信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南一、目的網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)是保障信息系統(tǒng)安全的重要基礎(chǔ)工作，其目的在于明確信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及遭到破壞后對(duì)國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度，從而為后續(xù)的安全建設(shè)、監(jiān)督管理等工作提供依據(jù)，確保信息系統(tǒng)能夠抵御相應(yīng)級(jí)別的威脅，保障信息的保密性、完整性和可用性。二、前置條件（一）人員準(zhǔn)備1.組建專業(yè)的定級(jí)團(tuán)隊(duì)，成員應(yīng)包括信息系統(tǒng)的運(yùn)營使用單位人員、行業(yè)專家、網(wǎng)絡(luò)安全技術(shù)人員等。運(yùn)營使用單位人員需熟悉信息系統(tǒng)的業(yè)務(wù)流程、功能和數(shù)據(jù)；行業(yè)專家應(yīng)具備該行業(yè)信息系統(tǒng)安全相關(guān)的豐富經(jīng)驗(yàn)和專業(yè)知識(shí)；網(wǎng)絡(luò)安全技術(shù)人員要掌握網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和技術(shù)。2.對(duì)定級(jí)團(tuán)隊(duì)成員進(jìn)行培訓(xùn)，使其熟悉《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》等相關(guān)標(biāo)準(zhǔn)和文件，明確定級(jí)的流程、方法和要求。（二）資料收集1.信息系統(tǒng)基本信息，包括系統(tǒng)名稱、功能描述、服務(wù)對(duì)象、使用范圍、系統(tǒng)架構(gòu)、拓?fù)浣Y(jié)構(gòu)等。2.業(yè)務(wù)信息，如業(yè)務(wù)流程、業(yè)務(wù)數(shù)據(jù)類型、數(shù)據(jù)重要性、數(shù)據(jù)流轉(zhuǎn)情況等。3.系統(tǒng)安全相關(guān)信息，包括現(xiàn)有的安全措施、安全設(shè)備配置、安全管理制度等。（三）環(huán)境準(zhǔn)備確保定級(jí)工作有相對(duì)獨(dú)立、安靜的工作環(huán)境，配備必要的辦公設(shè)備和軟件，如計(jì)算機(jī)、文檔管理軟件等，用于資料整理、數(shù)據(jù)分析和文檔撰寫。三、詳細(xì)步驟（一）確定定級(jí)對(duì)象1.定義定級(jí)對(duì)象是指具有確定的安全責(zé)任主體，承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用的信息系統(tǒng)。它可以是一個(gè)完整的信息系統(tǒng)，也可以是一個(gè)信息系統(tǒng)中的某個(gè)相對(duì)獨(dú)立的部分。2.識(shí)別方法業(yè)務(wù)相關(guān)性：根據(jù)業(yè)務(wù)流程和功能，判斷不同的信息處理活動(dòng)是否相互關(guān)聯(lián)、相互依賴，形成一個(gè)相對(duì)獨(dú)立的業(yè)務(wù)整體。例如，一個(gè)企業(yè)的財(cái)務(wù)管理系統(tǒng)，其涵蓋了財(cái)務(wù)核算、預(yù)算管理、資金管理等功能模塊，這些模塊圍繞財(cái)務(wù)管理業(yè)務(wù)緊密相關(guān)，可將其作為一個(gè)定級(jí)對(duì)象。安全責(zé)任主體：明確信息系統(tǒng)的安全責(zé)任歸屬，確保有明確的組織或人員對(duì)系統(tǒng)的安全負(fù)責(zé)。例如，一個(gè)高校的學(xué)生管理系統(tǒng)，其安全責(zé)任主體通常為學(xué)校的信息化管理部門。技術(shù)獨(dú)立性：考慮信息系統(tǒng)在技術(shù)層面的獨(dú)立性，包括硬件設(shè)備、軟件系統(tǒng)、網(wǎng)絡(luò)環(huán)境等。如果一個(gè)系統(tǒng)在硬件上有獨(dú)立的服務(wù)器，軟件上有獨(dú)立的應(yīng)用程序，網(wǎng)絡(luò)上有獨(dú)立的子網(wǎng)，那么它更有可能作為一個(gè)獨(dú)立的定級(jí)對(duì)象。（二）初步確定等級(jí)1.確定受侵害的客體公民、法人和其他組織的合法權(quán)益：指信息系統(tǒng)所涉及的個(gè)人隱私、商業(yè)秘密、財(cái)產(chǎn)權(quán)益等。