网络安全等级保护定级指南
网络安全等级保护定级是依据信息系统在国家安全、经济建设、社会生活中的重要程度，以及遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度，确定其安全保护等级的过程。

第一步：理解定级的核心依据
定级并非基于系统的技术复杂度或投资规模，而是依据其受侵害的客体（国家安全、社会秩序、公共利益、公民法人权益）和侵害程度（一般损害、严重损害、特别严重损害）。这两个维度交叉决定最终等级，从第一级到第五级逐级增高。

第二步：识别定级对象
定级对象包括各类信息系统、云计算平台、物联网、工业控制系统等。若系统由多个相对独立的子系统构成，且安全需求不同，可分别定级。注意，数据本身不单独定级，而是通过承载它的系统体现。

第三步：初步确定受侵害的客体
分析系统承载的数据和处理活动：

• 若涉及国家秘密和核心安全，客体为国家安全。
• 若影响社会公共管理、民生服务（如交通、医疗），客体为社会秩序和公共利益。
• 若主要涉及企业、个人事务，客体为公民、法人合法权益。
  一个系统可能涉及多个客体，按最高者考量。

第四步：判断侵害程度
根据系统中断、数据篡改泄露等可能后果的严重性判断：

• 一般损害：局部影响，受限范围，损害可较快弥补。
• 严重损害：广泛影响，造成重大经济损失或社会不良影响。
• 特别严重损害：对国家安全、社会秩序造成灾难性破坏。

第五步：组合确定等级
参考《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）：

• 损害一般 + 客体为公民法人权益 → 第一级。
• 损害严重 + 客体为社会秩序/公共利益，或损害一般 + 客体为社会秩序/公共利益 → 第二级。
• 损害严重 + 客体为国家安全，或损害特别严重 + 客体为社会秩序/公共利益 → 第三级。
• 损害特别严重 + 客体为国家安全 → 第四级。
• 极端严重情况（如战争、国家生存威胁） → 第五级。

第六步：专家评审与主管部门审核
定级需组织专家评审，尤其二级以上系统需上报行业主管或监管部门审核。涉及国家安全、国计民生的关键系统还需公安机关备案审查。

第七步：等级变更与调整
系统业务、数据或架构重大变化时，应重新定级。例如，普通企业管理系统接入公共民生服务后，可能从二级升为三级。

核心要点：定级是等保工作的起点，等级决定后续安全要求的强弱。定级过高会造成资源浪费，定级过低则无法有效防护风险，需严格遵循客观标准。