根據(jù)《網(wǎng)絡(luò)安全法》要求，國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度，也就是給予了網(wǎng)絡(luò)安全等級保護(hù)的法律地位。根據(jù)《網(wǎng)絡(luò)安全等級保護(hù)條例》要求網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)依法開展網(wǎng)絡(luò)定級備案，也就意味著網(wǎng)絡(luò)運(yùn)營者所有的系統(tǒng)都要定級備案（一級系統(tǒng)不需要到公安機(jī)關(guān)備案），系統(tǒng)保護(hù)等級一共有五級，最低為一級，所以，任何系統(tǒng)理論上最少也是一級，沒有0級，不管是幾級，哪怕是一級，也要開展定級工作，這是網(wǎng)絡(luò)運(yùn)營者的責(zé)任義務(wù)，根據(jù)等保2.0規(guī)定，除家庭及個(gè)人自建的網(wǎng)絡(luò)除外，已經(jīng)涵蓋所有的系統(tǒng)，所以一級的系統(tǒng)也應(yīng)該定級。根據(jù)GB/T22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》對一級系統(tǒng)的要求中描述：應(yīng)以書面的形式說明保護(hù)對象的安全保護(hù)等級及確定等級的方法和理由。那么專家評審后認(rèn)定的一級系統(tǒng)更具有說服力。

解釋如下：各單位應(yīng)該首先自己確定定級對象，對自己單位的所有系統(tǒng)進(jìn)行一個(gè)梳理，對每一個(gè)系統(tǒng)進(jìn)行一個(gè)初步預(yù)定級，如果認(rèn)為該系統(tǒng)應(yīng)該為二級以上，應(yīng)該進(jìn)行專家評審，但是很多單位對于自己單位的系統(tǒng)的重要程度，被破壞后的危害認(rèn)識存在很多主觀因素，或者認(rèn)識不夠，因此建議所有的系統(tǒng)都應(yīng)該做專家評審，否則某個(gè)單位系統(tǒng)假如說有幾十個(gè)，主觀認(rèn)為都是一級，那就進(jìn)行不到專家評審這一環(huán)節(jié)了，違背了定級的思想了，所以，個(gè)人覺得在專家評審時(shí)，應(yīng)該對所有系統(tǒng)進(jìn)行定級評審。避免出現(xiàn)二級（含二級）以上系統(tǒng)沒有定級備案的情況，避免因?yàn)樾畔⑾到y(tǒng)沒有定級備案而被違法處罰。專家評審后有主管部門的報(bào)主管部門審核，審核后出具定級審批意見后，報(bào)給公安機(jī)關(guān)備案審查，公安機(jī)關(guān)屬于終審，如果公安機(jī)關(guān)認(rèn)為仍然定級不準(zhǔn)備，則重新調(diào)整回到第一步。公安機(jī)關(guān)審核通過后，最終確定等級，出具備案證明。

這里面有個(gè)小問題需要注意，各個(gè)行業(yè)有各個(gè)行業(yè)的標(biāo)準(zhǔn)，比如電力，金融，航空，醫(yī)療等，但是所有的標(biāo)準(zhǔn)必須遵從網(wǎng)絡(luò)安全等級保護(hù)的標(biāo)準(zhǔn)，除非行業(yè)標(biāo)準(zhǔn)高于等保標(biāo)準(zhǔn)。等保條例屬于上位標(biāo)準(zhǔn)。即便是行業(yè)標(biāo)準(zhǔn)高于等保標(biāo)準(zhǔn)，公安機(jī)關(guān)也是按照等保標(biāo)準(zhǔn)而不是行業(yè)標(biāo)準(zhǔn)去執(zhí)法。

重回定級備案中的定級問題，有一些單位為了避免或者躲避測評問題，或者為了某些目的，故意將系統(tǒng)的級別調(diào)低或者調(diào)高。一些資金充裕的單位愿意把系統(tǒng)級別定的很高，資金不充裕的單位，想定低一些，造成了定級不準(zhǔn)確。公安部也是看到這種現(xiàn)象，所以在等保2.0中明確規(guī)定了，所有擬定為2級以上（包括2級）的系統(tǒng)都要經(jīng)過專家評審。這在一定程度上能很好的控制定級的準(zhǔn)確性問題。

但是即使是這樣，仍然會遇到一些問題，本應(yīng)二級的系統(tǒng)，故意定為一級。比如說有一些國企或者事業(yè)單位說，我們的網(wǎng)站什么功能也沒有，就是一個(gè)展示宣傳，我們認(rèn)為夠不上二級，先看一級，二級怎么定義的。

（一）第一級，一旦受到破壞會對相關(guān)公民、法人和其他組織的合法權(quán)益造成損害，但不危害國家安全、社會秩序和公共利益的一般網(wǎng)絡(luò)。

（二）第二級，一旦受到破壞會對相關(guān)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成危害，但不危害國家安全的一般網(wǎng)絡(luò)。

一級系統(tǒng)中僅僅是對公民、法人和其他組織的合法權(quán)益造成損害，不涉及社會秩序和公共利益。二級系統(tǒng)涉及到了社會秩序和公共利益，而且只需造成一般損害就可以定為二級。那么一些國企事業(yè)單位開設(shè)網(wǎng)站的目的就是為了公開信息，對外宣傳，服務(wù)公眾，方便公眾使用公共設(shè)施等。如果這樣的網(wǎng)站被篡改或者訪問不了，就等于侵害了公共利益，根據(jù)定級指南：侵害公共利益的事項(xiàng)包括：1.影響社會成員使用公共設(shè)施。2.影響社會成員獲取公開信息資源。3.影響社會成員接受公共服務(wù)等方面。4.其他影響公共利益的事項(xiàng)。如果說某些權(quán)威單位網(wǎng)站被篡改，比如說上市公司、國企，網(wǎng)站上的新聞動態(tài)可能直接影響股價(jià)?；蛘吣承┬畔⒐_不能被社會成員獲取，或者某些單位網(wǎng)站被篡改可能直接導(dǎo)致影響正常生活秩序，比如說預(yù)警發(fā)布自然災(zāi)害信息被惡意發(fā)布，可能會造成整個(gè)社會的恐慌，動亂，對于這樣單位的網(wǎng)站，即使被定為三級也不為過。

