1月14日，國(guó)家公安部、最高人民檢察院、最高人民法院、工信部、中國(guó)人民銀行等部門和相關(guān)企業(yè)在2018年守護(hù)者計(jì)劃大會(huì)上聯(lián)合宣布，將采取聯(lián)合治理模式，攜手更多的政府部門和企業(yè)，打擊網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈，共同構(gòu)建“網(wǎng)絡(luò)安全共同體”，公安部副部長(zhǎng)侍俊更明確表示今年將組織開展打擊網(wǎng)絡(luò)亂象的“凈網(wǎng)2018”專項(xiàng)行動(dòng)，嚴(yán)格落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，加強(qiáng)企業(yè)大數(shù)據(jù)和公民個(gè)人信息安全的防護(hù)工作。

1月19日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布關(guān)于《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南（征求意見稿）》（以下稱“《定級(jí)指南》”）向社會(huì)廣泛征求意見的通知，這意味著《網(wǎng)絡(luò)安全法》（以下稱“《網(wǎng)安法》”）所確立的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度在定級(jí)的原理、對(duì)象以及程序等多方面有了具體的實(shí)施依據(jù)。相較第一稿，最新版的《定級(jí)指南》更加注重與《網(wǎng)安法》及其配套法規(guī)的銜接，在大體框架不變的前提下以《網(wǎng)安法》為基準(zhǔn)對(duì)部分術(shù)語(yǔ)進(jìn)行了修改，為網(wǎng)絡(luò)運(yùn)營(yíng)者提供了相應(yīng)的操作指引。

《定級(jí)指南》的具體規(guī)定

關(guān)于定級(jí)對(duì)象的范圍

2007年實(shí)施的《信息安全等級(jí)保護(hù)管理辦法》（以下稱“《信息辦法》”）為《網(wǎng)安法》第二十一條確立的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度提供了借鑒，其在第十條明確提到信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（以下稱“《信息指南》”）確定信息系統(tǒng)的安全保護(hù)等級(jí)，因此，《定級(jí)指南》的出臺(tái)很大程度上得益于《信息指南》的已有規(guī)定。

相比《信息指南》將等級(jí)保護(hù)的對(duì)象籠統(tǒng)地定義為信息安全等級(jí)保護(hù)工作直接作用的具體的信息和信息系統(tǒng)，《定級(jí)指南》細(xì)化了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度定級(jí)對(duì)象的具體范圍，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、使用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)、其他網(wǎng)絡(luò)以及大數(shù)據(jù)等多個(gè)系統(tǒng)平臺(tái)。另外，作為定級(jí)對(duì)象的網(wǎng)絡(luò)還應(yīng)當(dāng)滿足三個(gè)基本特征：第一，具有確定的主要安全責(zé)任主體；第二，承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用；第三，包含相互關(guān)聯(lián)的多個(gè)資源。

根據(jù)《定級(jí)指南》，定級(jí)對(duì)象在滿足上述基本特征后仍需遵循相關(guān)要求。對(duì)于電信網(wǎng)、廣播電視傳輸網(wǎng)、互聯(lián)網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，應(yīng)分別依據(jù)服務(wù)類型、服務(wù)地域和安全責(zé)任主體等因素將其劃分為不同的定級(jí)對(duì)象，而跨省業(yè)務(wù)專網(wǎng)既可以作為一個(gè)整體定級(jí)，也可根據(jù)區(qū)域劃分為若干對(duì)象定級(jí)。對(duì)于工業(yè)控制系統(tǒng)，應(yīng)將現(xiàn)場(chǎng)采集/執(zhí)行、現(xiàn)場(chǎng)控制和過程控制等要素應(yīng)作為一個(gè)整體對(duì)象定級(jí)，而生產(chǎn)管理要素可以單獨(dú)定級(jí)。

