1月14日，國家公安部、最高人民檢察院、最高人民法院、工信部、中國人民銀行等部門和相關企業(yè)在2018年守護者計劃大會上聯(lián)合宣布，將采取聯(lián)合治理模式，攜手更多的政府部門和企業(yè)，打擊網(wǎng)絡黑色產(chǎn)業(yè)鏈，共同構建“網(wǎng)絡安全共同體”，公安部副部長侍俊更明確表示今年將組織開展打擊網(wǎng)絡亂象的“凈網(wǎng)2018”專項行動，嚴格落實網(wǎng)絡安全等級保護制度，加強企業(yè)大數(shù)據(jù)和公民個人信息安全的防護工作。

1月19日，全國信息安全標準化技術委員會發(fā)布關于《信息安全技術 網(wǎng)絡安全等級保護定級指南（征求意見稿）》（以下稱“《定級指南》”）向社會廣泛征求意見的通知，這意味著《網(wǎng)絡安全法》（以下稱“《網(wǎng)安法》”）所確立的網(wǎng)絡安全等級保護制度在定級的原理、對象以及程序等多方面有了具體的實施依據(jù)。相較第一稿，最新版的《定級指南》更加注重與《網(wǎng)安法》及其配套法規(guī)的銜接，在大體框架不變的前提下以《網(wǎng)安法》為基準對部分術語進行了修改，為網(wǎng)絡運營者提供了相應的操作指引。

《定級指南》的具體規(guī)定

關于定級對象的范圍

2007年實施的《信息安全等級保護管理辦法》（以下稱“《信息辦法》”）為《網(wǎng)安法》第二十一條確立的網(wǎng)絡安全等級保護制度提供了借鑒，其在第十條明確提到信息系統(tǒng)運營、使用單位應當依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》（以下稱“《信息指南》”）確定信息系統(tǒng)的安全保護等級，因此，《定級指南》的出臺很大程度上得益于《信息指南》的已有規(guī)定。

相比《信息指南》將等級保護的對象籠統(tǒng)地定義為信息安全等級保護工作直接作用的具體的信息和信息系統(tǒng)，《定級指南》細化了網(wǎng)絡安全等級保護制度定級對象的具體范圍，主要包括基礎信息網(wǎng)絡、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、使用移動互聯(lián)技術的網(wǎng)絡、其他網(wǎng)絡以及大數(shù)據(jù)等多個系統(tǒng)平臺。另外，作為定級對象的網(wǎng)絡還應當滿足三個基本特征：第一，具有確定的主要安全責任主體；第二，承載相對獨立的業(yè)務應用；第三，包含相互關聯(lián)的多個資源。

根據(jù)《定級指南》，定級對象在滿足上述基本特征后仍需遵循相關要求。對于電信網(wǎng)、廣播電視傳輸網(wǎng)、互聯(lián)網(wǎng)等基礎信息網(wǎng)絡，應分別依據(jù)服務類型、服務地域和安全責任主體等因素將其劃分為不同的定級對象，而跨省業(yè)務專網(wǎng)既可以作為一個整體定級，也可根據(jù)區(qū)域劃分為若干對象定級。對于工業(yè)控制系統(tǒng)，應將現(xiàn)場采集/執(zhí)行、現(xiàn)場控制和過程控制等要素應作為一個整體對象定級，而生產(chǎn)管理要素可以單獨定級。

對于云計算平臺，則應區(qū)分為服務提供方與租戶方，各自分別作為定級對象。對于物聯(lián)網(wǎng)，雖然其包括感知、網(wǎng)絡傳輸和處理應用等多種特征因素，但仍應將以上要素作為一個整體的定級對象，各要素并不單獨定級。采用移動互聯(lián)技術的網(wǎng)絡與物聯(lián)網(wǎng)類似，應將移動終端、移動應用、無線網(wǎng)絡等要素與相關有線網(wǎng)絡業(yè)務系統(tǒng)作為整體對象定級。對于大數(shù)據(jù)，除安全責任主體相同的平臺和應用可以整體定級外，應單獨定級。

關于安全保護等級

《定級指南》繼受了《信息指南》所確立的五級安全保護等級體系，但進一步強化了對公民、法人和其他組織合法權益的保護?！缎畔⒅改稀凡⑽丛谥魑闹幸?guī)定當遭受破壞后會對公民、法人和其他組織合法權益產(chǎn)生特別嚴重損害的信息系統(tǒng)應當如何定級，僅在之后定級要素與安保等級關系的表格中顯示上述信息系統(tǒng)應列為第二級，而《定級指南》則進行了相應修改，當?shù)燃壉Ｗo對象受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生特別嚴重損害時，相應系統(tǒng)應當定為第三級保護對象。

