系统等级保护定级由谁定？厘清责任边界与实践路径

在数字化转型加速推进的背景下，信息安全已成为组织运营不可忽视的核心环节。近年来，随着《网络安全法》《数据安全法》等法规的深入实施，等级保护制度作为我国网络安全体系的基础性制度，其重要性愈发凸显。然而，在实际工作中，不少单位仍对一个基本问题感到困惑：系统等级保护定级究竟由谁来定？是技术部门自行决定，还是需经主管部门审批？这一问题看似简单，实则牵涉到责任划分、合规边界与后续安全建设的全局安排。

根据现行《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）及相关配套文件，等级保护定级的主体责任明确归属于信息系统的“运营使用单位”。这意味着，无论是政务部门、教育机构、医疗机构，还是企业单位，只要其拥有或运维某一信息系统，就应主动承担起定级工作的第一责任。某地市级医院在2024年底开展等保自查时，曾误以为定级需等待上级卫健部门统一部署，结果导致其核心诊疗系统长期处于“未定级”状态，在2025年初的专项检查中被通报整改。这一案例反映出部分单位对定级主体认知不清，进而影响整体合规进程。

尽管定级责任在运营使用单位，但整个定级过程并非闭门造车。首先，单位需组织内部技术、业务、法务等多部门联合评估，识别系统承载的业务类型、服务对象、数据敏感度及潜在影响范围；其次，应参照《网络安全等级保护定级指南》中的五级划分标准（从第一级到第五级），初步确定系统等级；随后，需将定级结果及相关材料报送至行业主管部门或属地公安机关网安部门进行备案审核。值得注意的是，2025年起多地已推行“线上定级备案平台”，简化流程的同时也强化了监管联动。例如，某省级教育平台在定级过程中，通过与省教育厅和公安网安部门的三方协同，仅用两周便完成了从初评到备案的全流程，避免了以往因材料反复修改导致的延误。

实践中，定级工作常因理解偏差而出现两类典型问题：一是“高定低配”，即为规避监管压力故意将系统定为较低等级，但实际防护能力远未达标；二是“低定高配”，出于谨慎将非关键系统定为三级甚至更高等级，造成资源浪费。对此，2025年新修订的《等级保护管理办法实施细则》特别强调“定级应基于客观风险，而非主观意愿”，并引入第三方专家评审机制作为辅助手段。此外，对于跨区域、跨部门的联合信息系统，还需建立牵头单位负责制，明确主责方，防止推诿扯皮。综上所述，系统等级保护定级虽由运营使用单位主导，但必须在法规框架下，结合业务实际，协同多方力量科学推进。唯有如此，才能真正筑牢网络安全的第一道防线。

• 等级保护定级的法定责任主体是信息系统的运营使用单位，而非监管部门或第三方机构。
• 定级过程需综合评估系统业务属性、数据敏感性、社会影响等多维度因素，不能仅凭技术复杂度判断。
• 2025年起多地启用线上定级备案平台，提升流程效率并加强监管透明度。
• 定级结果须报送行业主管部门及属地公安网安部门备案，未经备案的定级不具备法律效力。
• 跨部门或联合建设的信息系统应指定牵头单位统一负责定级工作，避免责任真空。
• “高定低配”或“低定高配”均属违规行为，可能面临通报、限期整改甚至行政处罚。
• 新修订的实施细则鼓励引入具备资质的第三方专家参与定级论证，提升科学性与公信力。
• 定级不是一次性动作，当系统功能、服务范围或数据类型发生重大变更时，需重新组织定级评估。