网络安全等级保护制度详解，一文掌握核心要点！

一、等级保护制度发展情况

等级保护制度的法律依据

Ø《计算机信息系统安全保护条例》（1994年General Office of the State Council第147号令）

公安部主管全国计算机信息系统安全保护工作。

计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

Ø《中华人民共和国警察法》（1995，2012）

人民警察履行“监督管理计算机信息系统的安全保护工作”职责。

Ø 2008年General Office of the State Council“三定”方案

赋予公安部“监督、检查、指导信息安全等级保护工作”的法定职责。

Ø《中华人民共和国网络安全法》（2016）

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

等级保护制度发展的政策依据

Ø《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)

实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”，标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障工作的基本制度。

Ø《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）

进一步明确公安机关负责全国信息安全等级保护工作的监督、检查和指导工作，并指出“要建立专门的等级保护监督检查机构和技术支撑体系，组织研制、开发科学、实用的检查、评估工具、充实力量、加强建设、切实承担信息安全等级保护监督、检查和指导的职责”。

Ø《信息安全等级保护管理办法》（公通字[2006]43号）

公安部牵头，会同国家保密局、国家密码管理局等部门共同组织全国各单位、各部门实施信息安全等级保护工作。同时，公安机关还承担信息安全等级保护监督、检查、指导的任务。

等级保护的主管部门

全国公安机关网络安全保卫部门机构和职责：

机构

部分职责

公安部:网络安全保卫局

各省:网络警察总队

地市:网络警察支队

区县:网络警察大队

制定信息安全政策

打击网络违法犯罪

互联网安全管理

重要信息系统安全监察

网络与信息安全信息通报

等级保护的定义和内涵

Ø 什么是等级保护？

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息及公开信息和存储、传输、处理这些信息的信息系统分等级实施安全保护，对信息系统中使用的信息安全产品实施按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

简单说，信息安全等级保护就是分等级保护、分等级监管，是将全国的信息系统(包括网络)按照重要性和遭受损坏后的危害性分成5个安全保护等级。(从第一级到第五级，逐级增高)

Ø 等级保护工作包括哪些？

等级保护工作主要分为五个环节，分别是定级、备案、系统建设/整改、开展等级测评和监管部门定期监督检查。

Ø 如何落实？

落实等级保护工作需要多方面的努力和措施，其中监管部门指导和网络安全等级保护标准体系落地是两个重要的方面。

等级保护2.0

2017年6月1日，《网络安全法》的颁布，标志着等级保护进入2.0时代。

Ø 网络安全等级保护2.0新内涵

新内涵主要体现在新的法律、政策体系；新的标准体系；新的技术支撑体系；新的人才队伍体系；新的教育训练体系；新的保障体系。

一方面将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统、公众服务平台等全部纳入等级保护监管。将互联网企业纳入等级保护管理，保护互联网企业健康发展。

另一方面完善等级保护工作措施。将风险评估、安全监测、通报预警、事件调查、应急演练、灾难备份、自主可控、供应链安全、效果评价、综治考核等重点措施纳入等级保护制度实施。

此外修订等级保护基本要求、安全建设要求、测评要求等基本标准；组织起草云计算、大数据、物联网、移动互联、工业控制系统等新技术、新应用等级保护技术标准，指导各单位、各部门开展新技术、新应用网络安全保护工作。

Ø《网络安全等级保护条例（征求意见稿）》对监管职责分工的新划分

中央网络安全和信息化领导机构统一领导网络安全等级保护工作。国家网信部门负责网络安全等级保护工作的统筹协调。

General Office of the State Council公安部门主管网络安全等级保护工作，负责网络安全等级保护工作的监督管理，依法组织开展网络安全保卫。

国家保密行政管理部门主管涉密网络分级保护工作，负责网络安全等级保护工作中有关保密工作的监督管理。

国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理。

General Office of the State Council其他有关部门依照有关法律法规的规定，在各自职责范围内开展网络安全等级保护相关工作。

县级以上地方人民政府依照本条例和有关法律法规规定，开展网络安全等级保护工作。

二、网络安全等级保护标准体系

主要标准情况

等级保护2.0标准体系包括以下主要标准：

等级保护2.0标准体系实施过程可参考下图：

图片参考：计算机与网络安全《等保2.0标准体系解读》“网络安全等级保护定级指南”图

Ø 核心标准是网络安全等级保护基本要求（GB/T22239-2019）

基本要求包含安全通用要求和安全扩展要求。

安全通用要求

安全通用要求针对共性化保护需求提出，无论等级保护对象以何种形式出现，需要根据安全保护等级实现相应级别的安全通用要求。安全扩展要求针对个性化保护需求提出，等级保护对象需要根据安全保护等级、使用的特定技术或特定的应用场景实现安全扩展要求。等级保护对象的安全保护需要同时落实安全通用要求和安全扩展要求提出的措施。

安全通用要求包括：

技术类五项

管理类五项

安全物理环境

安全通信网络

安全区域边界

安全计算环境

安全管理中心

安全管理制度

安全管理机构

安全管理人员

安全建设管理

安全运维管理

安全拓展要求

1. 云计算安全扩展要求是针对云计算平台提出的安全通用要求之外额外需要实现的安全要求。主要内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云计算环境管理”和“云服务商选择”等。

2. 移动互联安全扩展要求是针对移动终端、移动应用和无线网络提出的安全要求，与安全通用要求一起构成针对采用移动互联技术的等级保护对象的完整安全要求。主要内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等。

3. 物联网安全扩展要求是针对感知层提出的特殊安全要求，与安全通用要求一起构成针对物联网的完整安全要求。主要内容包括“感知节点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理”和“数据融合处理”等。

4. 工业控制系统安全扩展要求主要是针对现场控制层和现场设备层提出的特殊安全要求，它们与安全通用要求一起构成针对工业控制系统的完整安全要求。主要内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等。

三、网络安全等级保护工作过程

等级保护工作内容

一是:定级；二是:备案；三是:系统建设、整改；四是:开展等级测评；五是:监管部门定期开展监督检查。

等级保护工作过程可以参考下图：

图片参考：计算机与网络安全《等保2.0标准体系解读》“等级保护规定动作”图

等级的概念

信息系统重要程度等级

安全保护能力等级

备案要求

第二级以上信息系统需要备案。

备案时应当提交《信息系统安全等级保护备案表》(一式两份)及其电子文档。第二级以上信息系统备案时需提交《备案表》中的表一、二、三；第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材料。

附：《信息系统安全等级保护备案表》:

单位基本情况
信息系统情况
信息系统定级情况
第三级以上信息系统提交材料情况

定级备案流程：

建设整改

核心：使确定了等级的信息系统能够达到相应等级的基本的保护水平和满足自身需求的安全保护能力。

第三级安全保护能力:信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力;在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能快速恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。

测评定义：

等级测评是测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

测评频率：

三级系统每年一次；二级系统推荐每两年一次。

监督检查

主管监管部门会定期对等级保护工作情况进行监督检查。