第二节 网络安全等级保护制度概述

一、网络安全等级保护制度1.0时代

《网络安全法》颁布之前，我国许多规范、文件及标准中已经有对于网络安全等级保护制度的具体规定，但这一时期立法相对分散，立法层级较低，可以称之为网络安全等级保护制度1.0时代。

法规政策层面，网络安全等级保护制度初具体系。1994年，国务院颁布的《计算机信息系统安全保护条例》（国务院令第147号）第九条首次明确提出计算机信息系统实行安全等级保护，为我国信息系统实行等级保护提供了法律依据。2003年，国家信息化领导小组发布《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号），将信息安全等级保护作为国家信息安全保障工作的重中之重，明确指出，信息化发展的不同阶段和不同的信息系统，有着不同的安全需求，要综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理。2004年，公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室关于印发《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），对信息安全等级保护的基本制度框架进行了规划。根据信息及信息系统的重要程度和危害程度将信息和信息系统的安全保护等级划分为五级：自主保护级、指导保护级、监督保护级、强制保护级、专控保护级。2007年，公安部、国家保密局、国家密码管理局、国务院信息工作办公室联合发布了《信息安全等级保护管理办法》，对信息安全等级保护制度做了较为具体的规定，提出了影响信息安全保护等级定级的两个影响因素：信息系统在国家安全、经济建设、社会生活中的重要程度；信息系统遭到破坏后对国家安全、社会秩序、公共利益，以及公民、法人和其他组织的合法权益的危害程度，并依据上述因素将信息系统的安全保护等级由低到高划分为五个等级。同年，公安部发布的《信息安全等级保护备案实施细则》（公信安[2007]1360号）对等级保护的工作做出了具体规定。

标准化层面，网络安全等级制度的标准建设工作初具规模。1999年，国家质量技术监督局发布强制性标准《计算机信息系统安全保护等级划分准则》（GB17859—1999）。该标准将计算机系统安全保护能力划分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级五个等级，并提出了适用于计算机信息系统安全保护技术能力等级的划分准则，为等级划分和保护奠定了技术基础。之后我国在《计算机信息系统安全保护等级划分准则》（GB17859—1999）的基础上进行了进一步的细化和扩展，相继出台了一系列的国家标准。2008年颁布的《信息系统安全等级保护基本要求》（GB/T 22239—2008）提出和规定了不同安全保护等级信息系统的最低技术和管理保护要求，将基本技术要求细分为信息安全类要求、服务保证类要求和通用安全保护类要求。《信息安全技术 信息系统安全等级保护定级指南》（GB/T 22240—2008）明确了信息安全的等级、定级要素、定级方法，并对定级要素的判定基准进行了细化。2010年发布的《信息安全技术 信息系统安全等级保护实施指南》（GB/T 25058—2010）提出了实施等级保护的四大基本原则：自主保护原则、重点保护原则、同步建设原则、动态调整原则。将信息系统安全等级保护实施的过程划分为信息系统定级阶段、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止五个阶段，并规定了各阶段实施等级保护制度的要求。《信息安全技术 信息系统等级保护安全设计技术要求》（GB/T 25070—2010）规定了信息系统等级保护安全设计技术要求，包括第一级至第五级系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求，以及定级系统互联的设计技术要求。2012年发布的《信息安全技术 信息系统安全等级保护测评要求》（GB/T 28448—2012）、《信息安全技术 信息系统安全等级保护测评过程指南》（GB/T 28449—2012）对网络安全等级测评工作做出了细化规定。

二、网络安全等级保护制度2.0时代

进入新时期以来，中共中央办公厅、国务院办公厅《关于加强社会治安防控体系建设的意见》、《关于全面深化公安改革若干重大问题的框架意见》等文件中明确提出“健全网络安全等级保护制度”, 《国家信息化发展战略纲要》、《国家网络空间安全战略》等战略中对等级保护工作提出了新要求，《网络安全法》从基本法层面确定了国家网络安全等级保护制度。以上文件法律的新要求标志着网络安全等级保护制度进入2.0时代，网络安全等级保护制度成为一个全新的国家网络安全基本制度体系，现阶段亟须进一步完善新的网络安全等级保护政策体系、标准规范体系、技术支撑体系、教育训练体系、等级测评体系和人才队伍体系等。

以标准规范体系为例，随着信息技术的迅速发展，云计算、大数据、物联网等新技术、新应用面临着更为复杂的网络安全环境，一些旧有的制度标准已经无法满足防护要求，原有的标准在适用性、时效性、易用性、可操作性等方面需要进一步完善。《网络安全法》出台以后，与网络安全等级保护制度配套的国家标准的制定和修订工作也在加紧推进中。全国信息标准委员会发布了一系列相关的征求意见稿。这些征求意见稿中的规定回应了时代和技术的要求。