例如，電商平臺(tái)的用戶信息系統(tǒng)，涉及用戶的個(gè)人身份信息、購物記錄等，一旦遭到破壞，可能會(huì)侵害用戶的個(gè)人隱私和財(cái)產(chǎn)權(quán)益。社會(huì)秩序、公共利益：包括社會(huì)的正常運(yùn)轉(zhuǎn)、公共服務(wù)的提供、公眾的生命財(cái)產(chǎn)安全等。例如，城市的交通管理信息系統(tǒng)，其正常運(yùn)行關(guān)系到城市交通的順暢和公眾的出行安全，若系統(tǒng)遭到破壞，可能會(huì)影響社會(huì)秩序和公共利益。國家安全：涉及國家的政治、經(jīng)濟(jì)、軍事等核心利益。例如，國家關(guān)鍵基礎(chǔ)設(shè)施中的能源信息系統(tǒng)，其安全直接關(guān)系到國家的能源供應(yīng)和經(jīng)濟(jì)穩(wěn)定，對(duì)國家安全具有重要影響。2.確定對(duì)客體的侵害程度一般損害：指信息系統(tǒng)遭到破壞后，對(duì)公民、法人和其他組織的合法權(quán)益造成較小影響，但不影響社會(huì)秩序、公共利益和國家安全。例如，一個(gè)小型企業(yè)的內(nèi)部辦公系統(tǒng)出現(xiàn)故障，導(dǎo)致部分員工暫時(shí)無法正常辦公，但對(duì)企業(yè)的業(yè)務(wù)運(yùn)營影響較小。嚴(yán)重?fù)p害：指信息系統(tǒng)遭到破壞后，對(duì)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重影響，或?qū)ι鐣?huì)秩序、公共利益造成較大影響，但不危害國家安全。例如，一個(gè)城市的供水信息系統(tǒng)遭到破壞，導(dǎo)致部分區(qū)域停水?dāng)?shù)小時(shí)，影響了居民的正常生活和部分企業(yè)的生產(chǎn)經(jīng)營。特別嚴(yán)重?fù)p害：指信息系統(tǒng)遭到破壞后，對(duì)社會(huì)秩序、公共利益造成特別嚴(yán)重影響，或?qū)野踩斐晌：Α＠?，國家軍事指揮信息系統(tǒng)遭到攻擊，可能會(huì)影響國家的軍事決策和國防安全。3.確定等級(jí)根據(jù)受侵害的客體和侵害程度，按照《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》中的等級(jí)劃分標(biāo)準(zhǔn)，初步確定信息系統(tǒng)的安全保護(hù)等級(jí)。具體等級(jí)劃分如下：第一級(jí)（自主保護(hù)級(jí)）：信息系統(tǒng)受到破壞后，可能對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害社會(huì)秩序、公共利益和國家安全。第二級(jí)（指導(dǎo)保護(hù)級(jí)）：信息系統(tǒng)受到破壞后，可能對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國家安全。第三級(jí)（監(jiān)督保護(hù)級(jí)）：信息系統(tǒng)受到破壞后，可能對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國家安全造成損害。第四級(jí)（強(qiáng)制保護(hù)級(jí)）：信息系統(tǒng)受到破壞后，可能對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國家安全造成嚴(yán)重?fù)p害。第五級(jí)（?？乇Ｗo(hù)級(jí)）：信息系統(tǒng)受到破壞后，可能對(duì)國家安全造成特別嚴(yán)重?fù)p害。（三）專家評(píng)審1.組建專家評(píng)審組邀請(qǐng)行業(yè)內(nèi)的網(wǎng)絡(luò)安全專家、業(yè)務(wù)專家、法律專家等組成專家評(píng)審組。專家應(yīng)具有豐富的經(jīng)驗(yàn)和專業(yè)知識(shí)，熟悉信息系統(tǒng)安全和相關(guān)行業(yè)的業(yè)務(wù)特點(diǎn)。2.提交評(píng)審材料將信息系統(tǒng)的基本信息、業(yè)務(wù)信息、安全信息以及初步定級(jí)情況等相關(guān)材料提交給專家評(píng)審組。材料應(yīng)詳細(xì)、準(zhǔn)確，能夠全面反映信息系統(tǒng)的實(shí)際情況。3.開展評(píng)審會(huì)議專家評(píng)審組召開評(píng)審會(huì)議，聽取定級(jí)團(tuán)隊(duì)的匯報(bào)，對(duì)提交的材料進(jìn)行審查和討論。專家可以就信息系統(tǒng)的業(yè)務(wù)功能、安全需求、定級(jí)依據(jù)等方面提出問題和建議。4.