网络安全等级保护解读

网络安全等级保护解读目录0102等保1.0等保2.003个人信息保护01等级保护1.027号文重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。——《国家信息化领导小组关于加强信息安全保障工作的意见》（

中公办发[2003]27号）等级保护1.0标准政策1994年

《中华人民共和国计算机信息系统安全保护条例》的发布1999年

《计算机信息系统安全保护等级划分准则》

GB17859-1999发布2001年

国家发改委“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台建设项目”（1110）工程实施2003年

中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》2004年四部委联合签发了《关于信息安全等级保护工作的实施意见

》等级保护标准政策⚫1994年国务院147号令《中

华人民共和国计算机信息系统安全保护条例》第9条规定：计算机信息系统实行安全等级保护。⚫

1999年

国家标准GB17859参照TCSEC《计算机信息系统安全保护等级划分准则》第一级 用户自主保护级第二级 系统审计保护级第三级 安全标记保护级第四级 结构化保护级第五级 访问验证保护级等级保护标准政策-修订背景⚫2001年国家标准GB/T

18336《信息技术

安全技术

信息技术安全性评估准则》参照CC

即ISO/IEC

154082003年

中办发17号文件提出实行信息安全等级保护的任务2004年

公通字66号文件

公安部、国家保密局、国家密码管理委员会办公室、国务院信息办发布《关于信息安全等级保护工作的实施意见》⚫2007年

公通字[2007]43号文四部门发布《信息安全等级保护管理办法》法律法规法律法规2.1

网络安全法-要求国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务。第二十一条第三十一条国家网络安全等级保护制度（基本制度、基本国策，上升为法律）网络安全法-责任（三）网络运营者，是指网络的所有者、管理者和网络服务提供者。网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。第五十九条第七十三条法律责任用词解释计算机信息系统安全保护条例-责任第二级以上计算机信息系统的运营、使用单位计算机信息系统投入使用前未经符合国家规定的安全等级测评机构测评合格的由公安机关责令限期改正，给予警告；逾期不改的，对单位的主管人员、其他直接责任人员可以处五千元以下罚款，对单位可以处一万五千元以下罚款；有违法所得的，没收违法所得；情节严重的，并给予六个月以内的停止联网、停机整顿的处罚；必要时公安机关可以建议原许可机构撤销许可或者取消联网资格。第四十一条计算机信息系统安全保护条例适用法律条款解释-责任《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》已于2017年3月20日由最高人民法院审判委员会第1712次会议、2017年4月26日由最高人民检察院第十二届检察委员会第63次会议通过，现予发布，自2017年6月1日起施行。最高人民法院

最高人民检察院适用法律条款解释-条款网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”。第五条第九条刑法-条款【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。【侵犯公民个人信息罪】违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。第二百八十六条之一第二百五十三条之一02等级保护2.0新形势、新挑战、新标准大数据、云计算、工业控制系统、物联网、移动互联技术的应用网络攻击形式花样翻新日益严峻的国际形势《信息安全技术

网络安全等级保护基本要求》（GB/T22239-2019）《信息安全技术

网络安全等级保护安全设计技术要求》（GB/T25070-2019）《信息安全技术

网络安全等级保护实施指南》（GBT25058-2019）《信息安全技术

网络安全等级保护测评要求》（GB/T28448-2019）《信息安全技术

网络安全等级保护测评过程指南》（GB

T

28449-2018）《

信息安全技术

网络安全等级保护定级指南》（

GBT

22240-2020

）等保2.0发展历程2016.10郭启全总工指出“国家对网络安全等级保护制度提出了新的要求，等级保护制度已进入2.0时代”2017.1《中华人民共和国网络安全法》正式颁布2017.5《

网络安全等级保护基本要求》系列标准、《

网络安全等级保护测评要求

》系列标准等“征求意见稿”2017.6《网络安全等级保护定级指南》、《网络安全等级保护基本要求

第2

部分：云计算安全扩展要求》等4个公共安全行业等级保护标准。2017.10《网络安全等级保护基本要求

》试行稿2018.11《网络安全等级保护基本要求

》系列标准报批稿2019.5《网络安全等级保护基本要求

》系列标准正式稿信息安全技术网络安全等级保护实施指南2020.3246分等级保护、突出重点、积极防御、综合防护1变被动防护为主动防护，变静态防护为动态防护3推动网络安全产业、企业快速健康发展5等保2.0的工作目标同步规划、同步建设、同步运行关键信息基础设施、重要信息系统和大数据安全重点防护“打防管控”一体化的网络安全综合防御体系等保2.0标准框架网络安全等级保护条例（总要求/上位文件）计算机信息系统安全保护等级划分准则（GB