關于定級方法及流程

《定級指南》規(guī)定的定級流程與《信息指南》大體類似，一般應當包括確定定級對象、初步確定等級、專家評審、主管部門審核以及公安機關備案審查等步驟，由公安機關審查通過后最終確定定級對象的安全保護等級。根據(jù)《定級指南》，對于被初步確定為第二級及以上的等保對象，上述流程必須嚴格遵守，對于被初步確定為第四級的等保對象，在開展專家評審工作時，其運營使用單位還應當報請國家信息安全等級保護專家評審委員會進行評審。

在具體定級時，《定級指南》針對基礎信息網(wǎng)絡、云計算平臺和大數(shù)據(jù)平臺進行了特別規(guī)定，相關平臺應根據(jù)其承載或將要承載的等級保護對象的重要程度確定其安全保護等級，原則上應不低于其承載的等級保護對象的安全保護等級。

對于大數(shù)據(jù)平臺，應綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)價值等因素，根據(jù)數(shù)據(jù)資源（完整性、保密性、可用性）遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的侵害程度等因素確定其安全保護等級，原則上，大數(shù)據(jù)安全保護等級不低于第三級。此外，若上述平臺被確定為關鍵信息基礎設施的，原則上其安全保護等級應不低于第三級。

鑒于國家網(wǎng)信辦去年7月份發(fā)布的《關鍵信息基礎設施安全保護條例（征求意見稿）》中明確將電信、廣播電視網(wǎng)以及提供云計算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡服務的單位納入關鍵信息基礎設施保護的范圍，大數(shù)據(jù)和云計算平臺運營者滿足作為關鍵信息基礎設施條件的，應當密切關注法律法規(guī)的具體要求，盡快實施定級工作。

對于將一般的網(wǎng)絡運營者作為定級對象時，應當分別確定其業(yè)務信息安全等級和系統(tǒng)服務安全等級。其中，業(yè)務信息安全是指確保網(wǎng)絡內信息的保密性、完整性和可用性等；系統(tǒng)服務安全則指確保定級對象可以及時、有效地提供服務，以完成預定的業(yè)務目標。定級對象的安全保護等級由業(yè)務信息安全保護等級和系統(tǒng)服務安全保護等級的較高者決定。具體的定級方法如下圖所示。

值得注意的是，《定級指南》在“4.2.2 受侵害的客體”中規(guī)定侵害國家安全的具體事項時對《信息指南》的已有內容進行了更改。其中，主權完整、國家經(jīng)濟秩序和文化實力、宗教活動秩序和反恐能力等內容作為影響國家安全的重要事項已被納入定級活動的審查范圍。

《網(wǎng)安法》第一條首先確立了維護網(wǎng)絡空間主權和國家安全的制定目的，近期的“萬豪酒店事件”更是反映了各地網(wǎng)信辦對于涉及國家主權和安全問題的高度重視，相關網(wǎng)絡運營者在完成定級工作的同時，還應當積極履行針對違法違規(guī)信息的監(jiān)管義務，切實維護國家安全。

結語

《定級指南》的出臺為網(wǎng)絡運營者依據(jù)《網(wǎng)安法》規(guī)定落實網(wǎng)絡安全等級保護制度提供了切實的依據(jù)與具體的操作方法，其內容雖然與《信息指南》存在相同或類似之處，但總體而言銜接了《網(wǎng)安法》的條文，且針對《網(wǎng)安法》出臺以來所出現(xiàn)的新形勢、新問題作出了細化的規(guī)定，為廣大網(wǎng)絡運營者提供了有效的指引。

網(wǎng)絡運營者在實施定級工作時，首先應當確定自身作為定級對象應當滿足的基本特征，若從事基礎信息網(wǎng)絡、工控系統(tǒng)、云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等特定領域服務的，還應符合相應的要求。

其次，嚴格遵循《定級指南》中有關定級方法和流程的規(guī)定，綜合評定侵害的客體與侵害的程度，分別確定業(yè)務信息安保等級和系統(tǒng)服務安保等級，則其較高者作為初步確定的網(wǎng)絡安全等級，滿足相應條件的，還應盡快完成專家和主管部門評審、公安機關備案審查等流程。

最后，在網(wǎng)絡安全等級最終確定后，依據(jù)《網(wǎng)安法》及其配套法規(guī)的規(guī)定履行相應的等保義務，做到合法合規(guī)。