网络安全等级保护2.0概述

网络等级保护的意义

等保2.0新标准已于2019年5月10日正式发布，包括三大标准：GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》，标志着等保2.0标准正式落地。建立和落实网络安全等级保护制度是形势所迫、国情所需。随着我国信息化进程的全面加快，全社会特别是重要行业、重要领域对基础信息网络和重要信息系统的依赖程度越来越高，基础信息网络和重要信息系统的安全性直接关系到国家安全、公共安全、社会公众利益。网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策，作为我国非涉密领域的网络安全基本防护框架，在应对新形势、满足新要求、针对新风险、扩大新内容方面，从政策、标准体系层面都迈入2.0时代。

网络安全等级保护是当今发达国家保护关键信息基础设施、保障网络安全的通行做法，也是我国多年来网络安全工作经验的总结。通过开展网络安全等级保护工作，有限的财力、物力、人力投入到国家关键信息基础设施安全保护中，可有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统、大数据等的安全。等保2.0的适时推出，体现国家积极应对新技术引发的新风险，变被动防御为主动保障，解决我国网络安全面临的威胁和存在的主要问题。

> 等级保护的核心内容包括三方面：

1、保护范围：包括了计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换和处理的系统。主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。

2、监管对象：网络基础设施、信息系统、网站、数据资源、云计算、物联网、移动互联网、工控系统、公众服务平台、智能设备等全部纳入等级保护和安全监管。

3、重点措施：风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等重点措施全部纳入等级保护制度并实施。

网络安法等保条例与等保的关系

《网络安全法》于2017年6月1日正式施行，这是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑。该法的发布也标志着国家网络安全等级保护工作正式进入2.0时代。

等保条例作为网络安全法的内容细化，在操作性、指导性和强制性力度方面更好。

网络安全法与等级保护：

（1）《网络安全法》明确了等级保护制度的法律地位，第二十一条： 国家实行网络安全等级保护制度。

（2）《网络安全法》从法律角度梳理出等级保护工作的重点和核心。

1、关键信息基础设施在等级保护基础上施行重点保护。《网络安全法》第三十一条提到的关键信息基础设施（国家公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域），在网络安全等级保护制度的基础上，实行重点保护。依据国家互联网信息办公室已于2017年7月发布《关键信息基础设施安全保护条例（征求意见稿）》，结合《关键信息基础设施安全保护操作指南》列举的网站类、平台类、生产业务类三种具体情况的相应量化标准，关键信息基础设施的认定可参照下表：

2、明确关键信息基础设施安全保护义务。第三十四条：运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等。第三十七条：数据境内存储。境内收集产生的个人信息和重要数据应当在境内存储。确需向境外提供的，应进行安全评估。第三十八条：风险评估。运营者每年至少组织一次安全风险检测评估，并评估情况和改进措施报相关部门。

等级保护条例与等级保护：

（1）等级保护条例明确了适用范围。第二条：在中华人民共和国境内建设、运营、维护、使用网络，开展网络安全等级保护工作以及监督管理，适用本条例。个人及家庭自建自用的网络除外。

（2）等保条例在《网络安全法》针对关键信息基础设施重点保护基础上，通过第二十条、第二十一条，进一步明确了网络运营者应当履行的“一般保护义务”义务，以及“特殊安全保护义务”。

在“一般保护义务”中，有11条内容，其中对数据分类、重要数据备份和加密、个人信息保护、违法信息阻断和消除、查验用户真实身份、案事件报告等内容较为瞩目。

在“特殊安全保护义务”中，要求第三级（含）以上网络运营者除了遵守第20条外，额外增加8条义务。比较引人关注的是在明确责任人基础上确定安全管理机构，在建立工作责任制的基础上建立关键事项逐级审批制度。此外，强调安全总体规划和安全防护策略的重要性，安全建设方案需要评审。落实责任制基础上对负责人和关键岗位做人员背景调查。建态势感知，建安管平台而且要与公安对接数据。

（3）等保条例将公司、法人和其他组织的合法利益“在造成特别严重损害”的情况下应采取的保护等级，从之前的等级保护第二级提高到第三级。

（4）等保条例明确加强对等级保护支持和保障（投入预算）。国家鼓励利用新技术、新应用开展网络安全等级保护管理和技术防护，采取主动防御、可信计算、人工智能等技术。

等保管理组织

中央网络安全和信息化领导机构统一领导网络安全等级保护工作，国家网信部门负责网络安全等级保护工作的统筹协调。

国务院公安部门主管网络安全等级保护工作，负责网络安全等级保护工作的监督管理，依法组织开展网络安全保卫。

国家保密行政管理部门主管涉密网络分级保护工作，负责网络安全等级保护工作中有关保密工作的监督管理。

国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理。

国务院其他有关部门依照有关法律法规的规定，在各自职责范围内开展网络安全等级保护相关工作。