等級保護(hù)的五個(gè)規(guī)定動作分別是定級、備案、建設(shè)整改、安全測評、監(jiān)督檢查，定級與備案屬于等級保護(hù)前兩個(gè)動作，定級過程中又涉及到評審，所以再分則可以理解第一個(gè)大階段包含定級、評審與備案三個(gè)工作項(xiàng)。如下圖，最上一層所示。

　　等級保護(hù)遵循“三同步”原則，現(xiàn)在《網(wǎng)絡(luò)安全法》規(guī)定的“三同步”為“同步規(guī)劃、同步建設(shè)、同步使用”，基本上在規(guī)劃之初就應(yīng)該考慮等級保護(hù)工作如何開展，也就是等級保護(hù)工作與規(guī)劃同步開展。

　　今天我們結(jié)合《網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指南》探討一下等級保護(hù)定級與備案階段工作流程。

　　流程大致如下圖所示：

　　依據(jù)上圖，我們將定級與備案工作分成四個(gè)階段。

　　第一階段：

　　需要輸入的包括行業(yè)介紹文檔、GB/T 22240-2020《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》（以下簡稱“《定級指南》”，主要過程是行業(yè)/領(lǐng)域定級工作，最終需要輸出包括行業(yè)/領(lǐng)域的業(yè)務(wù)總體描述文件、行業(yè)/領(lǐng)域定級指導(dǎo)意見、行業(yè)/領(lǐng)域定級工作部署文件。在這個(gè)階段，從輸入來看基本上是網(wǎng)絡(luò)所有者、運(yùn)營者所在的行業(yè)主管部門根據(jù)自己所處行業(yè)和領(lǐng)域特點(diǎn)結(jié)合《定級指南》出具行業(yè)性定級指導(dǎo)性文件。

　　這個(gè)階段涉及的子活動有識別、分析行業(yè)/領(lǐng)域重要性，識別行業(yè)/領(lǐng)域的主要業(yè)務(wù)，定級指導(dǎo)，定級工作部署等，這些子活動基本上以行業(yè)主管部門負(fù)責(zé)。

　　這個(gè)階段的工作主要是行業(yè)主管部門和安全服務(wù)機(jī)構(gòu)共同完成。

　　作為網(wǎng)絡(luò)網(wǎng)絡(luò)運(yùn)營、使用單位則需要了解有哪些關(guān)于等級保護(hù)定級的行業(yè)/領(lǐng)域性文件。作為測評機(jī)構(gòu)測評師，大多都會關(guān)注這塊工作，網(wǎng)絡(luò)運(yùn)營、使用單位可以咨詢測評機(jī)構(gòu)或與測評機(jī)構(gòu)一起努力查找相關(guān)文件。

　　第二階段：

　　到第二階段，進(jìn)入等級保護(hù)對象分析，需要輸入上階段輸出的行業(yè)/領(lǐng)域定級指導(dǎo)意見、定級部署文件等，結(jié)合網(wǎng)絡(luò)網(wǎng)絡(luò)運(yùn)營、使用單位自身單位情況說明的文檔、等級保護(hù)對象的立項(xiàng)、建設(shè)和管理文檔再加上《定級指南》，經(jīng)過等級保護(hù)對象分析輸出等級保護(hù)對象總體描述文件、等級保護(hù)對象詳細(xì)描述文件。

　　這個(gè)階段的工作是網(wǎng)絡(luò)網(wǎng)絡(luò)運(yùn)營、使用單位與網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)來完成。

　　這個(gè)階段涉及識別、分析行業(yè)/領(lǐng)域重要性、主要業(yè)務(wù)、定級指導(dǎo)、定級工作部署等。

　　第三階段：

　　到第三個(gè)階段結(jié)合行業(yè)/領(lǐng)域定級指導(dǎo)意見、等級保護(hù)對象總體描述文件、等級保護(hù)對象詳細(xì)描述文件完成安全保護(hù)等級確定，在這個(gè)階段輸出主管部門審核意見、等級保護(hù)對象安全保等級定級報(bào)告。

