等级保护对象安全备案要求是什么

　　定级原理及流程1、安全保护等级如何划分？本部分变化较小，依旧是五个等级，从一级到五级由低到高。现在对于定级系统的称呼统一改为等级保护对象（旧标准中称为信息系统），这也与等保2.0其他系列标准保持一致。2、等保定级要素都有哪些？要素可以说基本没有变化，依旧沿用之前的定义。

　　等级保护对象要素的两个方面：1）受侵害的客体；2）对客体的侵害程度。

　　等级保护对象受侵害客体的三个方面：1）公民、法人和其他组织的合法权益；2）社会秩序、公共利益；3）国家安全。

　　等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：1）造成一般损害；2）造成严重损害；3）造成特别严重损害。

　　定级要素与安全保护等级的关系

　　之前行业内关于等保2.0基本要求的解读中，曾经提过对于公民、法人和其他组织和合法权益受到特别严重损害会定为第三级，从新版《指南》的官方结论，依旧按照旧版定为第二级，这里明确说明一下。3、定级流程是怎样的？第二级及以上等级保护对象定级流程新增专家评审环节，不再自主定级，需要聘请专家认定等级保护对象的级别。

　　02

　　确定定级对象1、哪些企业和机构需要定级备案？定级对象的范围相比旧标准变化较多，本次《指南》包含了云计算、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施以及数据资源，我们来具体看下。通用定级对象基本特征明确，共计三点：

　　具有确定的主要安全责任体；

　　承载相对独立的业务应用；

　　包含相互关联的多个资源。

　　从这几个特征来看，基本互联网上的系统差不多都要定级备案。《指南》给出了有关安全责任主体的解释：包括但不限于企业、机关和事业单位等法人，以及不具备法人资格的社会团体等其他组织。以前很多人一直有个疑问，我们的系统很小，没多少数据，就不需要定级了。现在官方给出了解释，企事业单位、机关基本都是具有法人的，那么这些单位的系统必须都要定级备案。其他团体（包括公益组织）和中小私营企业原则上也都要对系统进行定级备案。这个事情基本是躲去的。2、哪些系统属于强制定级备案范畴？

　　云计算平台/系统

　　《指南》明确表示，云上租户和云服务商的等级保护对象要分开定级，根据云上服务模式再分别定级。就是说，云服务商的平台对外提供SaaS、PaaS、IaaS三种服务模式，那么就分为三个对象来分别定级。对于大型云计算平台，除了服务模式之外还可能根据基础设施和辅助服务系统分别定级。这里《指南》中用了「宜」这个字，以我们的观点来看，应该是建议而非强制要求。对于腾讯云这种大型云计算平台的要求，同样也适用于搭建私有云和混合云的大中型企业。

　　物联网

　　通常是以系统为单位，将所有边缘设备和应用统一起来，作为一个整体来定级。（比如某些智能家居系统，就要以整体平台作为定级对象，不能以不同家庭或不同区域作为定级对象）

　　工业控制系统

　　不同于其他行业，《指南》要求对于工业控制系统，将现场、过程控制要素作为一个整体定级，而生产管理要素单独再作为一个定级对象。也就是一个工业控制系统，终会分成两个对象定级备案。对于大型工控系统，类似大型云计算平台要求，根据功能、主体、控制对象和生产厂商等因素划分多个定级对象。这里《指南》并不是建议，而是要求，也就是说大型工控系统会进行拆分定级。

　　采用移动互联技术的系统

　　《指南》为这类系统进行了简要描述，即包括移动终端（手机、平板、笔记本）、移动应用和无线网络等特征要素的系统。将所有移动技术整合，作为一个整体来定级。

　　通信网络设施

　　主要是通信和广电行业的核心网络，基本可以算得上关键信息基础设施了，也是国家重点关注的行业之一。《指南》建议（用了「宜」）可根据安全责任主体、服务类型或服务地域划分不同的定级对象。根据以往经验，基本都是采取责任主体或地域划分居多，也便于管理。而对于运营商网络（骨干网、接入网），多以地市为单位作为定级对象。《指南》建议跨省行业或单位专用通信网可作为一个整体对象定级，这对于运营商企业来说算是一个利好了。

　　数据资源

　　这是新版《指南》提出的一个新要素。数据资源可以独立定级。定级是基于大数据、大数据平台安全责任主体相同与否。举个例子，比如某些电商平台，数据分布在多个平台，每个平台都有独立法人，这种情况就应该属于安全责任主体不同，这时就要把数据资源单独作为定级对象，电商平台作为另一个定级对象。