在數(shù)字化轉(zhuǎn)型加速推進(jìn)的背景下，信息安全已成為組織運(yùn)營(yíng)不可忽視的核心環(huán)節(jié)。近年來(lái)，隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法規(guī)的深入實(shí)施，等級(jí)保護(hù)制度作為我國(guó)網(wǎng)絡(luò)安全體系的基礎(chǔ)性制度，其重要性愈發(fā)凸顯。然而，在實(shí)際工作中，不少單位仍對(duì)一個(gè)基本問(wèn)題感到困惑：系統(tǒng)等級(jí)保護(hù)定級(jí)究竟由誰(shuí)來(lái)定？是技術(shù)部門(mén)自行決定，還是需經(jīng)主管部門(mén)審批？這一問(wèn)題看似簡(jiǎn)單，實(shí)則牽涉到責(zé)任劃分、合規(guī)邊界與后續(xù)安全建設(shè)的全局安排。

根據(jù)現(xiàn)行《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）及相關(guān)配套文件，等級(jí)保護(hù)定級(jí)的主體責(zé)任明確歸屬于信息系統(tǒng)的“運(yùn)營(yíng)使用單位”。這意味著，無(wú)論是政務(wù)部門(mén)、教育機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)，還是企業(yè)單位，只要其擁有或運(yùn)維某一信息系統(tǒng)，就應(yīng)主動(dòng)承擔(dān)起定級(jí)工作的第一責(zé)任。某地市級(jí)醫(yī)院在2024年底開(kāi)展等保自查時(shí)，曾誤以為定級(jí)需等待上級(jí)衛(wèi)健部門(mén)統(tǒng)一部署，結(jié)果導(dǎo)致其核心診療系統(tǒng)長(zhǎng)期處于“未定級(jí)”狀態(tài)，在2025年初的專(zhuān)項(xiàng)檢查中被通報(bào)整改。這一案例反映出部分單位對(duì)定級(jí)主體認(rèn)知不清，進(jìn)而影響整體合規(guī)進(jìn)程。

盡管定級(jí)責(zé)任在運(yùn)營(yíng)使用單位，但整個(gè)定級(jí)過(guò)程并非閉門(mén)造車(chē)。首先，單位需組織內(nèi)部技術(shù)、業(yè)務(wù)、法務(wù)等多部門(mén)聯(lián)合評(píng)估，識(shí)別系統(tǒng)承載的業(yè)務(wù)類(lèi)型、服務(wù)對(duì)象、數(shù)據(jù)敏感度及潛在影響范圍；其次，應(yīng)參照《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》中的五級(jí)劃分標(biāo)準(zhǔn)（從第一級(jí)到第五級(jí)），初步確定系統(tǒng)等級(jí)；隨后，需將定級(jí)結(jié)果及相關(guān)材料報(bào)送至行業(yè)主管部門(mén)或?qū)俚毓矙C(jī)關(guān)網(wǎng)安部門(mén)進(jìn)行備案審核。值得注意的是，2025年起多地已推行“線(xiàn)上定級(jí)備案平臺(tái)”，簡(jiǎn)化流程的同時(shí)也強(qiáng)化了監(jiān)管聯(lián)動(dòng)。例如，某省級(jí)教育平臺(tái)在定級(jí)過(guò)程中，通過(guò)與省教育廳和公安網(wǎng)安部門(mén)的三方協(xié)同，僅用兩周便完成了從初評(píng)到備案的全流程，避免了以往因材料反復(fù)修改導(dǎo)致的延誤。

實(shí)踐中，定級(jí)工作常因理解偏差而出現(xiàn)兩類(lèi)典型問(wèn)題：一是“高定低配”，即為規(guī)避監(jiān)管壓力故意將系統(tǒng)定為較低等級(jí)，但實(shí)際防護(hù)能力遠(yuǎn)未達(dá)標(biāo)；二是“低定高配”，出于謹(jǐn)慎將非關(guān)鍵系統(tǒng)定為三級(jí)甚至更高等級(jí)，造成資源浪費(fèi)。對(duì)此，2025年新修訂的《等級(jí)保護(hù)管理辦法實(shí)施細(xì)則》特別強(qiáng)調(diào)“定級(jí)應(yīng)基于客觀風(fēng)險(xiǎn)，而非主觀意愿”，并引入第三方專(zhuān)家評(píng)審機(jī)制作為輔助手段。此外，對(duì)于跨區(qū)域、跨部門(mén)的聯(lián)合信息系統(tǒng)，還需建立牽頭單位負(fù)責(zé)制，明確主責(zé)方，防止推諉扯皮。綜上所述，系統(tǒng)等級(jí)保護(hù)定級(jí)雖由運(yùn)營(yíng)使用單位主導(dǎo)，但必須在法規(guī)框架下，結(jié)合業(yè)務(wù)實(shí)際，協(xié)同多方力量科學(xué)推進(jìn)。唯有如此，才能真正筑牢網(wǎng)絡(luò)安全的第一道防線(xiàn)。

• 等級(jí)保護(hù)定級(jí)的法定責(zé)任主體是信息系統(tǒng)的運(yùn)營(yíng)使用單位，而非監(jiān)管部門(mén)或第三方機(jī)構(gòu)。
• 定級(jí)過(guò)程需綜合評(píng)估系統(tǒng)業(yè)務(wù)屬性、數(shù)據(jù)敏感性、社會(huì)影響等多維度因素，不能僅憑技術(shù)復(fù)雜度判斷。
• 2025年起多地啟用線(xiàn)上定級(jí)備案平臺(tái)，提升流程效率并加強(qiáng)監(jiān)管透明度。
• 定級(jí)結(jié)果須報(bào)送行業(yè)主管部門(mén)及屬地公安網(wǎng)安部門(mén)備案，未經(jīng)備案的定級(jí)不具備法律效力。
• 跨部門(mén)或聯(lián)合建設(shè)的信息系統(tǒng)應(yīng)指定牽頭單位統(tǒng)一負(fù)責(zé)定級(jí)工作，避免責(zé)任真空。
• “高定低配”或“低定高配”均屬違規(guī)行為，可能面臨通報(bào)、限期整改甚至行政處罰。
• 新修訂的實(shí)施細(xì)則鼓勵(lì)引入具備資質(zhì)的第三方專(zhuān)家參與定級(jí)論證，提升科學(xué)性與公信力。
• 定級(jí)不是一次性動(dòng)作，當(dāng)系統(tǒng)功能、服務(wù)范圍或數(shù)據(jù)類(lèi)型發(fā)生重大變更時(shí)，需重新組織定級(jí)評(píng)估。