2.4 网络安全定级的流程

等级保护对象定级工作的一般流程为：运营方确定网络安全等级保护对象，初步确定保护对象等级，邀请相关专家评审，报主管部门审核，到公安机关备案审查，最终确定保护对象的安全等级，网络安全等级流程如图2-2所示。

信息系统定级是等级保护工作的首要环节和关键环节，是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。这里先明确一个概念，信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。信息系统安全级别定级不准，系统备案、建设整改、等级测评等后续工作都会失去基础，信息系统安全就没有保证。定级工作可以按照下列步骤进行。

2.4.1 确定网络安全等级保护对象

在全国重要信息系统安全等级保护定级工作（以下简称“定级工作”）中，如何科学、合理地确定定级对象是最关键的问题。网络运营者或主管部门按如下原则确定定级对象。

一是将起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）作为定级对象。但不是将整个网络作为一个定级对象，而是要从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域或最小单元去定级。

二是对用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统，要按照不同业务类别单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象的条件。不能将某一类信息系统作为一个定级对象去定级。

三是将各单位网站作为独立的定级对象。如果网站的后台数据库管理系统安全级别高，也要作为独立的定级对象。网站上运行的信息系统（例如对社会服务的报名考试系统）也要作为独立的定级对象。

四是确认负责定级的单位是否对所定级系统负有业务主管责任。也就是说，业务部门应主导对业务信息系统定级，运维部门（例如信息中心、托管方）可以协助定级并按照业务部门的要求开展后续安全保护工作。

五是具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件（如服务器、终端、网络设备等）作为定级对象。

1.基础信息网络

对于电信网、广播电视传输网、互联网等基础信息网络，应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象。跨省全国性业务专网可作为一个整体对象定级，也可以分区域划分为若干个定级对象。

2.信息系统

1）工业控制系统

工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层构成，其中生产管理层应单独定级，其划分应遵循信息系统定级划分方法。现场设备层、现场控制层和过程监控层应作为一个整体对象定级，各层次要素不单独定级。

2）云计算平台

在云计算环境中，应将云服务方侧的云计算平台单独作为定级对象定级，云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台，应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。

3）物联网

物联网应作为一个整体对象定级，主要包括感知层、网络传输层和处理应用层等结构组成部分。

4）移动互联网

采用移动互联技术的等级保护对象应作为一个整体对象定级，主要包括移动终端、移动应用、无线网络以及相关应用系统等。

5）大数据

应将具有统一安全责任单位的大数据平台作为一个整体对象定级，或将其与责任主体相同的相关支撑平台统一定级。

6）其他信息系统

作为定级对象的其他信息系统应具有如下基本特征：

（1）具有确定的主要安全责任单位。作为定级对象的信息系统应能够明确其主要安全责任单位。

（2）承载相对独立的业务应用。作为定级对象的信息系统应承载相对独立的业务应用，完成不同业务目标或者支撑不同单位或不同部门职能的多个信息系统应划分为不同的定级对象。

（3）具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的多资源集合，单一设备（如服务器、终端、网络设备等）不单独定级。

2.4.2 初步确定网络安全保护等级

1.定级方法概述

网络安全等级保护定级对象的安全主要包括业务信息安全和系统服务安全。与之相关的受侵害客体和对客体的侵害程度可能不同，因此，安全保护等级应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的定级对象安全保护等级称为业务信息安全保护等级；从系统服务安全角度反映的定级对象安全保护等级称为系统服务安全保护等级。

定级方法如下。

1）确定受到破坏时所侵害的客体

（1）确定业务信息受到破坏时所侵害的客体。

（2）确定系统服务受到侵害时所侵害的客体。

2）确定对客体的侵害程度

（1）根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度。

（2）根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度。

3）确定安全保护等级

（1）确定业务信息安全保护等级。

（2）确定系统服务安全保护等级。

（3）将业务信息安全保护等级和系统服务安全保护等级的较高者初步确定为定级对象的安全保护等级。

对于大数据等定级对象，应综合考虑数据规模、数据价值等因素，根据其在国家安全、经济建设、社会生活中的重要程度，以及数据资源遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定其安全保护等级。原则上大数据安全保护等级为第三级以上。

对于基础信息网络、云计算平台等定级对象，应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级，原则上应不低于其承载的等级保护对象的安全保护等级。国家关键信息基础设施的安全保护等级应不低于第三级。

2.确定受侵害的客体

定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。

确定受侵害的客体时，应首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合法权益。

3.确定对客体的侵害程度

在客观方面，对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对业务信息安全的破坏和对信息系统服务的破坏。其中，业务信息安全是指确保信息系统内信息的保密性、完整性和可用性等，系统服务安全是指确保定级对象可以及时、有效地提供服务，以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。

业务信息安全和系统服务安全受到破坏后，可能产生以下危害后果：影响行使工作职能；导致业务能力下降；引起法律纠纷；导致财产损失；造成社会不良影响；对其他组织和个人造成损失；其他影响。

侵害程度是客观方面的不同外在表现的综合体现，因此，应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同。例如，系统服务安全被破坏导致业务能力下降的程度可以从定级对象服务覆盖的区域范围、用户人数或业务量等不同方面确定；业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。

在针对不同的受侵害客体进行侵害程度的判断时，应依据以下不同的判别基准：

如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判断侵害程度的基准；

如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体利益作为判断侵害程度的基准。

业务信息安全和系统服务安全被破坏后对客体的侵害程度，由对不同危害结果的危害程度进行综合评定得出。由于各行业定级对象所处理的信息种类和系统服务特点各不相同，业务信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同，各行业可根据本行业信息特点和系统服务特点，制定危害程度的综合评定方法，并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。

4.确定网络安全保护等级

根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表2-2所列业务信息安全保护等级矩阵表，即可得到业务信息安全保护等级。

根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表2-3所列系统服务安全保护等级矩阵表，即可得到系统服务安全保护等级。

定级对象的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。

2.4.3 专家评审

定级对象的运营、使用单位应组织信息安全专家和业务专家，对初步定级结果的合理性进行评审，出具专家评审意见。

2.4.4 主管部门审核

定级对象的运营、使用单位应将初步定级结果上报行业主管部门，由上级主管部门进行审核。

2.4.5 公安机关备案审查

定级对象的运营、使用单位应按照相关管理规定，将初步定级结果提交公安机关进行备案审查。审查不通过，其网络运营者应组织重新定级；审查通过后最终确定定级对象的安全保护等级。

2.4.6 等级变更

当等级保护对象所处理的信息、业务状态和系统服务范围发生变化，可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度有较大的变化时，应根据标准要求重新确定定级对象和安全保护等级。