《網(wǎng)絡(luò )安全法》出臺后，網(wǎng)絡(luò )等級保護進(jìn)入2.0時(shí)代。這意味著(zhù)在遵照2007年公安部、國家保密局、國家密碼管理局和國務(wù)院信息化工作辦公室頒布實(shí)施的《信息安全等級保護管理辦法》及其配套的標準《信息系統安全等級保護定級指南》建立的“信息安全等級保護體系”已全面升級。

《網(wǎng)絡(luò )安全法》

第二十一條 國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò )免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò )數據泄露或者被竊取、篡改：

（一）制定內部安全管理制度和操作規程，確定網(wǎng)絡(luò )安全負責人，落實(shí)網(wǎng)絡(luò )安全保護責任；

（二）采取防范計算機病毒和網(wǎng)絡(luò )攻擊、網(wǎng)絡(luò )侵入等危害網(wǎng)絡(luò )安全行為的技術(shù)措施；

（三）采取監測、記錄網(wǎng)絡(luò )運行狀態(tài)、網(wǎng)絡(luò )安全事件的技術(shù)措施，并按照規定留存相關(guān)的網(wǎng)絡(luò )日志不少于六個(gè)月；

（四）采取數據分類(lèi)、重要數據備份和加密等措施；

（五）法律、行政法規規定的其他義務(wù)。

隨后，《網(wǎng)絡(luò )安全法》出臺后各地執法案例不斷涌現，其中不乏有關(guān)網(wǎng)絡(luò )安全等級保護義務(wù)的案例：

——安徽省蚌埠懷遠縣教育進(jìn)修學(xué)校，未進(jìn)行網(wǎng)絡(luò )安全等級保護的定級備案、等級評測工作；未落實(shí)網(wǎng)絡(luò )安全等級保護制度；未履行網(wǎng)絡(luò )安全等級保護義務(wù)；機構被處以1.5萬(wàn)元罰款，負有直接責任人員處以5000元罰款。

——四川宜賓市“教師發(fā)展平臺”網(wǎng)站，未落實(shí)網(wǎng)絡(luò )安全等級保護制度；未履行網(wǎng)絡(luò )安全等級保護義務(wù)；機構被處以1萬(wàn)元罰款，負有直接責任人員處以5000元罰款。

這些處罰案例距離網(wǎng)絡(luò )運營(yíng)者是如此之近，不得不關(guān)注何謂《網(wǎng)絡(luò )安全等級保護制度》，與之前的信息安全等級保護制度有什么不同要求？隨著(zhù)2018年1月19日，全國信息安全標準化技術(shù)委員會(huì )發(fā)布關(guān)于《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護定級指南（征求意見(jiàn)稿）》（以下稱(chēng)“《定級指南》”），我們一起來(lái)看一下，網(wǎng)絡(luò )安全等級保護有哪些值得關(guān)注的變化。

一、整體繼承關(guān)系

《定級指南》在前言說(shuō)明，本標準代替GB/T 22240—2008《信息安全技術(shù)　信息系統安全等級保護定級指南》，與GB/T 22240—2008相比，主要技術(shù)變化如下：

——標準名稱(chēng)變更為《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護定級指南》。

——修改了等級保護對象、增加了網(wǎng)絡(luò )、基礎信息網(wǎng)絡(luò )等術(shù)語(yǔ)定義。

——修改了定級要素與安全保護等級的關(guān)系。

——增加了基礎信息網(wǎng)絡(luò )的定級對象確定方法。

——增加了特定定級對象定級說(shuō)明。

——修改了定級流程。

二、等級保護對象

等級保護制度始終保持不變的安全保護目標，即保護系統安全，保證敏感信息的處理、保證服務(wù)的連續。但隨著(zhù)IT向DT的轉變，現有網(wǎng)絡(luò )等級保護體系更加豐富，從內容的維度，除基礎信息網(wǎng)絡(luò )外，把云平臺、大數據、物聯(lián)網(wǎng)、工控系統等納入等級保護制度管理中；從監管對象這一維度，大型互聯(lián)網(wǎng)企業(yè)也加入其中。

作為定級對象的網(wǎng)絡(luò )應具有如下三個(gè)基本特征：具有確定的主要安全責任主體；承載相對獨立的業(yè)務(wù)應用； 包含相互關(guān)聯(lián)的多個(gè)資源。在此定義之下，特別關(guān)注：

云計算平臺。在云計算環(huán)境中，應將云服務(wù)方側的云計算平臺單獨作為定級對象定級，云租戶(hù)側的等級保護對象也應作為單獨的定級對象定級。對于大型云計算平臺，應將云計算基礎設施和有關(guān)輔助服務(wù)系統劃分為不同的定級對象。

