定級(jí)、備案是網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的初始環(huán)節(jié)，也是網(wǎng)絡(luò)運(yùn)營(yíng)者開展等級(jí)保護(hù)工作的基礎(chǔ)、關(guān)鍵，更是網(wǎng)絡(luò)運(yùn)營(yíng)者履行等級(jí)保護(hù)義務(wù)的直接體現(xiàn)。

在日常工作中，我們發(fā)現(xiàn)少數(shù)單位、部門對(duì)網(wǎng)絡(luò)系統(tǒng)定級(jí)、備案工作理解尚存在偏差，甚至出現(xiàn)網(wǎng)絡(luò)系統(tǒng)遭受攻擊，重要數(shù)據(jù)被竊取破壞后，因拿不出定級(jí)備案證明，致使公安機(jī)關(guān)無法判定該網(wǎng)絡(luò)系統(tǒng)是否屬于重要信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施的情況，一方面給公安機(jī)關(guān)立案?jìng)刹閹聿槐?，另一方面?dǎo)致網(wǎng)絡(luò)運(yùn)營(yíng)者因未履行安全管理義務(wù)而被追責(zé)。整理在開展定級(jí)備案中存在的幾個(gè)誤區(qū)。

誤區(qū)1 系統(tǒng)一旦定級(jí)，就要被公安機(jī)關(guān)等部門管來管去，太煩！

在網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中，網(wǎng)絡(luò)系統(tǒng)運(yùn)營(yíng)使用單位和主管部門應(yīng)依照國(guó)家法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，按照“誰主管誰負(fù)責(zé)，誰運(yùn)營(yíng)誰負(fù)責(zé)”的原則開展工作，承擔(dān)網(wǎng)絡(luò)安全主體責(zé)任。鑒于重要網(wǎng)絡(luò)系統(tǒng)，尤其是關(guān)鍵信息基礎(chǔ)設(shè)施的安全運(yùn)行不僅影響本行業(yè)、本單位的生產(chǎn)和工作秩序，更會(huì)影響國(guó)家安全、社會(huì)穩(wěn)定、公共利益，因此，網(wǎng)絡(luò)安全職能部門要對(duì)網(wǎng)絡(luò)系統(tǒng)安全進(jìn)行監(jiān)管。

網(wǎng)絡(luò)系統(tǒng)定級(jí)是等級(jí)保護(hù)工作的首要環(huán)節(jié)和關(guān)鍵環(huán)節(jié)，是開展系統(tǒng)備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查等工作的重要基礎(chǔ)。網(wǎng)絡(luò)系統(tǒng)包括支撐、傳輸作用的基礎(chǔ)信息網(wǎng)絡(luò)設(shè)施和各類應(yīng)用系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)安全級(jí)別定級(jí)不準(zhǔn)，系統(tǒng)備案、建設(shè)整改、等級(jí)測(cè)評(píng)等后續(xù)工作都會(huì)失去基礎(chǔ)，網(wǎng)絡(luò)系統(tǒng)安全就沒有保證。

誤區(qū)2 系統(tǒng)定級(jí)低點(diǎn)好，定高了承擔(dān)責(zé)任太大！

其實(shí)，網(wǎng)絡(luò)系統(tǒng)的定級(jí)是有比較完備的參考依據(jù)，應(yīng)當(dāng)根據(jù)網(wǎng)絡(luò)系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

在等級(jí)保護(hù)工作開展的這幾年中，隨著互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)系統(tǒng)也變得更加復(fù)雜，總的原則：網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)等級(jí)是信息系統(tǒng)的客觀屬性，是以網(wǎng)絡(luò)系統(tǒng)的重要性和遭到破壞后的危害程度為依據(jù)。既要防止因片面追求絕對(duì)安全而定級(jí)過高，也要防止為逃避監(jiān)管而定級(jí)偏低。需要指出的是，人為的定級(jí)過低，不僅降低防護(hù)標(biāo)準(zhǔn)從而危害網(wǎng)絡(luò)系統(tǒng)本身，更重要是，一旦發(fā)生針對(duì)相關(guān)系統(tǒng)的網(wǎng)絡(luò)安全案事件時(shí)，也將被追究定級(jí)不準(zhǔn)的責(zé)任。雖然定級(jí)過低從目前看不會(huì)涉及行政處罰等，但也會(huì)通報(bào)單位和上級(jí)主管部門，建議整改，得不償失。

