等保系列(一):网络安全等级保护介绍
一、基本概念
网络安全等级保护(以下简称:等保)是根据《中华人民共和国网络安全法》及配套规定(如《信息安全技术 网络安全等级保护基本要求》等)建立的系统性安全防护机制,要求网络运营者根据信息系统的重要性及受破坏后的影响程度,实施不同等级的安全防护。
二、等保发展历程
1、概念提出与早期探索(1994年-2007年)
- 1994年:国务院发布《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号),首次提出“计算机信息系统实行安全等级保护”的概念,奠定了等保制度的法律基础。
- 1999年:国家发布《计算机信息系统安全保护等级划分准则》(GB 17859-1999),明确将安全保护能力划分为5个等级,成为后续标准制定的技术依据。
- 2003年:中央办公厅、国务院办公厅联合发布《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),明确提出“实行信息安全等级保护”,强化制度方向。
- 2004-2006年:公安部联合多部委开展全国范围的信息系统等级保护基础调查和试点工作,覆盖超6.5万家单位和11.5万个系统,为全面推行等保积累实践经验。
- 2007年:四部门联合发布《信息安全等级保护管理办法》和《关于开展全国重要信息系统安全等级保护定级工作的通知》,标志着等保1.0时代的正式启动。
2、等保1.0时代(2007年-2019年)
- 标准体系建立
- 2008年发布《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)等核心标准,明确了各级系统的安全技术要求。
- 2010年起,公安部推动等级测评体系建设,要求中央企业等重点单位落实等保要求。
- 法律地位确立
2016年《中华人民共和国网络安全法》通过,其第21条明确规定“国家实行网络安全等级保护制度”,等保从政策层面上升为法律义务。
- 技术修订与过渡
2016年公安部启动标准修订工作,提出等保2.0概念,逐步将云计算、物联网等新技术纳入考量。
3、等保2.0时代(2019年至今)
- 新标准发布
2019年5月,国家发布《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)等三项新标准,于同年12月正式实施,标志等保2.0全面落地。
主要变化包括:
- 范围扩展:覆盖云计算、物联网、工业控制、移动互联等新兴领域。
- 数据安全强化:与《数据安全法》《个人信息保护法》衔接,要求全生命周期数据保护。
- 主动防御:从被动合规转向动态监测、应急响应和主动防御机制。
- 监管与执法强化
- 等保测评成为法定要求,三级及以上系统需每年测评,二级系统每两年一次。
- 执法力度加大,未合规企业可能面临高额罚款。
三、等级划分标准
根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或
者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法
权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级:
a) 第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不
危害国家安全、社会秩序和公共利益;
b) 第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害
或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;
c) 第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全
造成危害;
d) 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家
安全造成严重危害;
e) 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害。
参考资料:
(1)GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》