网络安全等级保护——定级备案流程解读

定级、备案是网络安全等级保护工作的初始环节，也是网络运营者开展等级保护工作的基础和关键，更是网络运营者履行等级保护义务的直接体现。

为什么要做定级备案

      《中华人民共和国网络安全法》第二十一条规定：国家实行网络安全等级保护制度。网络安全等级保护制度成为基本制度。而信息系统定级是等级保护工作的首要环节和关键环节，是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。那么各单位如何开展定级备案工作呢？

定级备案流程

第一步  确定定级对象

        根据GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》，网络安全定级对象主要包括信息系统（办公自动化系统、云计算平台/系统、物联网、工业控制系统、采用移动互联技术的系统等）、通信网络设施（主要包括电信网、广播电视传输网和行业或单位的专用通信网等）和数据资源等。

常见定级对象参考：

1 起支撑、传输作用的基础信息网络要作为定级对象。但不是将整个网络作为一个定级对象，而是要从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域或最小单元去定级；

2专网、内网、外网等网络系统（包括网管系统）要作为定级对象。同基础信息网络一样，也不能将整个网络系统作为一个定级对象，而是要从安全管理和安全责任的角度将网络系统划分成若干个最小安全域或最小单元去定级；

3各单位网站要作为独立的定级对象。如果网站的后台数据库管理系统安全级别高，也要作为独立的定级对象。网站上运行的信息系统（例如对社会服务的报名考试系统）也要作为独立的定级对象。邮件系统单独定级；

4用于生产、调度、管理、作业、指挥、办公等目的的各类应用系统，要按照不同业务类别单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象条件。不能将某一类信息系统作为一个定级对象去定级；

5对于云平台、大数据、工业控制系统、物联网、移动互联网、卫星系统等按照定级指南要求，合理确定定级对象；

6具有信息系统的基本要素。作为定级对象的信息系统应该是由相关和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件（如服务器、终端、网络设备等）作为定级对象。

第二步  初步确定网络安全保护等级

依据网络安全保护等级的定义，定级应综合考虑“定级保护对象在国家安全、经济建设、社会生活中的重要程度，以及一旦遭受到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益的侵害程度等因素”。

等级保护对象的网络安全保护等级分为以下五级：

 定级具体流程：

 等级保护对象的定级要素包含：

 所侵害的客体有：

      ① 公民、法人和其他组织的合法权益

      ② 社会秩序、公共利益

      ③ 国家安全

造成侵害的程度有：

      ① 造成一般损害

      ② 造成严重损害

      ③ 造成特别严重损害

常见的定级参考因素：

      个人信息收集与条数：考察系统是否涉及个人信息的收集，以及收集的个人信息条数。这直接关系到信息系统对隐私的管理和保护程度。

      重要数据的量级：确定信息系统所处理重要数据的规模。这包括对关键数据的分类和评估，以便更好地保护核心业务信息。

      系统功能、服务类型及用户范围：了解系统的功能特点、提供的服务类型，以及系统用户的范围。这有助于确定系统在业务中的关键性和服务范围。

      系统被攻击时可接受的中断时长：考虑系统在遭受攻击时可以接受的中断时长。这关系到系统的弹性和应急响应能力。

第三步  备案材料信息确定

      定级备案表和定级报告编写：根据定级信息系统机房实际情况，编写《网络安全等级保护备案表》、《网络安全等级保护定级报告》。

      《网络安全等级保护备案表》：需介绍单位基本情况、信息系统情况、信息系统定级情况、提交材料情况等。

      《网络安全保护等级定级报告》：定级报告需介绍系统情况、系统功能、网络拓扑图、系统的定级理由及最终定级情况。

第四步  专家评审

      专家评审⼯作专家组由三名信息安全专家和业务专家组成，专家现场会根据网络运营者对信息系统的介绍，提出定级是否合理相关建议并形成网络安全等级保护定级专家评审意见表。

第五步  主管部门审核

      信息系统运行用户有上级行业主管部门的，确定的信息系统网络安全保护等级报上级行业主管部门批准。

第六步  公安机关备案审查

        根据《信息安全等级保护管理办法》规定，信息系统安全保护等级为二级以上的信息系统运行用户或主管部门应在安全保护等级确定后30日内到当地公安机关网络监管部门办理备案程序。新建二级以上信息系统，其运营使用单位应当在投入运行后30日内到当地公安机关网络监管部门办理备案手续。公安机关经审查，符合等级保护要求的，应当在收到备案材料起的10个工作日内向备案单位颁发信息系统安全保护等级备案证明;发现不符合要求的，通知备案单位予以纠正;发现定级不准的，通知备案单位重新审核确定。

      除了工商营业执照、法人代表身份证明等固定材料外，网络运营者还需提交其他材料，不同级别的信息系统需要的备案材料有所差异。

      第二级及其以上的信息系统运行使用单位或主管部门在备案时需要提交的资料有：

① 网络安全等级保护定级报告纸质材料，一式两份；

② 网络安全等级保护备案表纸质材料，一式两份；

③上述材料的电子档，并制作出光盘提交。

      第三级以上信息系统同时提供以下材料：

① 系统拓扑结构及说明；

② 网络安全管理小组人员名单和管理制度；

③ 系统安全保护设施设计实施方案或者改建实施方案；

④ 系统使用的安全产品清单及其认证、销售许可证明；

⑤ 信息系统安全保护等级专家评审意见；

⑥ 主管部门审核批准信息系统安全保护等级的意见。

定级备案常见问题解答

问：定级备案的责任主体是谁？

      根据《网络安全等级保护实施指南》，定级备案的责任主体是系统的运营者、使用者。

 问：是否系统定级越低越好？

      不是。应根据实际业务系统的情况参照定级标准进行定级，采用“定级过低不允许、定级过高不可取”的原则。当出现网络安全事件进行追责的时候，如因系统定级过低，需承担系统定级不合理、安全责任没有履行到位的风险。

 问：必须先备案才能等级测评吗？

      是的。根据《信息安全等级保护管理办法》，必须先完成备案，才能开展等级测评，而且若缺少备案证明，将无法及时在公安部的等级测评项目等级管理系统进行项目登记，只有通过项目登记才能出具测评报告。

 问：系统已完成等保定级备案，是否意味着等保工作已完成？

      不是。根据相关规定，定级备案之后，需邀请测评机构进行等保测评工作，对安全配置进行核查，以确保网络和系统的安全等级符合要求。最终，出具正式的测评报告，才能视为等保工作的完成。

 问：如何选择等级保护备案所在地？

      《信息安全等级保护管理办法》规定，等级保护的主体单位为信息系统的运营、使用单位。备案主体一般可以理解为，出现网络安全事件后，第一责任单位是谁，谁就是备案主体。要注意让承建单位或运维单位成为备案主体的错误方式。大部分情况下，在属地网安进行定级备案。如运维所在地和注册地不一致，一般在运维所在地备案。