件、等級保護對象詳細描述文件。

　　這個階段的工作是網(wǎng)絡(luò)網(wǎng)絡(luò)運營、使用單位與網(wǎng)絡(luò)安全服務(wù)機構(gòu)來完成。

　　這個階段涉及識別、分析行業(yè)/領(lǐng)域重要性、主要業(yè)務(wù)、定級指導、定級工作部署等。

　　第三階段：

　　到第三個階段結(jié)合行業(yè)/領(lǐng)域定級指導意見、等級保護對象總體描述文件、等級保護對象詳細描述文件完成安全保護等級確定，在這個階段輸出主管部門審核意見、等級保護對象安全保等級定級報告。

　　這個階段的工作是網(wǎng)絡(luò)網(wǎng)絡(luò)運營、使用單位與網(wǎng)絡(luò)安全服務(wù)機構(gòu)來完成。

　　這個階段涉及對象重要性分析，其子活動有識別單位的基本信息，識別單位的等級保護對象基本信息，識別等級保護對象的管理框架，識別等級保護對象的網(wǎng)絡(luò)及設(shè)備部署，識別等級保護對象的業(yè)務(wù)特性，識別等級保護對象處理的信息資產(chǎn)，識別用戶范圍和用戶類型，等級保護對象描述。其中等級保護對象的描述應(yīng)該包含但不限于等級保護對象概述、重要性分析、邊界描述、網(wǎng)絡(luò)拓撲、設(shè)備部署、支撐的業(yè)務(wù)應(yīng)用的種類和特性、處理信息資產(chǎn)、用戶的范圍和用戶類型、管理框架等。

　　定級對象確定子活動包括劃分方法的選擇、等級保護對象劃分、定級對象詳細描述。一個描述準確的大型等級保護對象中應(yīng)包含且不限于相對獨立的定級對象列表、每個定級對象的概述、每個定級對象的邊界、每個定級對象設(shè)備部署、每個定級對象支撐的業(yè)務(wù)應(yīng)用及其處理的信息資產(chǎn)類型、每個定級對象的服務(wù)范圍和用戶類型。

　　第四階段：

　　最后是第四個階段需要輸入上個階段輸出的定級報告以及主管部門審核意見、等級保護對象安全總體方案、安全詳細設(shè)計方案、安全等測評報告，去公安機關(guān)進行定級結(jié)果備案，輸出備案材料和備案證明。

　　這個階段的工作是網(wǎng)絡(luò)網(wǎng)絡(luò)運營、使用單位、行業(yè)主管部門與網(wǎng)絡(luò)安全服務(wù)機構(gòu)來共同完成。

　　這個階段涉及的子活動有定級對象安全保護等級初步確定、定級結(jié)果評審、定級結(jié)果評審、批準。形成定級報告應(yīng)包含但不限于單位信息化現(xiàn)狀概述、管理模式、定級對象列表、每個定級對象的概述、每個定級對象的邊界、每個定級對象的設(shè)備部署、每個定級對象支撐的業(yè)務(wù)應(yīng)用、定級對象列表、安全保護等級以及保護要求組合等。

　　定級結(jié)果備案需要對備案材料進行整理，填寫備案表等材料，備案材料提交以及后期補充測評報告等工作。公安機關(guān)接收備案材料初級備案證明。這樣，等級保護定級與備案工作算是完結(jié)，接著將進入建設(shè)階段，下篇再一起探討。

　　等級保護不同階段參與方是不同的，但是作為網(wǎng)絡(luò)運營、使用單位是自始至終都要參與進來的，而公安監(jiān)督檢查也是貫穿始終的。只是監(jiān)管角度和方式不同而已，對網(wǎng)絡(luò)安全服務(wù)機構(gòu)有依法對安全服務(wù)機構(gòu)的管理要求，對行業(yè)主管部門有依法對行業(yè)主管部門的管理要求，對網(wǎng)絡(luò)運營、使用單位有依法對網(wǎng)絡(luò)運營、使用單位的手段。而只有各司其職，各盡其責按照相關(guān)國家法律法規(guī)及標準去建設(shè)網(wǎng)絡(luò)，才能做到最佳的合規(guī)。