1.如何理解等保2.0

1.如何理解等保2.0

1994年，国务院颁布《中华人民共和国计算机信息系统安全保护条例》，在第九条规定，计算机信息系统实行安全等级保护。至今算起来已有20多个年头，一路走来，等级保护与国家信息化发展相生相伴，从探索到成熟、从各方质疑到达成广泛共识，已经成为我们国家信息安全领域影响最为深远的保障制度。

1. 2.0时代，网络安全等级保护在国家网络空间战略发挥重要作用

​ 当前我们国家正面临经济社会结构调整和转型，信息技术已经成为新的引擎，等级保护将继续扮演不可替代的重要角色。同时，网络空间已经成为与陆地、海洋、天空、太空同等重要的人类活动新领域，网络空间主权成为了国家主权的一个新维度。维护网络空间主权的重心在网络空间安全，等级保护的防护核心始终是关键信息基础设施保护。因此，网络安全等级保护将在国家网络空间战略发挥重要作用。

2.2.0时代，等级保护制度法制化

《中华人民共和国网络安全法》是我国网络安全方面的基本大法，是网络安全基础性法律。在第二十一条明确规定了“国家实行网络安全等级保护制度”，第三十一条规定“对于国家关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。因此，等级保护制度自2017年6月1日起上升为法律。网络安全等级保护制度法制化，在法律层面确立了其在网络安全领域的基础、核心地位。网络运营者履行网络安全等级保护将是违法行为，

3.2.0时代，等级保护保护对象丰富化、具体化

早在2003年，中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》中指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统”，这个定义就是网络安全法中的“关键信息基础设施”。所以说，等级保护的核心从未改变。但是，随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现，计算机信息系统的概念已经不能涵盖全部，特别是互联网快速发展带来大数据价值的凸显，这些都要求等级保护外延的拓展。新的系统形态、新业态下的应用、新模式背后的服务、重要数据和资源统统进入了等级保护的视野。具体对象囊括了大型互联网企业、基础网络、重要信息系统、网站、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等。

4.2.0时代，等级保护内涵精准化

在2.0时代之前，等级保护包括5个规定动作，即定级、备案、建设整改、等级测评和监督检查。那么在2.0时代，等保的内涵将更加精准化。风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施。

5.2.0时代，等级保护制度体系更完善，机制更灵活

​ 这些年来，等级保护工作一直是在顶层设计下，以体系化的思路逐层展开、分步实施。2.0时代，主管部门将继续制定出台一系列政策法规和技术标准，形成运转顺畅的工作机制，在现有体系基础上，建立完善等级保护政策体系、标准体系、测评体系、技术体系、服务体系、关键技术研究体系、教育训练体系等。等级保护也将作为核心，围绕它来构建起安全监测、通报预警、快速处置、态势感知、安全防范、精确打击等为一体的国家关键信息基础设施安全保卫体系，如图5-1所示。

​ 可见，等级保护将发挥国家制度优势，集中各方力量应对各种挑战。从“信息安全等级保护制度”到“网络安全等级保护制度”的变更，不难看出，等级保护不仅从信息安全扩大到网络安全，更从国家制度变更为国家法律，表达的是国家对保障网络空间安全的自信。接下来的2.0时代，等级保护将根据信息技术发展应用和网络安全态势，不断丰富制度内涵、拓展保护范围、完善监管措施，逐步健全网络安全等级保护制度政策、标准和支撑体系。

2.等级保护

1.基本概念

信息安全等级保护是指对国家秘密信息，法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护是提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。

依据《计算机信息系统安全保护等级划分准则》，计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

2.核心内涵

国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。在国家统一政策指导下，各单位、各部门依法开展等级保护工作，有关职能部门对信息安全等级保护工作实施监督管理。实行信息安全等级保护，是在信息安全保障工作中国家意志的体现，具有明显的强制性。

3.等级划分

信息安全等级保护是将全国的信息系统（包括网络）按照重要性和遭受损坏后的危害程度分成五个安全保护等级，从第一级到第五级，逐级增高。各信息系统在坚持自主定级、自主保护的原则下，应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定保护等级。

根据信息系统在国家安全、经济建设、社会生活中的重要程度，以及信息系统遭到破坏后对国家安全、社会秩序、公共利益，以及公民、法人和其他组织的合法权益的危害程度等因素，将信息系统安全等级由低到高分为五个等级。

第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。

第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。

第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。

第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。

第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。

4.等级监管

国家通过制定统一的管理规范和技术标准，组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家对不同安全保护级别的信息和信息系统实行不同强度的监管政策。

第一级依照国家管理规范和技术标准进行自主保护；

第二级在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护，

第三级依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行督、检查;

第四级依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查：

第五级依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督。

5.等级保护的五目标

通过实施信息安全等级保护，信息系统需要达到如下五方面的目标：一是信息系统安全管理水平明显提高：二是信息系统安全防范能力明显增强；三是信息系统安全隐患和安全事故明显减少：四是有效保障信息化健康发展；五是有效维护国家安全、社会秩序和公共利益。

6.等级保护制度特点

等级保护制度的特点如下：一是紧迫性，信息安全滞后于信息化发展，重要信息系统的安全保障需求迫切：二是全面性，内容涉及广泛，各单位各部门落实；三是基础性，等级保护是国家的一项基本制度、基本国策；四是强制性，要求公安机关等监管部门进行监督、检查、指导等级保护工作；五是规范性，国家出台系列政策和标准，保障等级保护工作的开展。六是法律性，网络安全等级保护制度上升为国家法律，要求网络运营者必须执行。

