5.4　安全保護等級確定

5.4　安全保護等級確定

5.4.1　定級、審核和批準

活動目標：
本活動的目標是按照國家有關管理規范和定級標準，確定定級對象的安全保護等級，并對定級結果進行評審、審核和審查，保證定級結果的準確性。
參與角色：主管部門，運營、使用單位，網絡安全服務機構。
活動輸入：行業/領域定級指導意見，等級保護對象總體描述文件，定級對象詳細描述文件。
活動描述：
本活動主要包括以下子活動內容：
a) 定級對象安全保護等級初步確定
根據國家有關管理規范、行業/領域定級指導意見（若有則作為依據）以及定級方法，運營、使用單位對每個定級對象確定初步的安全保護等級。
b) 定級結果評審
運營、使用單位初步確定了安全保護等級后，必要時可以組織網絡安全專家和業務專家對初步定級結果的合理性進行評審，并出具專家評審意見。
c) 定級結果審核、批準
運營、使用單位初步確定了安全保護等級后，有明確主管部門的，應將初步定級結果上報行業/領域主管部門或上級主管部門進行審核、批準。行業/領域主管部門或上級主管部門應對初步定級結果的合理性進行審核，出具審核意見。
運營、使用單位應定期自查等級保護對象等級變化情況以及新建系統定級情況，并及時上報主管部門進行審核、批準。

5.4.2　形成定級報告

活動目標：
本活動的目標是對定級過程中產生的文檔進行整理，形成等級保護對象定級結果報告。
參與角色：主管部門，運營、使用單位。
活動輸入：等級保護對象總體描述文件，詳細描述文件，定級結果。
活動描述：
對等級保護對象的總體描述文檔、詳細描述文件、定級結果等內容進行整理，形成文件化的定級結果報告。
定級結果報告可以包含以下內容：
a) 單位信息化現狀概述；
b) 管理模式；
c) 定級對象列表；
d) 每個定級對象的概述；
e) 每個定級對象的邊界；
f) 每個定級對象的設備部署；
g) 每個定級對象支撐的業務應用；
h) 定級對象列表、安全保護等級以及保護要求組合；
i) 其他內容。