1月14日，國家公安部、最高人民檢察院、最高人民法院、工信部、中國人民銀行等部門和相關(guān)企業(yè)在2018年守護者計劃大會上聯(lián)合宣布，將采取聯(lián)合治理模式，攜手更多的政府部門和企業(yè)，打擊網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈，共同構(gòu)建“網(wǎng)絡(luò)安全共同體”，公安部副部長侍俊更明確表示今年將組織開展打擊網(wǎng)絡(luò)亂象的“凈網(wǎng)2018”專項行動，嚴(yán)格落實網(wǎng)絡(luò)安全等級保護制度，加強企業(yè)大數(shù)據(jù)和公民個人信息安全的防護工作。

1月19日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布關(guān)于《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護定級指南（征求意見稿）》（以下稱“《定級指南》”）向社會廣泛征求意見的通知，這意味著《網(wǎng)絡(luò)安全法》（以下稱“《網(wǎng)安法》”）所確立的網(wǎng)絡(luò)安全等級保護制度在定級的原理、對象以及程序等多方面有了具體的實施依據(jù)。相較第一稿，最新版的《定級指南》更加注重與《網(wǎng)安法》及其配套法規(guī)的銜接，在大體框架不變的前提下以《網(wǎng)安法》為基準(zhǔn)對部分術(shù)語進行了修改，為網(wǎng)絡(luò)運營者提供了相應(yīng)的操作指引。

《定級指南》的具體規(guī)定

關(guān)于定級對象的范圍

2007年實施的《信息安全等級保護管理辦法》（以下稱“《信息辦法》”）為《網(wǎng)安法》第二十一條確立的網(wǎng)絡(luò)安全等級保護制度提供了借鑒，其在第十條明確提到信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》（以下稱“《信息指南》”）確定信息系統(tǒng)的安全保護等級，因此，《定級指南》的出臺很大程度上得益于《信息指南》的已有規(guī)定。

相比《信息指南》將等級保護的對象籠統(tǒng)地定義為信息安全等級保護工作直接作用的具體的信息和信息系統(tǒng)，《定級指南》細化了網(wǎng)絡(luò)安全等級保護制度定級對象的具體范圍，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、使用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)、其他網(wǎng)絡(luò)以及大數(shù)據(jù)等多個系統(tǒng)平臺。另外，作為定級對象的網(wǎng)絡(luò)還應(yīng)當(dāng)滿足三個基本特征：第一，具有確定的主要安全責(zé)任主體；第二，承載相對獨立的業(yè)務(wù)應(yīng)用；第三，包含相互關(guān)聯(lián)的多個資源。

根據(jù)《定級指南》，定級對象在滿足上述基本特征后仍需遵循相關(guān)要求。對于電信網(wǎng)、廣播電視傳輸網(wǎng)、互聯(lián)網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，應(yīng)分別依據(jù)服務(wù)類型、服務(wù)地域和安全責(zé)任主體等因素將其劃分為不同的定級對象，而跨省業(yè)務(wù)專網(wǎng)既可以作為一個整體定級，也可根據(jù)區(qū)域劃分為若干對象定級。對于工業(yè)控制系統(tǒng)，應(yīng)將現(xiàn)場采集/執(zhí)行、現(xiàn)場控制和過程控制等要素應(yīng)作為一個整體對象定級，而生產(chǎn)管理要素可以單獨定級。

對于云計算平臺，則應(yīng)區(qū)分為服務(wù)提供方與租戶方，各自分別作為定級對象。對于物聯(lián)網(wǎng)，雖然其包括感知、網(wǎng)絡(luò)傳輸和處理應(yīng)用等多種特征因素，但仍應(yīng)將以上要素作為一個整體的定級對象，各要素并不單獨定級。采用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)與物聯(lián)網(wǎng)類似，應(yīng)將移動終端、移動應(yīng)用、無線網(wǎng)絡(luò)等要素與相關(guān)有線網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)作為整體對象定級。對于大數(shù)據(jù)，除安全責(zé)任主體相同的平臺和應(yīng)用可以整體定級外，應(yīng)單獨定級。

關(guān)于安全保護等級

《定級指南》繼受了《信息指南》所確立的五級安全保護等級體系，但進一步強化了對公民、法人和其他組織合法權(quán)益的保護。《信息指南》并未在主文中規(guī)定當(dāng)遭受破壞后會對公民、法人和其他組織合法權(quán)益產(chǎn)生特別嚴(yán)重損害的信息系統(tǒng)應(yīng)當(dāng)如何定級，僅在之后定級要素與安保等級關(guān)系的表格中顯示上述信息系統(tǒng)應(yīng)列為第二級，而《定級指南》則進行了相應(yīng)修改，當(dāng)?shù)燃壉Ｗo對象受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重損害時，相應(yīng)系統(tǒng)應(yīng)當(dāng)定為第三級保護對象。

