等級保護制度是我國網絡安全領域的一項基本制度。隨著《網絡安全法》出臺后，等級保護制度進入了等保2.0時代，等保2.0適用的范圍更廣，更加注重全方位主動防御、動態(tài)防御、整體防控和精準防護，除了基本要求外，還增加了對云計算、移動互聯、物聯網、工業(yè)控制和大數據等對象全覆蓋。等保2.0標準的發(fā)布，對加強中國網絡安全保障工作，提升網絡安全保護能力具有重要意義。


公安部信息安全等級保護評估中心主任助理、網絡安全等級保護資深專家李明博士，詳細解讀等保2.0標準實施要點，同時準備了需要了解的等級保護的背景知識——“等級保護基礎知識索引”，幫助大家全面了解等級保護制度的來龍去脈。

    
一、等級保護是什么？

【法律依據】
    網絡安全等級保護制度是國家網絡安全工作的基本制度。2017 年 6 月 1 日正式實施的《中華人民共和國網絡安全法》，其第 21 條規(guī)定“國家實行網絡安全等級保護制度”。
       網絡安全等級保護制度起源于 1994 年頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院 147 號令）。該條例第九條規(guī)定：計算機信息系統(tǒng)實行安全等級保護。隨著信息技術的發(fā)展和國內外網絡安全威脅形勢的變化，等級保護制度逐步演進為信息安全等級保護制度（2007 年，見參考資料[3]）和網絡安全等級保護制度。

【基本內涵】
       簡單來說，網絡安全等級保護是對網絡1進行分等級保護、分等級監(jiān)管。在此基礎上，風險評估、安全監(jiān)測、供應鏈安全、自主可控、通報預警、安全事件調查、綜治考核等措施也納入到新的等級保護制度中。
       據網絡在國家安全、經濟建設、社會生活中的重要程度，以及其一旦遭到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀后，對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素，網絡分為五個安全保護等級。第一級最低，第五級最高。

【參考資料】
[1] 《中華人民共和國網絡安全法》
[2] 中華人民共和國計算機信息系統(tǒng)安全保護條例（國務院 147 號令）
[3] 信息安全等級保護管理辦法（公通字〔2007〕43 號）
[4] 《關于信息安全等級保護工作的實施意見》（公通字〔2004〕66 號）
[5] 《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》（發(fā)改高技〔2008〕2071 號）
[6] 《關于進一步推動中央企業(yè)信息安全等級保護工作的通知》（公通字〔2010〕70 號）
[7] 《網絡安全等級保護條例》（征求意見稿）
（https://www.mps.gov.cn/n2254536/n4904355/c6159136/content.html）

此處的網絡引用的是《網絡安全法》的定義，不是狹義的通信互聯網絡（network）。

二、哪些單位或機構需要落實等級保護制度？

       依據《網絡安全法》，在中華人民共和國境內建設、運營、維護和使用的網絡都必須落實網絡安全等級保護制度。
       也就是說，無論網絡運營者的單位性質是政府機關，還是事業(yè)單位，或者是互聯網企業(yè)；無論網絡的形態(tài)是通信網絡設施，還是云計算平臺、工業(yè)控制系統(tǒng)或者是采用移動互聯技術的信息系統(tǒng)；也不論是一般信息系統(tǒng)，或者是重要的關鍵信息基礎設施，只要是境內的網絡都必須開展等級保護工作（個人及家庭自建自用的網絡除外）。


三、網絡安全等級保護工作內容是什么？

網絡安全等級保護工作包括 5 個規(guī)定動作：定級、備案、安全建設、等級測評和監(jiān)督檢查。

定級：網絡運營者對所運營的網絡進行梳理和劃分，確定定級對象，并依據重要性和遭受破壞后的危害性初步確定其網絡的安全保護等級。

備案：第二級以上網絡的運營者到公安機關網安部門備案，公安機關審核通過后頒發(fā)備案證明。

安全建設：網絡運營者根據備案的安全保護等級，按照國家標準開展網絡安全建設整改。

等級測評：網絡運營者或其主管部門選擇符合國家要求的測評機構2開展等級測評。

監(jiān)督檢查：公安機關網安部門對網絡安全等級保護工作開展監(jiān)督、檢查，按照級別對網絡實施不同強度的監(jiān)管，對測評機構及網絡安全產品進行分等級管理，對網絡安全事件分等級響應和處置。

全國網絡安全等級保護測評機構推薦目錄可從“中國網絡安全等級保護網”（http://www.djbh.net）的“測評機構”欄目中檢索到。

四、網絡安全等級保護工作可參考哪些標準/規(guī)范

限于篇幅，列出主要標準如下：

【定級】
[1] GA/T 1389—2017《信息安全技術 網絡安全等級保護定級指南》
[2] 《信息安全技術 網絡安全等級保護定級指南》（GB/T 22240 報批稿）

【安全建設/整改】
[1] GB/T 22239—2019《信息安全技術 網絡安全等級保護基本要求》3
[2] GB/T 25070—2019《信息安全技術 網絡安全等級保護安全設計技術要求》
[3] GB/T 25058—2019《信息安全技術 網絡安全等級保護實施指南》

【等級測評】
[1] GB/T 28448—2019《信息安全技術 網絡安全等級保護測評要求》
[2] GB/T 28449—2018《信息安全技術 網絡安全等級保護測評過程指南》
[3] GB/T 36959—2018《信息安全技術 網絡安全等級保護測評機構能力要求和評估規(guī)范》

相關國家標準可在“國家標準全文公開系統(tǒng)”中檢索，網址為：http://openstd.samr.gov.cn。

五、不開展網絡安全等級保護工作可能承擔的法律責任

       不落實網絡安全等級保護制度是違法行為，可能面臨“責令改正，給予警告；罰款；暫停相關業(yè)務、停業(yè)整頓、關閉網站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照”等處罰；構成違反治安管理行為的，依法給與治安管理處罰；構成犯罪的，依法追究刑事責任（有期徒刑、拘役或者管制，并處或者單處罰金）。
【參考資料】
[1] 《中華人民共和國網絡安全法》
[2] 《中華人民共和國治安管理處罰法》
[3] 《中華人民共和國刑法修正案（九）》