大數據。大數據應作為單獨定級對象進(jìn)行定級；安全責任主體相同的大數據、大數據平臺和應用可作為一個(gè)整體對象定級。

三、安全保護等級

網(wǎng)絡(luò )安全等級保護對象的級別由兩個(gè)定級要素決定，分別是受侵害的客體（三類(lèi)）和對客體的侵害程度（三種程度），相互對應起來(lái)形成五級安全保護等級，如圖所示：

關(guān)于上述三類(lèi)受侵害的客體分類(lèi)，一般損害、嚴重損害和特別嚴重損害的定義，基本沿襲原有表達。但是在《定級指南》中，對公民、法人和其他組織的合法權益，遭受特別嚴重損害的，明確定級在“第三級”,彰顯了對私權利維護的升級。

對于基礎信息網(wǎng)絡(luò )、云計算平臺、大數據平臺等支撐類(lèi)網(wǎng)絡(luò )，應根據其承載或將要承載的等級保護對象的重要程度確定其安全保護等級，原則上應不低于其承載的等級保護對象的安全保護等級。

《定級指南》規定，原則上，大數據安全保護等級不低于第三級。對于確定為關(guān)鍵信息基礎設施的，原則上其安全保護等級不低于第三級。

四、定級流程

定級的流程在本次《定級指南》中予以明確，按照如下五個(gè)步驟進(jìn)行。

其實(shí)這五個(gè)步驟也是信息安全等級保護體系下原有步驟，不過(guò)，根據《信息安全等級保護管理辦法》，以上第三步和第四步并不是每個(gè)等級必須的強制性要求。相應的規定是：

信息系統運營(yíng)、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。有主管部門(mén)的，應當經(jīng)主管部門(mén)審核批準。

對擬確定為第四級以上信息系統的，運營(yíng)、使用單位或者主管部門(mén)應當請國家信息安全保護等級專(zhuān)家評審委員會(huì )評審。

由于《定級指南》的級別較低，目前還在征求意見(jiàn)中，是否能取代《信息安全等級保護管理辦法》而將5個(gè)步驟普遍適用于全部定級流程，還有待看《信息安全等級保護管理辦法》是否會(huì )進(jìn)行進(jìn)一步的修訂。

五、定級保護自主性

在2007年《信息安全等級保護管理辦法》實(shí)施期間，曾經(jīng)確立了“依照標準，自行保護”的原則，即國家運用強制性的規范及標準，要求信息和信息系統按照相應的建設和管理要求，自行定級、自行保護?！?/p>

級依照國家管理規范和技術(shù)標準進(jìn)行自主保護；

第二級在信息安全監管職能部門(mén)指導下依照國家管理規范和技術(shù)標準進(jìn)行自主保護；

第三級依照國家管理規范和技術(shù)標準進(jìn)行自主保護，信息安全監管職能部門(mén)對其進(jìn)行監督、檢查；

第四級依照國家管理規范和技術(shù)標準進(jìn)行自主保護，信息安全監管職能部門(mén)對其進(jìn)行強制監督、檢查；

第五級依照國家管理規范和技術(shù)標準進(jìn)行自主保護，專(zhuān)門(mén)部門(mén)、專(zhuān)門(mén)機構進(jìn)行專(zhuān)門(mén)監督。

但是，在網(wǎng)絡(luò )安全法下，網(wǎng)絡(luò )安全等級保護成為網(wǎng)絡(luò )運營(yíng)者重要的義務(wù)之一，“自行定級、自行保護”明顯已不符合網(wǎng)絡(luò )安全管理的需要。如何避免企業(yè)降低保護等級規避，尚缺少更高位級的法律要求。

另一方面，不同的行業(yè)按照行業(yè)政策的要求，有更具體的等級保護工作要求和定級方案，在這個(gè)過(guò)程中，主管部門(mén)的審核就具有更強的現實(shí)意義。比如電子政務(wù)網(wǎng)，金融行業(yè)，電力行業(yè)，廣電部門(mén)，交通行業(yè)，教育行業(yè)，稅收行業(yè)，衛生行業(yè)，煙草行業(yè)，以及近剛剛興起的網(wǎng)絡(luò )借貸，網(wǎng)約車(chē)行業(yè)。

所以，網(wǎng)絡(luò )等級保護的定級將越來(lái)越趨于規范性管理，而不是自主保護。

結語(yǔ)

《網(wǎng)絡(luò )安全法》為網(wǎng)絡(luò )安全等級保護提出了新要求，在繼續原有《信息安全等級保護管理辦法》的規則之下，如何與新發(fā)布的定級指南相匹配，特別是對強制性的級別要求有更明確的梳理，則是我們所期待的。