3.网络安全等级保护的基本内容

1 角色及其职责

1.国家监管部门

公安机关负责信息安全等级保护工作的监督、检查、指导，是等级保护工作的牵头部门。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导：国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

2.等级保护协调工作小组

负责信息安全等级保护工作组织领导，制定本地区、本行业开展信息安全等级保护的工作部署和实施方案，并督促有关单位落实，研究、协调、解决等级保护工作中的重要工作事项，及时通报或报告等级保护实施工作的相关情况。

3.信息系统主管部门

负责依照国家信息安全等级保护的管理规范和技术标准，督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

4.信息系统运营、使用单位

负责依照国家信息安全等级保护的管理规范和技术标准，确定其信息系统的安全保护等级，有主管部门的，应当报其主管部门审核批准；根据已经确定的安全保护等级，到公安机关办理备案手续：按照国家信息安全等级保护管理规范和技术标准，进行信息系统安全保护的规划设计：使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品和信良安全产品，开展信息系统安全建设或者改建工作；制定、落实各项安全管理制度，定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查，选择符合国家相关规定的等级测评机构，定期进行等级测评；制定不同等级信息安全事件的响应、处置预案，对信息系统的信息安全事件分等级进行应急处置。

5.信息安全服务机构

负责根据信息系统运营、使用单位的委托，依照国家信息安全等级保护的管理规范和技术标准，协助信息系统运营、使用单位完成等级保护的相关工作，包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。

6.信息安全等级测评机构

负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权，协助信息系统运营、使用单位或国家管理部门，按照国家信息安全等级保护的管理规范和技术标准，对已经完成等级保护建设的信息系统进行等级测评；对信息安全产品供应商提供的信息安全产品进行安全测评。

7.信息安全产品供应商

信息安全产品供应商负责按照国家信息安全等级保护的管理规范和技术标准，开发符合等级保护相关要求的信息安全产品，接受安全测评；按照等级保护相关要求销售信息安全产品并提供相关服务。

8.信息安全等级保护专家组

信息安全等级保护专家组宣传等级保护相关政策、标准；指导备案单位研究拟定贯彻实施意见和建设规划、技术标准的行业应用；参与定级和安全建设整改方案论证、评审；协助发现树立典型、总结经验并推广；跟踪国内外信息安全技术最新发展，开展等级保护关键技术研究；研究提出完善等级保护政策体系和技术体系的意见和建议。

2工作环节

根据《信息安全等级保护管理办法》的规定，等级保护主要由5个环节组成：定级、备案、建设整改、等级测评、安全监管。

1.定级

定级是信息安全等级保护的首要环节和关键环节，通过定级可以梳理各行业、各部门、各单位的信息系统类型、重要程度和数量等基本信息，确定分级保护的重点。定级不准，系统备案、建设、整改、等级测评等后续工作都会失去意义，信息系统安全就没有保证。

依据《关于开展全国重要信息系统安全等级保护定级工作的通知》要求，信息系统定级按照自主定级、专家评审、主管部门审批、公安机关备案的工作流程进行。

首先，开展信息系统基本情况的摸底调查。各行业主管部门、运营使用单位开展对所息信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系约结构等基本情况，按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南的要求，确定定级对象。各行业主管部门要根据行业特点提出指导本地区、本行业定级工作

其次，初步确定定级对象的安全保护等级，起草定级报告。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。的具体意见。

第三，专家评审和主管单位审批。初步确定信息系统安全保护等级后，可以聘请专家进行评审。对拟确定为第四级以上信息系统的，由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级，形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时，由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的，确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。

第四，公安机关备案。公安机关对安全保护等级审核把关，合理确定信息系统安全保护等级。发现定级不准的，应当通知运营使用单位或其主管部门重新审核确定。

2.备案

信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门需要到公安机关办理备案手续，提交有关备案材料及电子数据文件。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，向当地设区的市级以上公安机关备案。公安机关负责受理备案并进行备案管理。信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，颁发信息系统安全保护等级备案证明。发现不符合《信息安全等级保护管理办法》及有关标准的，应当通知备案单位予以纠正。

3.建设整改

信息系统确定等级后，按照等级保护标准规范要求，建立健全并落实符合相应等级要求的安全管理制度，明确落实安全责任；结合行业特点和安全需求，制定符合相应等级要求的信息系统安全技术建设整改方案，开展信息安全等级保护安全技术措施建设。经测评未达到安全保护要求的，要根据测评报告中的改进建议，制定整改方案并进一步进行整改。

4.等级测评

等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。选择由省级（含）以上信息安全等级保护工作协调小组办公室审核并备案的测评机构，对第三级（含）以上信息系统开展等级测评工作。等级测评机构依据《信息系统安全等级保护测评要求》等标准对信息系统进行测评，对照相应等级安全保护要求进行差距分析，排查系统安全漏洞和隐患并分析其风险，提出改进建议，按照公安部制订的信息系统安全等级测评报告格式编制

4.理解和看法

等保2.0不仅适用于传统的信息系统，还涵盖了新兴的信息技术应用，如云计算平台、大数据中心、物联网系统和工业控制系统等。这些变化体现了我国在网络安全领域不断进步和完善的努力，以应对日益复杂的网络安全威胁。

等保2.0作为我国网络安全领域的基本制度，通过引入新的技术和管理方法，提升了整体的网络安全防护水平，并为各类信息系统提供了更为科学和系统的安全保障措施