等级保护工作流程

网络安全等级保护2.0时代，落实等级保护制度的五个规定基本动作：定级、备案、建设整改、等级测评、监督检查。

定级

网络安全等级保护一共分为五个级别：第一级、第二级、第三级、第四级、第五级。安全保护等级两要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

等级保护对象定级工作的一般流程下图.

在云计算环境下，等级保护对象大致可以分为三类：

1) 云计算平台

云服务商提供的云基础设施及其上的服务层软件的组合。云服务商可根据不同的云计算服务模式将云计算平台划分为不同的定级对象，如：云计算基础服务平台（IaaS）、云计算数据和开发平台（PaaS）以及云计算应用服务平台（SaaS）。

2) 云服务客户业务应用系统

云服务客户业务应用系统包括云服务客户部署在云计算平台上的业务应用和云服务商为云服务客户通过网络提供的应用服务。云服务客户业务应用系统单独作为定级对象。

3) 云计算技术构建的业务应用系统

业务应用和为此业务应用独立提供底层云计算服务、硬件资源的组合，此类系统中无云服务客户。云计算技术构建的业务应用系统单独作为定级对象。

备案

等级保护对象级别确定之后，30个工作日内网络运营者或其主管部门将定级材料提交到所在地设区的市一级公安机关网安部门办理备案手续。备案成功后，由当地网安部门颁发《备案证明》。

由于云计算资源分散、管理统一，关于云计算平台的备案，依据“责权一致，便于监管”的原则，确立了“云计算服务商应该向云计算平台运维管理主体所在地公安机关进行备案”的工作模式，可分为下列3种场景：

本地化的云计算服务商，机房所在地和运维管理主体所在地一致，云服务商直接到当地公安机关备案并接受备案机关管理；

云计算平台跨省部署，涉及两类安全责任主体：网络设备、主机设备及虚拟资源的配置和安全管理均由在某地集中办公的运维部门（独立法人）统一负责；各地数据中心运营者（独立法人）负责物理环境安全（例如建筑物门禁、电力供应等）。云计算服务商应到运维管理主体所在地公安机关备案，其运维管理的云计算服务相关的业务系统接受备案公安机关的监督管理。同时，各数据中心的物理环境安全接受机房所在地公安机关的监管，物理基础设施（含机房建筑、机电设备和安防及监控系统等）可作为定级对象；

云计算平台跨省部署，各地各地数据中心均租用当地IDC的物理基础设施，网络设备、主机设备及虚拟资源的配置和管理均由集中在某地办公的运维部门统一管理。云计算服务商应到运维管理主体所在地公安机关备案，当地机房及云计算服务相关业务系统接收所在备案公安机关的监督管理。对于物理环境安全，云计算服务商应选择与其自身安全保护等级相匹配的IDC机房。

建设整改

等级保护对象备案成功后，对已有的信息系统，其运营、使用单位根据已经确定的信息安全保护等级，按照等级保护的管理规范和技术标准，采购和使用相应等级的信息安全产品，建设安全设施，落实安全技术措施，完成系统整改。安全建设整改工作分五步进行：

1) 落实安全建设整改工作部门，建设整改工作规划，进行总体部署；

2) 根据其等级从《基本要求》中选择相应等级的基本安全要求，确定网络安全建设需求并论证；

3) 确定安全防护策略，制定网络安全建设整改方案（安全建设方案须经专家评审论证，第三级（含）以上网络的安全建设整改方案应报公安机关备案）；

4) 根据网络安全建设整改方案，实施安全建设工程；

5）开展安全自查和等级测评，及时发现安全风险及安全问题，进一步开展整改。

等级测评

建设整改后，网络运营者选择符合规定条件的测评机构，定期开展等级测评工作（第三年及以上应每年至少进行一次测评）。

测评机构依据国家网络安全等级保护制度规定，按照《网络安全等级保护测评要求》、《网络安全等级保护测评过程指南》等相关规定标准，对被测等级保护对象进行等级保护对象识别、安全防护能力测试及评估，验证等级保护对象是否满勤等级保护相应等级的安全要求，并进行综合分析、出具《等级测评报告》。网络运营者与等级保护测评机构双方之间在整个等级测评过程中应保持良好的沟通与洽谈。

等级测评过程分为4个基本测评活动如下图：

1) 测评准备活动

测评准备活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。本活动的主要任务是掌握被测系统的详细情况，准备测试工具，云计算平台和云计算服务客户业务系统需调研的相关信息如下表。

2) 方案编制活动

方案编制活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评指导书测评指导书（云计算扩展要求测评作业指导书参见附录A），形成测评方案。

3) 现场测评活动

现场测评活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求，严格执行测评指导书测评指导书，分步实施所有测评项目，包括单元测评和整体测评两个方面。

4) 分析及报告编制活动

分析及报告编制活动是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和网络安全等级保护基本要求，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成网络安全等级保护测评报告。

监督检查

公安机关网安部门负责对等级保护网络的监督、检查、指导工作。网络运营者配合公安机关监督检查工作，如实提供有关材料及文件。当第三级及以上等级保护对象发生安全事件、案件时，备案单位应及时向受理备案的公安机关报告。

公安机关检查的主要内容包括：

等级保护工作部署和组织实施情况；

网络安全等级保护对象定级备案情况；

网络安全设施建设情况和网络安全整改情况；

网络安全管理制度建立和落实情况；

网络安全产品选择和使用情况；

测评机构开展等级测评工作情况；

定期自查情况。

公安机关每年对第三级及以上的等级保护对象知识开展一次安全检查工作。网络安全等级保护工作流程中输出的相关文档如表。