關(guān)于定級方法及流程

《定級指南》規(guī)定的定級流程與《信息指南》大體類似，一般應(yīng)當(dāng)包括確定定級對象、初步確定等級、專家評審、主管部門審核以及公安機關(guān)備案審查等步驟，由公安機關(guān)審查通過后最終確定定級對象的安全保護等級。根據(jù)《定級指南》，對于被初步確定為第二級及以上的等保對象，上述流程必須嚴(yán)格遵守，對于被初步確定為第四級的等保對象，在開展專家評審工作時，其運營使用單位還應(yīng)當(dāng)報請國家信息安全等級保護專家評審委員會進行評審。

在具體定級時，《定級指南》針對基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺和大數(shù)據(jù)平臺進行了特別規(guī)定，相關(guān)平臺應(yīng)根據(jù)其承載或?qū)⒁休d的等級保護對象的重要程度確定其安全保護等級，原則上應(yīng)不低于其承載的等級保護對象的安全保護等級。

對于大數(shù)據(jù)平臺，應(yīng)綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)價值等因素，根據(jù)數(shù)據(jù)資源（完整性、保密性、可用性）遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的侵害程度等因素確定其安全保護等級，原則上，大數(shù)據(jù)安全保護等級不低于第三級。此外，若上述平臺被確定為關(guān)鍵信息基礎(chǔ)設(shè)施的，原則上其安全保護等級應(yīng)不低于第三級。

鑒于國家網(wǎng)信辦去年7月份發(fā)布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例（征求意見稿）》中明確將電信、廣播電視網(wǎng)以及提供云計算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位納入關(guān)鍵信息基礎(chǔ)設(shè)施保護的范圍，大數(shù)據(jù)和云計算平臺運營者滿足作為關(guān)鍵信息基礎(chǔ)設(shè)施條件的，應(yīng)當(dāng)密切關(guān)注法律法規(guī)的具體要求，盡快實施定級工作。

對于將一般的網(wǎng)絡(luò)運營者作為定級對象時，應(yīng)當(dāng)分別確定其業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級。其中，業(yè)務(wù)信息安全是指確保網(wǎng)絡(luò)內(nèi)信息的保密性、完整性和可用性等；系統(tǒng)服務(wù)安全則指確保定級對象可以及時、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。定級對象的安全保護等級由業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級的較高者決定。具體的定級方法如下圖所示。

值得注意的是，《定級指南》在“4.2.2 受侵害的客體”中規(guī)定侵害國家安全的具體事項時對《信息指南》的已有內(nèi)容進行了更改。其中，主權(quán)完整、國家經(jīng)濟秩序和文化實力、宗教活動秩序和反恐能力等內(nèi)容作為影響國家安全的重要事項已被納入定級活動的審查范圍。

《網(wǎng)安法》第一條首先確立了維護網(wǎng)絡(luò)空間主權(quán)和國家安全的制定目的，近期的“萬豪酒店事件”更是反映了各地網(wǎng)信辦對于涉及國家主權(quán)和安全問題的高度重視，相關(guān)網(wǎng)絡(luò)運營者在完成定級工作的同時，還應(yīng)當(dāng)積極履行針對違法違規(guī)信息的監(jiān)管義務(wù)，切實維護國家安全。

結(jié)語

《定級指南》的出臺為網(wǎng)絡(luò)運營者依據(jù)《網(wǎng)安法》規(guī)定落實網(wǎng)絡(luò)安全等級保護制度提供了切實的依據(jù)與具體的操作方法，其內(nèi)容雖然與《信息指南》存在相同或類似之處，但總體而言銜接了《網(wǎng)安法》的條文，且針對《網(wǎng)安法》出臺以來所出現(xiàn)的新形勢、新問題作出了細化的規(guī)定，為廣大網(wǎng)絡(luò)運營者提供了有效的指引。

網(wǎng)絡(luò)運營者在實施定級工作時，首先應(yīng)當(dāng)確定自身作為定級對象應(yīng)當(dāng)滿足的基本特征，若從事基礎(chǔ)信息網(wǎng)絡(luò)、工控系統(tǒng)、云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等特定領(lǐng)域服務(wù)的，還應(yīng)符合相應(yīng)的要求。

其次，嚴(yán)格遵循《定級指南》中有關(guān)定級方法和流程的規(guī)定，綜合評定侵害的客體與侵害的程度，分別確定業(yè)務(wù)信息安保等級和系統(tǒng)服務(wù)安保等級，則其較高者作為初步確定的網(wǎng)絡(luò)安全等級，滿足相應(yīng)條件的，還應(yīng)盡快完成專家和主管部門評審、公安機關(guān)備案審查等流程。

最后，在網(wǎng)絡(luò)安全等級最終確定后，依據(jù)《網(wǎng)安法》及其配套法規(guī)的規(guī)定履行相應(yīng)的等保義務(wù)，做到合法合規(guī)。