此外，系統(tǒng)定級，還要從多個(gè)角度去分析，比如單位職能，單位信譽(yù)，人身安全等方面對本單位、對社會造成的影響以及影響范圍。單位對系統(tǒng)的依賴關(guān)系，依賴程度，影響程度。比如數(shù)據(jù)泄露后導(dǎo)致的人生生命財(cái)產(chǎn)安全，產(chǎn)生嚴(yán)重的法律問題等。

1.專家評審的時(shí)候，不是審查備案表和定級報(bào)告的瑕疵，文件的毛病，不是看系統(tǒng)的安全性，看系統(tǒng)是否缺少了什么安全防護(hù)設(shè)備。

2.專家的主要職責(zé)是根據(jù)系統(tǒng)的重要程度，根據(jù)系統(tǒng)被破壞后產(chǎn)生的影響后果去確定系統(tǒng)的級別，這才是專家評審的意義。其實(shí)系統(tǒng)定級是一件比較難，也非常重要的工作。系統(tǒng)級別確定后，系統(tǒng)就要按照這個(gè)標(biāo)準(zhǔn)去建設(shè)，去防護(hù)。

3.專家評審時(shí)，應(yīng)該對系統(tǒng)的邊界劃分清楚。有些單位習(xí)慣把一些系統(tǒng)合并成為一個(gè)系統(tǒng)，專家應(yīng)該審核這種合并的合理性。

4.在評審表中應(yīng)該考慮系統(tǒng)服務(wù)安全和系統(tǒng)業(yè)務(wù)安全，并認(rèn)清對應(yīng)的級別。

5.在評審時(shí)，很多單位會把所有的系統(tǒng)都拿出來評審，對于認(rèn)定為一級的系統(tǒng)也應(yīng)該在專家評審意見中寫明原因。不能只寫二級以上的評審意見。

系統(tǒng)定級仍然可以參考公安部2007年7月下發(fā)的《等級保護(hù)實(shí)施主要技術(shù)環(huán)節(jié)說明》。

作為定級對象的信息系統(tǒng)應(yīng)具有如下基本特征：

a)  具有確定的主要安全責(zé)任主體；

b)  承載相對獨(dú)立的業(yè)務(wù)應(yīng)用；

c)  包含相互關(guān)聯(lián)的多個(gè)資源。

注1：主要安全責(zé)任主體包括但不限于企業(yè)、機(jī)關(guān)和事業(yè)單位等法人，以及不具備法人資格的社會團(tuán)體等其他組織；

注2：避免將某個(gè)單一的系統(tǒng)組件，如服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備作為定級對象。

損害程度：

對客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對客體的侵害是通過對等級保護(hù)對象的破壞實(shí)現(xiàn)的，因此對客體的侵害外在表現(xiàn)為對等級保護(hù)對象的破壞，通過侵害方式、侵害后果和侵害程度加以描述。

等級保護(hù)對象受到破壞后對客體造成侵害的程度歸結(jié)為以下三種：

a)  造成一般損害；

b)  造成嚴(yán)重?fù)p害；

c)  造成特別嚴(yán)重?fù)p害。

侵害程度是客觀方面的不同外在表現(xiàn)的綜合體現(xiàn)，因此，首先根據(jù)不同的受侵害客體、不同侵害后果分別確定其侵害程度。對不同侵害后果確定其侵害程度所采取的方法和所考慮的角度可能不同，例如，系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以從定級對象服務(wù)覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務(wù)量等不同方面確定，業(yè)務(wù)信息安全被破壞導(dǎo)致的財(cái)物損失可以從直接的資金損失大小、間接的信息恢復(fù)費(fèi)用等方面進(jìn)行確定。

在針對不同的受侵害客體進(jìn)行侵害程度的判斷時(shí)，參照以下不同的判別基準(zhǔn)：

         ——如果受侵害客體是公民、法人或其他組織的合法權(quán)益，則以本人或本單位的總體利益作為判斷侵害程度的基準(zhǔn)；   

         ——如果受侵害客體是社會秩序、公共利益或國家安全，則以整個(gè)行業(yè)或國家的總體利益作為判斷侵害程度的基準(zhǔn)。  

       不同侵害后果的三種侵害程度描述如下：

       1.一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財(cái)產(chǎn)損失，有限的社會不良影響，對其他組織和個(gè)人造成較低損害；

        2．嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的財(cái)產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個(gè)人造成較高損害；  

       3.特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的財(cái)產(chǎn)損失，大范圍的社會不良影響，對其他組織和個(gè)人造成非常高損害。  

對客體的侵害程度由對不同侵害結(jié)果的侵害程度進(jìn)行綜合評定得出。由于各行業(yè)定級對象所處理的信息種類和系統(tǒng)服務(wù)特點(diǎn)各不相同，業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞后關(guān)注的侵害結(jié)果、侵害程度的計(jì)算方式均可能不同，各行業(yè)可根據(jù)本行業(yè)業(yè)務(wù)信息和系統(tǒng)服務(wù)特點(diǎn)制定侵害程度的綜合評定方法，并給出一般損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害的具體定義。 

簡要操作具體可以看表1：

表1 定級要素與安全保護(hù)等級的關(guān)系