對(duì)于云計(jì)算平臺(tái)，則應(yīng)區(qū)分為服務(wù)提供方與租戶方，各自分別作為定級(jí)對(duì)象。對(duì)于物聯(lián)網(wǎng)，雖然其包括感知、網(wǎng)絡(luò)傳輸和處理應(yīng)用等多種特征因素，但仍應(yīng)將以上要素作為一個(gè)整體的定級(jí)對(duì)象，各要素并不單獨(dú)定級(jí)。采用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)與物聯(lián)網(wǎng)類似，應(yīng)將移動(dòng)終端、移動(dòng)應(yīng)用、無(wú)線網(wǎng)絡(luò)等要素與相關(guān)有線網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)作為整體對(duì)象定級(jí)。對(duì)于大數(shù)據(jù)，除安全責(zé)任主體相同的平臺(tái)和應(yīng)用可以整體定級(jí)外，應(yīng)單獨(dú)定級(jí)。

關(guān)于安全保護(hù)等級(jí)

《定級(jí)指南》繼受了《信息指南》所確立的五級(jí)安全保護(hù)等級(jí)體系，但進(jìn)一步強(qiáng)化了對(duì)公民、法人和其他組織合法權(quán)益的保護(hù)。《信息指南》并未在主文中規(guī)定當(dāng)遭受破壞后會(huì)對(duì)公民、法人和其他組織合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害的信息系統(tǒng)應(yīng)當(dāng)如何定級(jí)，僅在之后定級(jí)要素與安保等級(jí)關(guān)系的表格中顯示上述信息系統(tǒng)應(yīng)列為第二級(jí)，而《定級(jí)指南》則進(jìn)行了相應(yīng)修改，當(dāng)?shù)燃?jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害時(shí)，相應(yīng)系統(tǒng)應(yīng)當(dāng)定為第三級(jí)保護(hù)對(duì)象。

關(guān)于定級(jí)方法及流程

《定級(jí)指南》規(guī)定的定級(jí)流程與《信息指南》大體類似，一般應(yīng)當(dāng)包括確定定級(jí)對(duì)象、初步確定等級(jí)、專家評(píng)審、主管部門審核以及公安機(jī)關(guān)備案審查等步驟，由公安機(jī)關(guān)審查通過后最終確定定級(jí)對(duì)象的安全保護(hù)等級(jí)。根據(jù)《定級(jí)指南》，對(duì)于被初步確定為第二級(jí)及以上的等保對(duì)象，上述流程必須嚴(yán)格遵守，對(duì)于被初步確定為第四級(jí)的等保對(duì)象，在開展專家評(píng)審工作時(shí)，其運(yùn)營(yíng)使用單位還應(yīng)當(dāng)報(bào)請(qǐng)國(guó)家信息安全等級(jí)保護(hù)專家評(píng)審委員會(huì)進(jìn)行評(píng)審。

在具體定級(jí)時(shí)，《定級(jí)指南》針對(duì)基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)和大數(shù)據(jù)平臺(tái)進(jìn)行了特別規(guī)定，相關(guān)平臺(tái)應(yīng)根據(jù)其承載或?qū)⒁休d的等級(jí)保護(hù)對(duì)象的重要程度確定其安全保護(hù)等級(jí)，原則上應(yīng)不低于其承載的等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)。

對(duì)于大數(shù)據(jù)平臺(tái)，應(yīng)綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)價(jià)值等因素，根據(jù)數(shù)據(jù)資源（完整性、保密性、可用性）遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的侵害程度等因素確定其安全保護(hù)等級(jí)，原則上，大數(shù)據(jù)安全保護(hù)等級(jí)不低于第三級(jí)。此外，若上述平臺(tái)被確定為關(guān)鍵信息基礎(chǔ)設(shè)施的，原則上其安全保護(hù)等級(jí)應(yīng)不低于第三級(jí)。

