网络安全等级保护细则

一、等级保护体系设计的主要工作要求

等级保护体系设计的主要工作要求包括：

（1）等级保护体系设计应包含技术和管理两方面的内容；

（2）等级保护体系设计不仅应满足国家相应保护等级的要求，还应满足所在行业和领域的相应保护等级的要求；

（3）运营者应在等级保护体系设计结束后，形成设计文档；

（4）等级保护体系设计过程中，若有变更，应执行变更管理；

（5）如委托外部机构协助开展等级保护体系设计工作的，应与外部机构签订保密协议。

二、等级保护体系设计的基础准备工作

运营者在开始设计网络安全等级保护体系前，应首先完成等级保护对象的定级备案、安全需求分析等工作。其中：

（1）等级保护对象的定级备案：确定等级保护对象的安全保护等级，以指导等级保护体系设计时对标相应级别的安全保护要求。感兴趣的读者可参考《浅谈如何规范开展等级保护定级和备案工作》一文。

（2）等级保护对象的安全需求分析：对标相应保护保护等级的安全保护要求明确运营者的网络安全等级保护需求，以在后续的等级保护体系设计时，采取有针对性的等级保护措施。感兴趣的读者可参考《浅谈如何规范有序地开展网络安全需求分析》。

三、等级保护体系设计主要过程

在完成等级保护体系设计的基础准备工作之后，正式开始等级保护体系的设计过程。等级保护体系设计主要过程如下：