网络安全等级保护：等级保护工作从定级到备案

等级保护的五个规定动作分别是定级、备案、建设整改、安全测评、监督检查，定级与备案属于等级保护前两个动作，定级过程中又涉及到评审，所以再分则可以理解第一个大阶段包含定级、评审与备案三个工作项。

如下图，最上一层所示。

等级保护遵循“三同步”原则，要求责任单位要确保安全保护措施与主体设施同步规划、同步设计、同步实施。现在《网络安全法》对关键信息基础设施的规定的“三同步”为“同步规划、同步建设、同步使用”，基本上在规划之初就应该考虑等级保护工作如何开展，也就是等级保护工作与规划同步开展。有关“同步规划”，则可以通过信息化项目建设管理制度、信息化项目建设文档等相关材料来体现。

今天我们结合《网络安全等级保护实施指南》及等级保护有关资料，一起探讨一下等级保护定级与备案阶段工作流程。

流程大致如下图所示：

依据上图，我们将定级与备案工作分成四个阶段。

第一阶段:

需要输入的包括行业介绍文档、GB/T 22240-2020《信息安全技术网络安全等级保护定级指南》(以下简称“《定级指南》”）,主要过程是行业/领域定级工作，最终需要输出包括行业/领域的业务总体描述文件、行业/领域定级指导意见、行业/领域定级工作部署文件。

在这个阶段，从输入来看基本上是网络所有者、运营者所在的行业主管部门根据自己所处行业和领域特点结合《定级指南》出具行业性定级指导性文件。

这个阶段涉及的子活动有识别、分析行业/领域重要性，识别行业/领域的主要业务,定级指导，定级工作部署等，这些子活动基本上以行业主管部门负责。

这个阶段的工作主要是行业主管部门和安全服务机构共同完成。

作为网络网络运营、使用单位则需要了解有哪些关于等级保护定级的行业/领域性文件。网络运营、使用单位可以咨询专业人员或专业机构，在这个过程中一般网络安全服务机构应当具备相关的知识或收集相关行业资料，但是各单位在咨询或寻找帮助过程中，也应该擦亮眼睛以防被一些不专业的人士，带入误区影响网络安全工作开展。原理上，术业有专攻，但是现在网络安全行业也充斥着鱼目混珠的情况，可谓鱼龙混杂，所以并不是所有所谓安全从业人员都是合格的安全从业者。

第二阶段:

到第二阶段，进入等级保护对象分析，需要输入上阶段输出的行业/领域定级指导意见、定级部署文件等，结合网络网络运营、使用单位自身单位情况说明的文档、等级保护对象的立项、建设和管理文档再加上《定级指南》，经过等级保护对象分析输出等级保护对象总体描述文件、等级保护对象详细描述文件。

这个阶段的工作是网络网络运营、使用单位与网络安全服务机构来完成。

这个阶段涉及识别、分析行业/领域重要性、主要业务、定级指导、定级工作部署等。

第三阶段：

到第三个阶段结合行业/领域定级指导意见、等级保护对象总体描述文件、等级保护对象详细描述文件完成安全保护等级确定，在这个阶段输出主管部门审核意见、等级保护对象安全保等级定级报告。

这个阶段的工作是网络网络运营、使用单位与网络安全服务机构来完成。

这个阶段涉及对象重要性分析，其子活动有识别单位的基本信息，识别单位的等级保护对象基本信息，识别等级保护对象的管理框架，识别等级保护对象的网络及设备部署，识别等级保护对象的业务特性，识别等级保护对象处理的信息资产，识别用户范围和用户类型，等级保护对象描述。

其中等级保护对象的描述应该包含但不限于等级保护对象概述、重要性分析、边界描述、网络拓扑、设备部署、支撑的业务应用的种类和特性、处理信息资产、用户的范围和用户类型、管理框架等。

定级对象确定子活动包括划分方法的选择、等级保护对象划分、定级对象详细描述。一个描述准确的大型等级保护对象中应包含且不限于相对独立的定级对象列表、每个定级对象的概述、每个定级对象的边界、每个定级对象设备部署、每个定级对象支撑的业务应用及其处理的信息资产类型、每个定级对象的服务范围和用户类型。

第四阶段：

最后是第四个阶段需要输入上个阶段输出的定级报告以及主管部门审核意见、等级保护对象安全总体方案、安全详细设计方案、安全等测评报告，去公安机关进行定级结果备案，输出备案材料和备案证明。

这个阶段的工作是网络网络运营、使用单位、行业主管部门与网络安全服务机构来共同完成。

这个阶段涉及的子活动有定级对象安全保护等级初步确定、定级结果评审、定级结果评审、批准。形成定级报告应包含但不限于单位信息化现状概述、管理模式、定级对象列表、每个定级对象的概述、每个定级对象的边界、每个定级对象的设备部署、每个定级对象支撑的业务应用、定级对象列表、安全保护等级以及保护要求组合等。

在此，我们做一个强调，等级保护工作的定级，是要求除了个人、家庭自建自用的系统之外，都需要落实定级工作。定级材料自行留存以待监管部门查阅，对定级不准的网络，公安机关将要求责任单位进行重新定级，并经过专家评审等。此前我总结了几句话，在这里予以说明：所有系统要定级，并按照对应级别开展建设整改工作；第一级网络，定级不备案；第二级以上要定级、备案；第三级以上定级、备案、测评，公安机关对所有级别都有监督、指导权力。

定级结果备案需要对备案材料进行整理，填写备案表等材料，备案材料提交以及后期补充测评报告等工作。公安机关接收备案材料初级备案证明。这样，等级保护定级与备案工作算是完成，责任单位需要根据对应级别开展建设，落实对应级别的安全技术措施和管理措施，接着将进入建设阶段，下篇再一起探讨。

等级保护不同阶段参与方是不同的，但是作为网络运营、使用单位是直接责任单位，承担着网络安全的直接责任，对参与到责任单位中的第三方有监督的权力和义务，是自始至终都要参与进来的，而公安监督检查也是贯穿等级保护工作的始终的。所以，网络运营、使用单位一定不能认为，出了钱就可以做撒手掌柜。而这里面每一步工作的责任其实还是牢牢落在自己身上。网络运营、使用者对所有第三方的工作情况依据国家法律法规、国家标准以及双方协议，开展监督工作，公安机关则依据法律法规、国家标准对网络安全等级保护工作汇总的所有参与者进行监督、管理、指导。只是监管角度和方式不同而已，对网络安全服务机构有依法对安全服务机构的管理要求，对行业主管部门有依法对行业主管部门的管理要求，对网络运营、使用单位有依法对网络运营、使用单位的手段。而只有各司其职，各尽其责按照相关国家法律法规及标准去建设网络，才能做到真正的合规。所以，选择第三方时，一定要确保第三方自身各项工作是合规的，同时具备提供合规的能力，否则合规工作将进入务虚的境地，为自己埋下隐患。

参考文件：