GA/T 1389-2017信息安全技术 网络安全等级保护定级指南
GB 17859-1999计算机信息系统 安全等级保护划分准则

• 定级是等级保护工作的首要环节和关键环节！
• 定级不准，系统备案、建设、整改、等级测评等后续工作都会失去意义，信息系统安全就没有保证。
• 定级时应重点考虑信息系统破坏后对国家安全、社会稳定的影响。
• 运营使用单位和主管部门是第一责任部门，负主要责任，信息安全监管部门是第二责任部门，负监管责任。
• 运营使用单位、主管部门和信息安全监管部门密切配合，共同承担责任，才能保护好国家基础信息网络和重要信息系统的安全。

• 第一级（自主保护级）：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。
• 第二级（指导保护级）：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
• 第三级（监督保护级）：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
• 第四级（强制保护级）：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
• 第五级（专控保护级）：信息系统受到破坏后，会对国家安全造成特别严重损害。

• 定级原理
• 定级流程
• 常见问题

• 仅从行业和信息系统自身安全角度考虑，未能站在国家安全、社会稳定的高度统筹考虑信息系统等级。
• 认为信息系统级别定的高，要花费更多的资金，单位负担加重。
• 上级主管对本行业下级单位定级指导不力，同类信息系统下级部门定级偏低，特别是一些重要行业地市级单位的系统级别偏低。
• 以信息系统运维单位为主进行定级，业务单位参与定级不够。