1月14日，國家公安部、最高人民檢察院、最高人民法院、工信部、中國人民銀行等部門和相關企業在2018年守護者計劃大會上聯合宣布，將采取聯合治理模式，攜手更多的政府部門和企業，打擊網絡黑色產業鏈，共同構建“網絡安全共同體”，公安部副部長侍俊更明確表示今年將組織開展打擊網絡亂象的“凈網2018”專項行動，嚴格落實網絡安全等級保護制度，加強企業大數據和公民個人信息安全的防護工作。

1月19日，全國信息安全標準化技術委員會發布關于《信息安全技術 網絡安全等級保護定級指南（征求意見稿）》（以下稱“《定級指南》”）向社會廣泛征求意見的通知，這意味著《網絡安全法》（以下稱“《網安法》”）所確立的網絡安全等級保護制度在定級的原理、對象以及程序等多方面有了具體的實施依據。相較第一稿，最新版的《定級指南》更加注重與《網安法》及其配套法規的銜接，在大體框架不變的前提下以《網安法》為基準對部分術語進行了修改，為網絡運營者提供了相應的操作指引。

《定級指南》的具體規定

關于定級對象的范圍

2007年實施的《信息安全等級保護管理辦法》（以下稱“《信息辦法》”）為《網安法》第二十一條確立的網絡安全等級保護制度提供了借鑒，其在第十條明確提到信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》（以下稱“《信息指南》”）確定信息系統的安全保護等級，因此，《定級指南》的出臺很大程度上得益于《信息指南》的已有規定。

相比《信息指南》將等級保護的對象籠統地定義為信息安全等級保護工作直接作用的具體的信息和信息系統，《定級指南》細化了網絡安全等級保護制度定級對象的具體范圍，主要包括基礎信息網絡、工業控制系統、云計算平臺、物聯網、使用移動互聯技術的網絡、其他網絡以及大數據等多個系統平臺。另外，作為定級對象的網絡還應當滿足三個基本特征：第一，具有確定的主要安全責任主體；第二，承載相對獨立的業務應用；第三，包含相互關聯的多個資源。

根據《定級指南》，定級對象在滿足上述基本特征后仍需遵循相關要求。對于電信網、廣播電視傳輸網、互聯網等基礎信息網絡，應分別依據服務類型、服務地域和安全責任主體等因素將其劃分為不同的定級對象，而跨省業務專網既可以作為一個整體定級，也可根據區域劃分為若干對象定級。對于工業控制系統，應將現場采集/執行、現場控制和過程控制等要素應作為一個整體對象定級，而生產管理要素可以單獨定級。

對于云計算平臺，則應區分為服務提供方與租戶方，各自分別作為定級對象。對于物聯網，雖然其包括感知、網絡傳輸和處理應用等多種特征因素，但仍應將以上要素作為一個整體的定級對象，各要素并不單獨定級。采用移動互聯技術的網絡與物聯網類似，應將移動終端、移動應用、無線網絡等要素與相關有線網絡業務系統作為整體對象定級。對于大數據，除安全責任主體相同的平臺和應用可以整體定級外，應單獨定級。

關于安全保護等級

《定級指南》繼受了《信息指南》所確立的五級安全保護等級體系，但進一步強化了對公民、法人和其他組織合法權益的保護。《信息指南》并未在主文中規定當遭受破壞后會對公民、法人和其他組織合法權益產生特別嚴重損害的信息系統應當如何定級，僅在之后定級要素與安保等級關系的表格中顯示上述信息系統應列為第二級，而《定級指南》則進行了相應修改，當等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產生特別嚴重損害時，相應系統應當定為第三級保護對象。

關于定級方法及流程

《定級指南》規定的定級流程與《信息指南》大體類似，一般應當包括確定定級對象、初步確定等級、專家評審、主管部門審核以及公安機關備案審查等步驟，由公安機關審查通過后最終確定定級對象的安全保護等級。根據《定級指南》，對于被初步確定為第二級及以上的等保對象，上述流程必須嚴格遵守，對于被初步確定為第四級的等保對象，在開展專家評審工作時，其運營使用單位還應當報請國家信息安全等級保護專家評審委員會進行評審。

在具體定級時，《定級指南》針對基礎信息網絡、云計算平臺和大數據平臺進行了特別規定，相關平臺應根據其承載或將要承載的等級保護對象的重要程度確定其安全保護等級，原則上應不低于其承載的等級保護對象的安全保護等級。

對于大數據平臺，應綜合考慮數據規模、數據價值等因素，根據數據資源（完整性、保密性、可用性）遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的侵害程度等因素確定其安全保護等級，原則上，大數據安全保護等級不低于第三級。此外，若上述平臺被確定為關鍵信息基礎設施的，原則上其安全保護等級應不低于第三級。

鑒于國家網信辦去年7月份發布的《關鍵信息基礎設施安全保護條例（征求意見稿）》中明確將電信、廣播電視網以及提供云計算、大數據和其他大型公共信息網絡服務的單位納入關鍵信息基礎設施保護的范圍，大數據和云計算平臺運營者滿足作為關鍵信息基礎設施條件的，應當密切關注法律法規的具體要求，盡快實施定級工作。

對于將一般的網絡運營者作為定級對象時，應當分別確定其業務信息安全等級和系統服務安全等級。其中，業務信息安全是指確保網絡內信息的保密性、完整性和可用性等；系統服務安全則指確保定級對象可以及時、有效地提供服務，以完成預定的業務目標。定級對象的安全保護等級由業務信息安全保護等級和系統服務安全保護等級的較高者決定。具體的定級方法如下圖所示。

值得注意的是，《定級指南》在“4.2.2 受侵害的客體”中規定侵害國家安全的具體事項時對《信息指南》的已有內容進行了更改。其中，主權完整、國家經濟秩序和文化實力、宗教活動秩序和反恐能力等內容作為影響國家安全的重要事項已被納入定級活動的審查范圍。

《網安法》第一條首先確立了維護網絡空間主權和國家安全的制定目的，近期的“萬豪酒店事件”更是反映了各地網信辦對于涉及國家主權和安全問題的高度重視，相關網絡運營者在完成定級工作的同時，還應當積極履行針對違法違規信息的監管義務，切實維護國家安全。

結語

《定級指南》的出臺為網絡運營者依據《網安法》規定落實網絡安全等級保護制度提供了切實的依據與具體的操作方法，其內容雖然與《信息指南》存在相同或類似之處，但總體而言銜接了《網安法》的條文，且針對《網安法》出臺以來所出現的新形勢、新問題作出了細化的規定，為廣大網絡運營者提供了有效的指引。

網絡運營者在實施定級工作時，首先應當確定自身作為定級對象應當滿足的基本特征，若從事基礎信息網絡、工控系統、云計算、物聯網、大數據等特定領域服務的，還應符合相應的要求。

其次，嚴格遵循《定級指南》中有關定級方法和流程的規定，綜合評定侵害的客體與侵害的程度，分別確定業務信息安保等級和系統服務安保等級，則其較高者作為初步確定的網絡安全等級，滿足相應條件的，還應盡快完成專家和主管部門評審、公安機關備案審查等流程。

最后，在網絡安全等級最終確定后，依據《網安法》及其配套法規的規定履行相應的等保義務，做到合法合規。