网络安全等级保护应知应会（中）

六、网络安全等级保护工作的五个规定动作是什么？

答：《信息安全等级保护管理办法》明确了等级保护五个规定动作，分别是网络定级、网络备案、安全建设整改、等级测评和监督检查。

->详见《信息安全等级保护管理办法》（公通字〔2007〕43号）

七、如何确定网络的安全保护等级以及定级原则？

答：网络的定级备案工作包括网络安全运营者拟定网络安全保护等级、专家评审、主管部门核准、公安机关审核。具体应按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)和《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)的要求执行。网络运营者是网络安全等级保护的责任主体，根据所属网络的重要程度和遭到破坏后的危害程度，科学合理确定网络的安全保护等级。网络的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。网络的安全保护等级的确定，应按照网络安全等级保护定级指南开展，既要防止因片面追求绝对安全而定级过高，也要防止为逃避监管而定级偏低。网络运营者应按照“准确定级”的要求完成等级保护的定级，对故意将网络安全级别定低，逃避公安、保密、密码部门监管，造成网络出现重大安全事故的，要追究单位和相关人员的责任。

->详见《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)、《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）、《信息安全等级保护管理办法》（公通字〔2007〕43号）、《网络安全法和网络安全等级保护制度》

八、哪些网络可以作为定级对象？

答：定级对象主要包括信息系统、信息网络、数据资源、云计算平台、工业控制系统、物联网、移动互联、智能制造系统等。网络运营者可参考下列建议确定定级对象：

一是起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)要作为定级对象。但不是将整个网络作为一个定级对象，而是要从安全管理和安全责任的角度将基础信息网络划分成若干安全域或单元去定级。

二是用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统，要按照不同业务类别单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象的条件。不能将某一类信息系统作为一个定级对象去定级。

三是各单位网站、邮件系统要作为独立的定级对象。如果网站的后台数据库管理系统安全级别较高，也要作为独立的定级对象。网站上运行的信息系统(例如对社会提供服务的报名考试系统)也要作为独立的定级对象。

四是对于云平台、大数据、工业控制系统、物联网、移动互联网、卫星系统等，要按照定级指南的要求，合理确定定级对象。

五是确认负责定级的单位是否对所定级网络负有业务主管责任。业务部门应主导对业务网络的定级，运维部门(例如信息中心、托管方)可以协助定级并按照业务部门的要求开展后续安全保护工作。

六是具有网络的基本要素。作为定级对象的网络应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。不应将某个单一的系统组件(例如服务器、终端、网络设备等)作为定级对象。

->详见《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）、网络安全等级保护相关法律法规及相关国家标准

九、网络部署在云计算环境是否需要落实等级保护及安全责任如何界定？

答：需要。在云计算环境中，考虑到安全建设和管理责任可能不同，应将云服务方侧的云计算平台和云租户方侧的等级保护对象作为不同的定级对象分别定级。对于大型云计算平台，宜将云计算基础设施和相关辅助服务系统划分为不同的定级对象；同一云计算平台上的不同租户的等级保护对象也应划分为不同的定级对象。

根据“谁主管谁负责、谁运营谁负责”的原则，应各自承担网络安全责任开展等级保护工作。参考《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)附录D，根据云计算平台提供IaaS、PaaS、SaaS三种基本的云计算服务模式承担相应的安全责任。在不同的服务模式中，云服务商和云服务客户对计算资源拥有不同的控制范围，控制范围则决定安全责任的边界。不同服务模式下云服务商和云服务客户的安全管理责任有所不同。

->详见《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）、《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）附录D

十、网络如何进行备案？

答：已运营（运行）的第二级（含）以上网络，应当在安全保护等级确定后三十日内，由其网络运营者到所在地设区的市级以上公安机关办理备案手续。

新建第二级以上网络，应当在投入运行后三十日内，由其网络运营者到所在地设区的市级以上公安机关办理备案手续。

第二级网络备案时应当提交《信息系统安全等级保护备案表》（一式两份）、网络安全等级保护定级报告（一式一份）、专家评审意见（或省级及以上上级主管部门定级文件）（一式一份）和以上资料的电子文档。

第三级及以上网络备案时除提交第二级网络所需材料外，还应当提交系统拓扑结构及说明,系统安全组织机构及管理制度,系统安全保护设施设计实施方案或改建实施方案,系统使用的信息安全产品清单及其认证、销售许可证明,符合安全保护等级要求的《网络安全等级保护测评报告》（或网络安全等级保护承诺书）,上级主管部门审批意见。

需要说明的是：关于云计算平台的备案，考虑到云计算的资源分散、管理统一的特点，按照“责权一致，便于监管”的原则，确立了“云计算服务商应该向云计算平台运维管理主体所在地公安机关进行备案”的工作模式，具体分为以下几种典型场景：

第一，本地化的云计算服务商，其机房所在地和运维管理主体所在地一致，云计算服务商直接到当地公安机关备案并接受备案机关的监督管理。

第二，云计算平台跨省部署，涉及两类安全责任主体：网络设备、主机设备及虚拟资源的配置和安全管理均由在某地集中办公的运维部门(独立法人)统一负责；各地数据中心运营者(独立法人)负责物理环境安全(例如建筑物门禁、电力供应等)。

云计算服务商应到运维管理主体所在地公安机关备案，其运维管理的云计算服务相关的业务系统接受备案公安机关的监督管理。同时，各数据中心的物理环境安全接受机房所在地公安机关的监管，物理基础设施(含机房建筑、机电设备和安防及监控系统等)可作为定级对象。

第三，云计算平台跨省部署，各地数据中心均租用当地IDC的物理基础设施，网络设备、主机设备及虚拟资源的配置和管理均由集中在某地办公的运维部门统一管理。云计算服务商应到运维管理主体所在地公安机关备案，当地机房及云计算服务相关的业务系统接受所在地备案公安机关的监督管理。对于物理环境安全，云计算服务商应选择与其自身安全保护等级相匹配的IDC机房。

->详见《信息安全等级保护管理办法》（公通字〔2007〕43号）、《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019等