形成評(píng)審意見專家評(píng)審組根據(jù)評(píng)審情況，形成書面的評(píng)審意見。評(píng)審意見應(yīng)明確對(duì)初步定級(jí)結(jié)果的認(rèn)可或調(diào)整建議，并說明理由。（四）主管部門審核1.提交審核申請(qǐng)將專家評(píng)審意見和相關(guān)定級(jí)材料提交給信息系統(tǒng)的主管部門進(jìn)行審核。主管部門通常是信息系統(tǒng)所屬行業(yè)的上級(jí)管理部門或政府監(jiān)管部門。2.主管部門審核主管部門對(duì)提交的材料進(jìn)行審核，結(jié)合行業(yè)特點(diǎn)和安全要求，對(duì)定級(jí)結(jié)果進(jìn)行評(píng)估。審核過程中，主管部門可能會(huì)要求定級(jí)團(tuán)隊(duì)補(bǔ)充相關(guān)材料或進(jìn)行進(jìn)一步說明。3.審核結(jié)果反饋主管部門將審核結(jié)果反饋給定級(jí)團(tuán)隊(duì)。如果審核通過，定級(jí)結(jié)果可以正式確定；如果審核不通過，主管部門會(huì)提出修改意見，定級(jí)團(tuán)隊(duì)需要按照意見進(jìn)行調(diào)整后重新提交審核。（五）公安機(jī)關(guān)備案1.準(zhǔn)備備案材料《信息系統(tǒng)安全等級(jí)保護(hù)備案表》，應(yīng)如實(shí)填寫信息系統(tǒng)的基本信息、安全保護(hù)等級(jí)等內(nèi)容。信息系統(tǒng)安全定級(jí)報(bào)告，詳細(xì)說明定級(jí)的過程、依據(jù)和結(jié)果。其他相關(guān)材料，如系統(tǒng)拓?fù)鋱D、安全管理制度等。2.提交備案申請(qǐng)將準(zhǔn)備好的備案材料提交給當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門?？梢酝ㄟ^現(xiàn)場提交或網(wǎng)上提交的方式進(jìn)行。3.公安機(jī)關(guān)審核公安機(jī)關(guān)對(duì)備案材料進(jìn)行審核，檢查材料的完整性和準(zhǔn)確性。審核過程中，公安機(jī)關(guān)可能會(huì)對(duì)信息系統(tǒng)進(jìn)行實(shí)地檢查或要求提供進(jìn)一步的證明材料。4.備案結(jié)果通知公安機(jī)關(guān)在審核通過后，向信息系統(tǒng)運(yùn)營使用單位發(fā)放《信息系統(tǒng)安全等級(jí)保護(hù)備案證明》，標(biāo)志著信息系統(tǒng)的定級(jí)工作完成。四、常見問題與排錯(cuò)提示（一）定級(jí)對(duì)象確定不準(zhǔn)確1.問題表現(xiàn)將多個(gè)業(yè)務(wù)關(guān)聯(lián)度不高的系統(tǒng)合并作為一個(gè)定級(jí)對(duì)象，或者將一個(gè)完整的系統(tǒng)拆分成多個(gè)不合理的定級(jí)對(duì)象。2.排錯(cuò)提示重新審視業(yè)務(wù)流程和功能，根據(jù)業(yè)務(wù)相關(guān)性、安全責(zé)任主體和技術(shù)獨(dú)立性等原則進(jìn)行判斷。必要時(shí)，可以邀請(qǐng)業(yè)務(wù)人員和技術(shù)人員共同參與討論，確保定級(jí)對(duì)象的確定準(zhǔn)確合理。（二）初步定級(jí)結(jié)果不準(zhǔn)確1.問題表現(xiàn)對(duì)受侵害的客體和侵害程度判斷失誤，導(dǎo)致初步定級(jí)結(jié)果過高或過低。2.排錯(cuò)提示深入分析信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)和安全需求，參考相關(guān)行業(yè)的案例和標(biāo)準(zhǔn)，確保對(duì)受侵害客體和侵害程度的判斷客觀準(zhǔn)確。同時(shí)，邀請(qǐng)行業(yè)專家進(jìn)行指導(dǎo)和把關(guān)。（三）專家評(píng)審不通過1.問題表現(xiàn)專家評(píng)審組對(duì)初步定級(jí)結(jié)果提出較大異議，要求進(jìn)行調(diào)整。2.排錯(cuò)提示認(rèn)真對(duì)待專家的意見和建議，對(duì)專家提出的問題進(jìn)行深入分析和研究。如果專家認(rèn)為定級(jí)依據(jù)不充分或存在錯(cuò)誤，應(yīng)重新收集和分析相關(guān)信息，調(diào)整定級(jí)結(jié)果，并再次提交專家評(píng)審。（四）主管部門審核不通過1.問題表現(xiàn)主管部門對(duì)定級(jí)結(jié)果提出質(zhì)疑，要求重新定級(jí)。2.排錯(cuò)提示與主管部門進(jìn)行溝通，了解審核不通過