《定级指南》在前言说明，本标准代替GB/T 22240—2008《信息安全技术信息系统安全等级保护定级指南》，与GB/T 22240—2008相比，主要技术变化如下：

变更|标准名称变更为《信息安全技术 网络安全等级保护定级指南》；

增加|修改了等级保护对象，增加了网络、基础信息网络等术语定义；

修改|修改了定级要素与安全保护等级的关系；

增加|增加了基础信息网络的定级对象确定方法；

增加|增加了特定定级对象定级说明；

修改|修改了定级流程。

等级保护制度始终保持不变的安全保护目标，即保护系统安全，保证敏感信息的处理、保证服务的连续。但随着IT向DT的转变，现有网络等级保护体系更加丰富，从内容的维度，除基础信息网络外，把云平台、大数据、物联网、工控系统等纳入等级保护制度管理中，从监管对象这一维度，大型互联网企业也加入其中。

作为定级对象的网络应具有如下三个基本特征：

✦ 具有确定的主要安全责任主体；

✦ 承载相对独立的业务应用； 

✦ 包含相互关联的多个资源；

网络安全等级保护对象的级别由两个定级要素决定，分别是受侵害的客体(三类)和对客体的侵害程度(三种程度)，相互对应起来形成五级安全保护等级，如图所示：

关于上述三类受侵害的客体分类，一般损害、严重损害和特别严重损害的定义，基本沿袭原有表达。但是在《定级指南》中，对公民、法人和其他组织的合法权益，遭受特别严重损害的，明确定级在“第三级”，彰显了对私权利维护的升级。

对于基础信息网络、云计算平台、大数据平台等支撑类网络，应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级，原则上应不低于其承载的等级保护对象的安全保护等级。

《定级指南》规定，对于确定为关键信息基础设施的，原则上其安全保护等级不低于第三级。

定级的流程在本次《定级指南》中予以明确，按照如下五个步骤进行：

其实这五个步骤也是信息安全等级保护体系下原有步骤，不过，根据《信息安全等级保护管理办法》，以上第三步和第四步并不是每个等级必须的强制性要求。

相应的规定是：信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

由于《定级指南》的级别较低，目前还在征求意见中，是否能取代《信息安全等级保护管理办法》而将5个步骤普遍适用于全部定级流程，还有待看《信息安全等级保护管理办法》是否会进行进一步的修订。

在2007年《信息安全等级保护管理办法》实施期间，曾经确立了“依照标准，自行保护”的原则，即国家运用强制性的规范及标准，要求信息和信息系统按照相应的建设和管理要求，自行定级、自行保护。”

• 第一级依照国家管理规范和技术标准进行自主保护;

• 第二级在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护;

• 第三级依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查;

• 第四级依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查;

• 第五级依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督；

但是，在网络安全法下，网络安全等级保护成为网络运营者最重要的义务之一，“自行定级、自行保护”明显已不符合网络安全管理的需要。如何避免企业降低保护等级规避，尚缺少更高位级的法律要求。

另一方面，不同的行业按照行业政策的要求，有更具体的等级保护工作要求和定级方案，在这个过程中，主管部门的审核就具有更强的现实意义。比如电子政务网，金融行业，电力行业，广电部门，交通行业，教育行业，税收行业，卫生行业，烟草行业，以及最近刚刚兴起的网络借贷，网约车行业；

所以，网络等级保护的定级将越来越趋于规范性管理，而不是自主保护。

北京安盟信息技术股份有限公司（简称：安盟信息），作为安全隔离的技术创新者和防护方案佼佼者，专业致力于信息安全产品研发。安盟信息产品已经广泛地应用于公检法、税务、国土、军工、军队、航天、金融、能源、冶金、化工、医疗等高安全需求行业，并得到了广大用户的认可和好评。安盟信息愿与众多合作伙伴携手并进，共同助力信息安全事业的创新与发展！