信息安全等級(jí)保護(hù)之定級(jí)的一般流程

　　網(wǎng)絡(luò)安全保護(hù)等級(jí)的確定，應(yīng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南開展，既要防止因片面追求絕對(duì)安全而定級(jí)過(guò)高，也要防止為逃避監(jiān)管而定級(jí)偏低。信息網(wǎng)絡(luò)的安全等級(jí)可以參照在其上運(yùn)行的信息系統(tǒng)的等級(jí)、網(wǎng)絡(luò)的服務(wù)范圍和自身的安全需求確定適當(dāng)?shù)谋Ｗo(hù)等級(jí)，不以在其上運(yùn)行的信息系統(tǒng)的最高等級(jí)或最低等級(jí)為標(biāo)準(zhǔn)，即“不就高、不就低”。

　　為了幫助網(wǎng)絡(luò)運(yùn)營(yíng)者準(zhǔn)確確定網(wǎng)絡(luò)安全保護(hù)等級(jí)，可以參考下列對(duì)五級(jí)的說(shuō)明確定網(wǎng)絡(luò)安全等級(jí)。

　　一般適用于小型私營(yíng)及個(gè)體企業(yè)，中小學(xué)，以及鄉(xiāng)鎮(zhèn)所屬網(wǎng)絡(luò)系統(tǒng)、縣級(jí)單位中重要性不高的網(wǎng)絡(luò)系統(tǒng)。

　　一般適用于縣級(jí)某些單位中的重要網(wǎng)絡(luò)系統(tǒng)，以及地市級(jí)以上國(guó)家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的網(wǎng)絡(luò)系統(tǒng)。例如，非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。

　　一般適用于地市級(jí)以上國(guó)家機(jī)關(guān)、企事業(yè)單位內(nèi)部重要的網(wǎng)絡(luò)系統(tǒng)。例如，涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)，跨省或全國(guó)聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)及這類系統(tǒng)在省、地市的分支系統(tǒng)，中央各部委、省（區(qū)、市）門戶網(wǎng)站和重要網(wǎng)站，跨省連接的網(wǎng)絡(luò)系統(tǒng)，大型云平臺(tái)、工控系統(tǒng)、物聯(lián)網(wǎng)、移動(dòng)網(wǎng)絡(luò)、大數(shù)據(jù)等。

　　一般適用于國(guó)家重要領(lǐng)域、重要部門中的特別重要網(wǎng)絡(luò)系統(tǒng)及核心系統(tǒng)。例如，電力、電信、廣電、鐵路、民航、銀行、稅務(wù)等重要部門的生產(chǎn)、調(diào)度、指揮等涉及國(guó)家安全、國(guó)計(jì)民生的核心系統(tǒng)，超大型的云平臺(tái)、工控系統(tǒng)、物聯(lián)網(wǎng)、移動(dòng)網(wǎng)絡(luò)、大數(shù)據(jù)等。

　　一般適用于國(guó)家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)。

　　網(wǎng)絡(luò)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同。因此，網(wǎng)絡(luò)定級(jí)也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的網(wǎng)絡(luò)的安全保護(hù)等級(jí)稱為業(yè)務(wù)信息安全等級(jí)。從系統(tǒng)服務(wù)安全角度反映的網(wǎng)絡(luò)的安全保護(hù)等級(jí)稱為系統(tǒng)服務(wù)安全等級(jí)。

　　確定網(wǎng)絡(luò)安全保護(hù)等級(jí)

　　參考《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》附錄中的圖，確定網(wǎng)絡(luò)安全保護(hù)等級(jí)的一般流程如下圖。

　　第一，對(duì)于傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)及工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)、采用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)系統(tǒng)，依然分別從業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩個(gè)角度確定業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)，按兩者取高作為保護(hù)對(duì)象的安全保護(hù)等級(jí)。

　　第二，對(duì)于基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)和大數(shù)據(jù)平臺(tái)等起支撐作用的網(wǎng)絡(luò)系統(tǒng)，應(yīng)根據(jù)其承載或?qū)⒁�承載的等級(jí)保護(hù)對(duì)象的重要程度確定其安全保護(hù)等級(jí)，原則上應(yīng)不低于其承載的等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)。

　　第三，對(duì)于大數(shù)據(jù)，應(yīng)綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)價(jià)值等因素，根據(jù)數(shù)據(jù)資源（完整性、保密性、可用性）遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益及公民、法人和其他組織的合法權(quán)益的侵害程度等因素確定其安全保護(hù)等級(jí)。原則上大數(shù)據(jù)的安全保護(hù)等級(jí)不低于第三級(jí)。