网络安全等级保护定级指南

本文件依据等级保护相关管理文件，综合考虑保护对象在国家安全、经济建设、社会生活中的重要程度，以及保护对象遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素，提出确定保护对象安全保护等级的方法。本文件规定了网络安全等级保护的定级方法和定级流程，适用于为等级保护对象的定级工作提供指导。
根据等级保护相关管理文件，等级保护对象的安全保护等级分为以下5级：
a）第一级，等级保护对象受到破坏后，会对公民 、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；
b）第二级，等级保护对象受到破坏后，会对公民 、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全 ；
c）第三级，等级保护对象受到破坏后，会对公民 、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；
d）第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家 安全造成严重损害；
e）第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

网络安全等级保护定级指南

▼

（全文略）

file:///C:/Users/ADMINI~1/AppData/Local/Temp/ksohtml7128/wps6.png

定级对象的安全主要包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，安全保护等级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的定级对象安全保护等级称业务信息安全保护等级；从系统服务安全角度反映的定级对象安全保护等级称系统服务安全保护等级。
定级方法如下：
a）确定受到破坏时所侵害的客体：
1）确定业务信息受到破坏时所侵害的客体；2）确定系统服务受到侵害时所侵害的客体。
b）确定对客体的侵害程度：
1）根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度；2）根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度。
c）确定安全保护等级：
1）确定业务信息安全保护等级；2）确定系统服务安全保护等级；3）将业务信息安全保护等级和系统服务安全保护等级的较高者初步确定为定级对象的安全保护等级。
对于大数据等定级对象，应综合考虑数据规模、数据价值等因素，根据其在国家安全、经济建设、社会生活中的重要程度，以及数据资源遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定其安全保护等级。原则上大数据安全保护等级为第三级以上。
对于基础信息网络、云计算平台等定级对象，应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级，原则上应不低于其承载的等级保护对象的安全保护等级。
国家关键信息基础设施的安全保护等级应不低于第三级。