网络安全等级保护的定级原则

定级工作原则

网络的定级工作应按照“网络运营者拟定网络安全保护等级、专家评审、主管部门核准、公安机关审核”的原则进行。定级工作的主要内容包括确定定级对象、拟定网络的安全保护等级、组织专家评审、主管部门核准、公安机关审核，具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)和《网络安全等级保护定级指南》(GB/T22240-2020)的要求执行。

在861号文中，我们看到定级范围为：

（一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 

（二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 

（三）市（地）级以上党政机关的重要网站和办公信息系统。 

（四）涉及国家秘密的信息系统（以下简称涉密信息系统）。

在这里，如果没有仔细去思考等级保护制度的人，往往会疑惑在“涉密信息系统”这个点上，我们在探讨常规定级过程中，是不需要纠结在这里的，我们有个了解即可。我们在以GB/T22240-2020中所说的“定级”，全部是面向非涉密信息系统的，而涉密信息系统的具体定级工作则由涉密的另一套网络安全体系负责。

安全保护等级

根据等级保护对象在国家安全、经济建设、社会生活中的重要程度，以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素，等级保护对象的安全保护等级分为以下五级：

第一级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成一般损害，但不危害国家安全、社会秩序和公共利益； 第二级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全； 第三级，等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危害，或者对国家安全造成危害； 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害； 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重危害。

网络运营者是网络安全等级保护的责任主体，根据所属网络的重要程度和遭到破坏后的危害程度，科学合理确定网络的安全保护等级。按照所定等级，依照网络安全等级保护基本要求中相应等级的管理规范和技术标准，建设网络安全保护设施，建立安全制度，落实安全责任，对网络实施保护。在等级保护工作中，网络运营者和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受网络安全监管部门的监管。网络运营者和主管部门是网络基础设施安全的第一责任人，对所属网络自身安全负有直接责任；公安、保密、密码部门对网络运营者和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。重要网络和信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序，也影响国家安全、社会稳定、公共利益，国家网络安全职能部门要对重要网络和信息系统的安全进行监管。

网络的安全保护等级

网络的安全保护等级应当根据网络在国家安全、经济建设、社会生活中的重要程度，以及网络遭到破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度等因素确定。网络安全等级保护制度将网络划分为五个安全保护等级，从第一级到第五级逐级增高，如下表所示。

受侵害的客体	对客体的侵害程度
	一般损害	严重损害	特别严重损害
公民、法人和其他组织的合法权益	第一级	第二级	第二级
社会秩序、公共利益	第二级	第三级	第四级
国家安全	第三级	第四级	第五级

定级要素

定级要素概述

等级保护对象的定级要素包括：受侵害的客体和对客体的侵害程度。

受侵害的客体

等级保护对象受到破坏时所侵害的客体包括以下三个方面：

一是公民、法人和其他组织的合法权益；

二是社会秩序、公共利益；

三是国家安全。

对客体的侵害程度

对客体的侵害程度由客观方面的不同外在表现综合决定。

由于对客体的侵害是通过对等级保护对象的破坏实现的，对客体的侵害外在表现为对等级保护对象的破坏，通过侵害方式、侵害后果和侵害程度加以描述。

等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：

一是造成一般损害；二是造成严重损害；三是造成特别严重损害。