17859-1999）（上位标准）网络安全等级保护基本要求（GB/T22239-2019）网络安全等级保护基本要求的行业细则网络安全等级保护建设整改基本要求方法指导状态分析安全定级网络安全等级保护测评要求网络安全等级保护测评过程指南网络安全等级保护设计技术要求网络安全等级保护实施指南网络安全等级保护定级指南（GB/T22240-2020）网络安全等级保护行业定级细则定级指南正式发布等保2.0定级对象等级保护对象通信网络设施信息系统传统信息系统工业控制系统云计算平台物联网系统采用移动互联技术信息系统数据定级对象-云计算平台/系统在云计算环境中，将云服务方侧的云计算平台单独作为定级对象，云租户侧的等级保护对象也应作为单独的定级对象。对于大型云计算平台，还要把云计算基础设施和有关辅助服务系统划分为不同的定级对象。定级对象-物联网物联网应作为一个整体对象定级，主要包括感知层、网络传输层和处理应用层等特征要素。定级对象-工业控制系统工业控制系统主要由现场采集/执行、现场控制、过程监控和生产管理等要素构成。现场采集/执行、现场控制和过程监控要求应作为一个整体对象定级，各层次要素不单独定级，生产管理要素宜单独定级。对于大型工业控制系统，可以根据系统功能、控制对象和生产厂商等因素划分为多个定级对象。注：该图为工业控制系统经典层次模型参考IEC

62264-1,

但随着工业4.0、信息物理系统的发展，已不能完全适用，因此对于不同的行业企业实际发展情况，允许部分层级合并。定级对象-采用移动互联技术的系统采用移动互联技术的系统主要包括移动终端、移动应用、无线通道、接入设备以及相关应用系统等特征要求，可作为一个整体独立定级或与相关联业务系统一起定级，各要素不单独定级。通信网络设施对于电信网、广播电视传输网等通信网络设施，宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。跨省的行业或单位的专用通信网可作为一个整体对象定级，或分区域划分为若干个定级对象。数据资源数据资源可独立定级。当安全责任主体相同时，大数据、大数据平台/系统宜作为一个整体对象定级；当安全责任主体不同时，大数据应独立定级。定级对象-通信网络设施和数据资源确定定级对象初步确定等级专家评审主管部门审核公安机关备案审查定级流程初步确定定级对象的安全保护等级确定业务服务安全受到破坏时所侵害的客体综合评定对客体的侵害程度确定系统服务安全保护等级确定业务信息安全受到破坏时所侵害的客体综合评定对客体的侵害程度确定业务信息安全保护等级定级方法确定受侵害的客体定级对象受到破坏时所侵害的客体包括国家安全、社会秩序和公众利益以及公民、法人和其他组织的合法权益。国家安全

>

社会秩序和公共利益

> 公民、法人和其他组织的合法权益定级方法定级方法侵害国家安全的事项包括以下方面：影响国家政权稳固和领土主权、海洋权益完整；影响国家统一、民族团结和社会稳定；影响国家社会主义市场经济秩序和文化实力；其他影响国家安全的事项。侵害公共利益的事项包括以下方面：影响社会成员使用公共设施；影响社会成员获取公开数据资产；影响社会成员接受公共服务等方面；其他影响公共利益的事项。侵害社会秩序的事项包括以下方面：影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序；影响公共场所的活动秩序、公共交通秩序；影响人民群众的生活秩序；其他影响社会秩序的事项。综合判定侵害程度一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害；严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害；特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。定级方法确定安全保护等级根据等级保护相关管理文件，等级保护对象的安全保护等级分为五个等级：受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级推荐级别安全保护等级初步确定为第二级及以上的，定级对象的网络运营者需组织信息安全专家对定级结果的合理性进行评审，并出具专家评审意见。有行业主管(监管)部门的,还需将定级结果报请行业主管(监管)部门核准,并出具核准意见。最后,定级结果提交公安机关进行备案审核。审核不通过,