鑒于國(guó)家網(wǎng)信辦去年7月份發(fā)布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》中明確將電信、廣播電視網(wǎng)以及提供云計(jì)算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的范圍，大數(shù)據(jù)和云計(jì)算平臺(tái)運(yùn)營(yíng)者滿足作為關(guān)鍵信息基礎(chǔ)設(shè)施條件的，應(yīng)當(dāng)密切關(guān)注法律法規(guī)的具體要求，盡快實(shí)施定級(jí)工作。

對(duì)于將一般的網(wǎng)絡(luò)運(yùn)營(yíng)者作為定級(jí)對(duì)象時(shí)，應(yīng)當(dāng)分別確定其業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)。其中，業(yè)務(wù)信息安全是指確保網(wǎng)絡(luò)內(nèi)信息的保密性、完整性和可用性等；系統(tǒng)服務(wù)安全則指確保定級(jí)對(duì)象可以及時(shí)、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。定級(jí)對(duì)象的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的較高者決定。具體的定級(jí)方法如下圖所示。

值得注意的是，《定級(jí)指南》在“4.2.2 受侵害的客體”中規(guī)定侵害國(guó)家安全的具體事項(xiàng)時(shí)對(duì)《信息指南》的已有內(nèi)容進(jìn)行了更改。其中，主權(quán)完整、國(guó)家經(jīng)濟(jì)秩序和文化實(shí)力、宗教活動(dòng)秩序和反恐能力等內(nèi)容作為影響國(guó)家安全的重要事項(xiàng)已被納入定級(jí)活動(dòng)的審查范圍。

《網(wǎng)安法》第一條首先確立了維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全的制定目的，近期的“萬(wàn)豪酒店事件”更是反映了各地網(wǎng)信辦對(duì)于涉及國(guó)家主權(quán)和安全問題的高度重視，相關(guān)網(wǎng)絡(luò)運(yùn)營(yíng)者在完成定級(jí)工作的同時(shí)，還應(yīng)當(dāng)積極履行針對(duì)違法違規(guī)信息的監(jiān)管義務(wù)，切實(shí)維護(hù)國(guó)家安全。

結(jié)語(yǔ)

《定級(jí)指南》的出臺(tái)為網(wǎng)絡(luò)運(yùn)營(yíng)者依據(jù)《網(wǎng)安法》規(guī)定落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度提供了切實(shí)的依據(jù)與具體的操作方法，其內(nèi)容雖然與《信息指南》存在相同或類似之處，但總體而言銜接了《網(wǎng)安法》的條文，且針對(duì)《網(wǎng)安法》出臺(tái)以來(lái)所出現(xiàn)的新形勢(shì)、新問題作出了細(xì)化的規(guī)定，為廣大網(wǎng)絡(luò)運(yùn)營(yíng)者提供了有效的指引。

網(wǎng)絡(luò)運(yùn)營(yíng)者在實(shí)施定級(jí)工作時(shí)，首先應(yīng)當(dāng)確定自身作為定級(jí)對(duì)象應(yīng)當(dāng)滿足的基本特征，若從事基礎(chǔ)信息網(wǎng)絡(luò)、工控系統(tǒng)、云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)等特定領(lǐng)域服務(wù)的，還應(yīng)符合相應(yīng)的要求。

其次，嚴(yán)格遵循《定級(jí)指南》中有關(guān)定級(jí)方法和流程的規(guī)定，綜合評(píng)定侵害的客體與侵害的程度，分別確定業(yè)務(wù)信息安保等級(jí)和系統(tǒng)服務(wù)安保等級(jí)，則其較高者作為初步確定的網(wǎng)絡(luò)安全等級(jí)，滿足相應(yīng)條件的，還應(yīng)盡快完成專家和主管部門評(píng)審、公安機(jī)關(guān)備案審查等流程。

最后，在網(wǎng)絡(luò)安全等級(jí)最終確定后，依據(jù)《網(wǎng)安法》及其配套法規(guī)的規(guī)定履行相應(yīng)的等保義務(wù)，做到合法合規(guī)。