誤區(qū)3 定級(jí)后要測(cè)評(píng)整改，檢測(cè)出隱患漏洞后，會(huì)被領(lǐng)導(dǎo)責(zé)問為什么沒有考慮周全！

網(wǎng)絡(luò)安全沒有絕對(duì)的安全，是相對(duì)的安全。

從公安機(jī)關(guān)辦理的黑客類攻擊破壞案件來看：攻擊手段、漏洞隱患等每年都在不斷翻新變化，因此網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)策略、措施等也需要?jiǎng)討B(tài)調(diào)整，信息化部門不能有“鴕鳥“心理，更不能有“賭一把“想法，網(wǎng)絡(luò)系統(tǒng)要定期檢測(cè)、評(píng)估，及時(shí)堵塞漏洞，決不能躲避問題、無視問題。按照國(guó)家規(guī)定要求開展的測(cè)評(píng)、整改，可以幫助發(fā)現(xiàn)、解決網(wǎng)絡(luò)系統(tǒng)存在的安全風(fēng)險(xiǎn)點(diǎn)。

等級(jí)測(cè)評(píng)就像單位每年組織的醫(yī)療體檢；我們相信，隨著國(guó)家法律不斷健全，特別是信息化部門思想觀念的不斷進(jìn)步，單位、部門領(lǐng)導(dǎo)也會(huì)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)有新的全面的認(rèn)識(shí)，今后對(duì)網(wǎng)絡(luò)系統(tǒng)開展定期”體檢”會(huì)深入人心，更是習(xí)慣養(yǎng)成。

誤區(qū)4 定級(jí)備案無非就拿個(gè)證而已，我們參照有關(guān)標(biāo)準(zhǔn)進(jìn)行防護(hù)就行了，不在乎這張紙！

如果您已經(jīng)意識(shí)到定級(jí)備案的必要性和重要性，強(qiáng)烈建議大家積極對(duì)自己的信息系統(tǒng)進(jìn)行定級(jí)備案，《網(wǎng)絡(luò)安全法》第21條明確指出國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，做了定級(jí)備案拿到備案證明，起碼能夠證明單位正在按照相關(guān)法律要求，履行了管理義務(wù)，落實(shí)了網(wǎng)絡(luò)安全等級(jí)保護(hù)的部分基本措施。同時(shí)，一旦備案的網(wǎng)絡(luò)系統(tǒng)遭受黑客攻擊破壞，給公安機(jī)關(guān)立案?jìng)刹樘峁┝酥巍?/p>

如何對(duì)本單位、本部門的網(wǎng)絡(luò)系統(tǒng)正確定級(jí)?

網(wǎng)絡(luò)系統(tǒng)定級(jí)是等級(jí)保護(hù)工作的首要環(huán)節(jié)和關(guān)鍵環(huán)節(jié)，是開展系統(tǒng)備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查等工作的重要基礎(chǔ)。網(wǎng)絡(luò)系統(tǒng)包括支撐、傳輸作用的基礎(chǔ)信息網(wǎng)絡(luò)設(shè)施和各類應(yīng)用系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)安全級(jí)別定級(jí)不準(zhǔn)，系統(tǒng)備案、建設(shè)整改、等級(jí)測(cè)評(píng)等后續(xù)工作都會(huì)失去基礎(chǔ)，網(wǎng)絡(luò)系統(tǒng)安全就沒有保證。

01.明確定級(jí)對(duì)象

1.起支撐、傳輸作用的基礎(chǔ)網(wǎng)絡(luò)（包括專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)、網(wǎng)管系統(tǒng)）要作為定級(jí)對(duì)象。需要注意的是，不將整個(gè)網(wǎng)絡(luò)作為一個(gè)定級(jí)對(duì)象，而是要從安全管理和安全責(zé)任的角度將基礎(chǔ)網(wǎng)絡(luò)劃分成若干安全域去定級(jí)。

2.用于生產(chǎn)、調(diào)度、管理、作業(yè)、指揮、辦公等目的的各類業(yè)務(wù)應(yīng)用系統(tǒng)，要按照不同業(yè)務(wù)類別單獨(dú)確定為定級(jí)對(duì)象。

