淄博市网络等级保护工作流程导读

2017年6月1日《网络法》正式实施，网络等级保护进入有法可依的2.0时代，网络等级保护制度规定于《网络法》的第二十一条，要求网络运营者应当按照网络等级保护制度，履行相应保护义务。

网络等级保护系列标准于2019年5月陆续发布，12月1日起正式实施，标志着等级保护正式迈入2.0时代。网络等级保护2.0时代，落实等级保护制度的五个规定基本动作仍然是：定级、备案、建设整改、等级测评、监督检查。现对这个五个步骤分别进行阐述。

定级

等级保护对象定级是等保工作的步，保护等级由两个要素决定：等级保护对象受到时所侵害的客体和对客体造成侵害的程度。网络等级保护一共分为五个级别：第第二级、第三级、第四级、第五级（防护强度/系统重要程度逐级增强）。如果无法确定等级保护对象的等级，就无法确定等级保护对象应采取的相应防护等级的措施。

作为定级对象的信息系统应具有如下基本特征：

a)具有确定的主要责任主体；

b)承载相对的业务应用；

c）包含相互关联的多个资源。

等级保护对象定级工作的一般流程：

确定定级对象

初步确定等级

评审

主管部门审核

备案审核

终确定等级保护对象等级，等保2.0之后，定级为第二级及以上的等级保护对象必须进行评审、主管部门审核和备案审核。

备案

等级保护对象级别确定之后，30个工作日内网络运营者或其主管部门将定级材料提交到所在地设区的市网安部门办理备案手续。

备案成功后，由当地网安部门颁发《备案证明》。备案证明信息包括：单位名称、系统名称、系统级别等信息。获取到“备案证明”后便确定了等级保护对象的级别。

建设整改

等级保护对象备案成功后，对已有的信息系统，其运营、使用单位根据已经确定的信息保护等级，按照等级保护的管理规范和技术标准，采购和使用相应等级的信息产品，建设设施，落实技术措施，完成系统整改。

建设整改工作分五步进行：

落实建设整改工作部门，建设整改工作规划，进行总体部署；

根据其等级从《基本要求》中选择相应等级的基本要求，确定网络建设需求并论证；

确定防护策略，制定网络建设整改方案（建设方案须经评审论证，第三级（含）以上网络的建设整改方案应报备案）；

根据网络建设整改方案，实施建设工程；

开展自查和等级测评，及时发现风险及问题，进一步开展整改。

等级测评

建设整改后，网络运营者选择符合规定条件的测评机构，定期开展等级测评工作（第三年及以上应每年至少进行一次测评）。测评机构依据网络等级保护制度规定，按照《网络等级保护测评要求》、《网络等级保护测评过程指南》等相关规定标准，对被测等级保护对象进行等级保护对象识别、防护能力测试及评估，验证等级保护对象是否满勤等级保护相应等级的要求，并进行综合分析、出具《等级测评报告》。

网络等级保测评完成后，等级保护对象网络运营单位或责任主管部门将等级测评报告递交到市网安部门，网安部门接收测评报告后，等级测评工作完成。

监督检查

网安部门负责对等级保护网络的监督、检查、指导工作。网络运营者配合监督检查工作，如实提供有关材料及文件。当第三级及以上等级保护对象发生事件、案件时，备案单位应及时向受理备案的报告。

检查的主要内容包括：

日常网络防范工作；

重大网络风险隐患整改情况；

重大网络事件应急处置和恢复工作；

重大网络保卫工作落实情况；

其他的一些网络工作。

每年对第三级及以上的等级保护对象知识开展一次检查工作。