　　這個(gè)階段的工作是網(wǎng)絡(luò)網(wǎng)絡(luò)運(yùn)營、使用單位與網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)來完成。

　　這個(gè)階段涉及對象重要性分析，其子活動有識別單位的基本信息，識別單位的等級保護(hù)對象基本信息，識別等級保護(hù)對象的管理框架，識別等級保護(hù)對象的網(wǎng)絡(luò)及設(shè)備部署，識別等級保護(hù)對象的業(yè)務(wù)特性，識別等級保護(hù)對象處理的信息資產(chǎn)，識別用戶范圍和用戶類型，等級保護(hù)對象描述。其中等級保護(hù)對象的描述應(yīng)該包含但不限于等級保護(hù)對象概述、重要性分析、邊界描述、網(wǎng)絡(luò)拓?fù)?、設(shè)備部署、支撐的業(yè)務(wù)應(yīng)用的種類和特性、處理信息資產(chǎn)、用戶的范圍和用戶類型、管理框架等。

　　定級對象確定子活動包括劃分方法的選擇、等級保護(hù)對象劃分、定級對象詳細(xì)描述。一個(gè)描述準(zhǔn)確的大型等級保護(hù)對象中應(yīng)包含且不限于相對獨(dú)立的定級對象列表、每個(gè)定級對象的概述、每個(gè)定級對象的邊界、每個(gè)定級對象設(shè)備部署、每個(gè)定級對象支撐的業(yè)務(wù)應(yīng)用及其處理的信息資產(chǎn)類型、每個(gè)定級對象的服務(wù)范圍和用戶類型。

　　第四階段：

　　最后是第四個(gè)階段需要輸入上個(gè)階段輸出的定級報(bào)告以及主管部門審核意見、等級保護(hù)對象安全總體方案、安全詳細(xì)設(shè)計(jì)方案、安全等測評報(bào)告，去公安機(jī)關(guān)進(jìn)行定級結(jié)果備案，輸出備案材料和備案證明。

　　這個(gè)階段的工作是網(wǎng)絡(luò)網(wǎng)絡(luò)運(yùn)營、使用單位、行業(yè)主管部門與網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)來共同完成。

　　這個(gè)階段涉及的子活動有定級對象安全保護(hù)等級初步確定、定級結(jié)果評審、定級結(jié)果評審、批準(zhǔn)。形成定級報(bào)告應(yīng)包含但不限于單位信息化現(xiàn)狀概述、管理模式、定級對象列表、每個(gè)定級對象的概述、每個(gè)定級對象的邊界、每個(gè)定級對象的設(shè)備部署、每個(gè)定級對象支撐的業(yè)務(wù)應(yīng)用、定級對象列表、安全保護(hù)等級以及保護(hù)要求組合等。

　　定級結(jié)果備案需要對備案材料進(jìn)行整理，填寫備案表等材料，備案材料提交以及后期補(bǔ)充測評報(bào)告等工作。公安機(jī)關(guān)接收備案材料初級備案證明。這樣，等級保護(hù)定級與備案工作算是完結(jié)，接著將進(jìn)入建設(shè)階段，下篇再一起探討。

　　等級保護(hù)不同階段參與方是不同的，但是作為網(wǎng)絡(luò)運(yùn)營、使用單位是自始至終都要參與進(jìn)來的，而公安監(jiān)督檢查也是貫穿始終的。只是監(jiān)管角度和方式不同而已，對網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)有依法對安全服務(wù)機(jī)構(gòu)的管理要求，對行業(yè)主管部門有依法對行業(yè)主管部門的管理要求，對網(wǎng)絡(luò)運(yùn)營、使用單位有依法對網(wǎng)絡(luò)運(yùn)營、使用單位的手段。而只有各司其職，各盡其責(zé)按照相關(guān)國家法律法規(guī)及標(biāo)準(zhǔn)去建設(shè)網(wǎng)絡(luò)，才能做到最佳的合規(guī)。