3.各單位、部門的門戶網(wǎng)站以及對(duì)外提供信息發(fā)布、內(nèi)容服務(wù)的政務(wù)公開平臺(tái)等要作為獨(dú)立的定級(jí)對(duì)象。需要注意的是，如果網(wǎng)站、平臺(tái)的后臺(tái)數(shù)據(jù)庫(kù)管理系統(tǒng)安全級(jí)別較高，也要作為獨(dú)立的定級(jí)對(duì)象;網(wǎng)站、平臺(tái)上運(yùn)行的業(yè)務(wù)應(yīng)用系統(tǒng)也要作為獨(dú)立的定級(jí)對(duì)象。

4.對(duì)于云平臺(tái)、大數(shù)據(jù)、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、衛(wèi)星系統(tǒng)等，要按照定級(jí)指南的要求，合理確定定級(jí)對(duì)象;科學(xué)確定其安全保護(hù)等級(jí)，開展等級(jí)保護(hù)管理。

02.科學(xué)、合理、準(zhǔn)確定級(jí)

一般來說，單位自建的信息系統(tǒng)（與上級(jí)單位無關(guān)），由單位自主定級(jí)；

跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)，可以由主管部門統(tǒng)一確定安全保護(hù)等級(jí)。其中，由各行業(yè)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一安全保護(hù)策略的全國(guó)聯(lián)網(wǎng)系統(tǒng)，應(yīng)由行業(yè)主管部門統(tǒng)一對(duì)其下屬各級(jí)系統(tǒng)分別確定等級(jí);

由各行業(yè)統(tǒng)一規(guī)劃、分級(jí)建設(shè)、全國(guó)聯(lián)網(wǎng)的信息系統(tǒng)，應(yīng)由部、省、地市分別確定系統(tǒng)等級(jí)，但各行業(yè)主管部門應(yīng)對(duì)該類系統(tǒng)提出定級(jí)意見，避免出現(xiàn)同類系統(tǒng)下級(jí)定級(jí)比上級(jí)高的現(xiàn)象。對(duì)于該類系統(tǒng)的等級(jí)，下級(jí)確定后需報(bào)上級(jí)主管部門審批。

對(duì)于新建系統(tǒng)，運(yùn)營(yíng)使用單位在規(guī)劃設(shè)計(jì)時(shí)應(yīng)確定安全保護(hù)等級(jí)，同步規(guī)劃、同步設(shè)計(jì)、同步實(shí)施安全保護(hù)技術(shù)措施和管理措施。

怎么開展下步網(wǎng)絡(luò)系統(tǒng)備案工作？

網(wǎng)絡(luò)系統(tǒng)運(yùn)營(yíng)使用單位在初步確定網(wǎng)絡(luò)系統(tǒng)安全保護(hù)等級(jí)后，對(duì)于第二級(jí)（含）以上網(wǎng)絡(luò)系統(tǒng)，在安全保護(hù)等級(jí)確定后30日內(nèi)，由其運(yùn)營(yíng)使用單位或者主管部門到所在地設(shè)區(qū)的地市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。

公安機(jī)關(guān)收到網(wǎng)絡(luò)系統(tǒng)運(yùn)營(yíng)使用單位的備案材料后，對(duì)系統(tǒng)定級(jí)基本準(zhǔn)確的，頒發(fā)由公安部統(tǒng)一監(jiān)制的《備案證明》；對(duì)于定級(jí)不準(zhǔn)的；會(huì)向備案單位發(fā)整改通知，建議組織專家重新進(jìn)行定級(jí)評(píng)審，并報(bào)上級(jí)主管部門審批。備案單位仍然堅(jiān)持原定等級(jí)的，公安機(jī)關(guān)可以受理其備案，但應(yīng)當(dāng)書面告知其承擔(dān)由此引發(fā)的責(zé)任和后果，經(jīng)上級(jí)公安機(jī)關(guān)同意后，同時(shí)通報(bào)備案單位的上級(jí)主管部門。

對(duì)拒不備案的，公安機(jī)關(guān)依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī)規(guī)定，責(zé)令其限期整改。逾期仍不備案的，應(yīng)予以警告，并向其上級(jí)主管部門通報(bào)。需要向中央和國(guó)家機(jī)關(guān)通報(bào)的，要報(bào)經(jīng)公安部同意。

本文轉(zhuǎn)自等級(jí)保護(hù)測(cè)評(píng)