这些征求意见稿大体可以分为两类：一类是对现有的标准进行修改和细化，例如，《信息安全技术 网络安全等级保护实施指南（征求意见稿）》即对《信息安全技术 信息系统安全等级保护实施指南》（GB/T 25058—2010）的修改和完善，《信息安全技术 网络安全等级保护基本要求 第1部分 安全通用要求（征求意见稿）》即对《信息系统安全等级保护基本要求》（GB/T 22239—2008）的修订。另一类是对网络安全等级保护1.0时代还没有关注、没有涉及的领域——云计算、移动互联网、物联网、工业控制系统及大数据环境下的等级保护制度做出规定，例如，《信息安全技术 网络安全等级保护基本要求 第2部分：云计算安全扩展要求（征求意见稿）》、《信息安全技术 网络安全等级保护基本要求 第3部分：移动互联安全扩展要求（征求意见稿）》、《信息安全技术 网络安全等级保护基本要求第4部分：物联网安全扩展要求（征求意见稿）》等。

三、网络安全等级保护实施的工作流程

网络安全等级保护工作实施的主要环节包括定级备案、建设整改、等级测评和监督检查。《信息安全等级保护管理办法》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》等规定和标准规定了各等级信息系统的保护措施，明确了对信息系统的定级、备案、测评、整改流程，以及安全管理要求和安全技术要求。

（一）定级备案

定级备案，即根据信息、信息系统的重要程度和信息系统遭到破坏后对国家安全、社会秩序、公共利益，以及公民、法人和其他组织的合法权益的危害程度，经公安机关审核把关，合理确定信息系统的安全保护等级。定级备案的主要依据是《信息安全等级保护管理办法》、《关于开展全国重要信息系统安全等级保护定级工作的通知》等规范性文件和《信息系统安全等级保护定级指南》等国家标准。一些行业主管部门依据上述文件和标准，结合行业实际，制定了更加具体的定级实施细则，用于指导全行业开展定级工作，这些实施细则可以作为该行业定级工作的依据。

定级备案环节包括了定级和备案两项工作。定级是指安全等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益，以及公民、法人和其他组织的合法权益的危害程度等确定安全保护等级。影响定级的两个影响因素为重要程度和危害程度。其中危害程度考量的因素为公民、法人和其他组织的合法权益，社会秩序、公共利益，以及国家安全。依据上述因素，《信息安全技术 信息系统安全等级保护定级指南》（GB/T 22240—2008）将安全保护等级由低到高划分为五个等级。定级要素与安全保护等级的关系如表5-1所示。

需要注意的是《信息安全技术 网络安全等级保护基本要求 第1部分：安全通用要求（征求意见稿）》对GB/T 22240—2008做了一定的修改。根据后者的规定，遭到破坏后会对公民、法人和其他组织的合法权益造成损害的安全等级保护对象的安全保护等级最高为第二级，但《信息安全技术 网络安全等级保护基本要求 第1部分：安全通用要求（征求意见稿）》将遭到破坏后会对公民、法人和其他组织的合法权益造成特别严重损害的安全等级保护对象的安全保护等级规定为第三级。

定级是等级保护工作的首要环节和关键环节，是开展系统备案、建设整改、等级测评和监督检查等工作的重要基础。系统安全级别定级不准，系统备案、建设整改、等级测评等后续工作会失去基础，需做到科学、合理、准确定级。实践中，在定级对象和保护等级的选取上需注意以下内容：第一，起支撑、传输作用的基础网络（包括专网、内网、外网、网管系统）是定级对象，可从安全管理和安全责任角度将基础网络划分为若干安全域定级；第二，用于生产、调度、管理、作业、指挥、办公等目的的各类业务应用系统，按照不同业务类别单独确定为定级对象；第三，单位、部门的门户网站，以及对外提供信息发布、内容服务的政务公开平台等应作为独立的定级对象；第四，对于云平台、大数据、工业控制系统、物联网、移动互联网、卫星系统等，要合理确定定级对象，科学确定保护等级。

网络运营者完成定级后，还应当根据有关规定进行备案。根据公安部2007年发布的《信息安全等级保护备案实施细则》（公信安[2007]1360号）的规定，公安机关公共信息网络安全监察部门为定级工作的备案单位。信息系统运营、使用单位或其主管部门应当在信息系统安全保护等级确定后30日内，到公安机关公共信息网络安全监察部门办理备案手续。《信息安全等级保护管理办法》规定信息系统运营、使用单位应当根据已经确定的安全保护等级，到公安机关办理备案手续；《信息安全技术 网络安全等级保护基本要求 第1部分：安全通用要求（征求意见稿）》也规定了网络运营者的网络安全保护等级定级工作完成后，运营、使用单位有主管部门的，应当经主管部门审核、批准，并报公安机关备案审查。

（二）建设整改

系统安全保护等级确定后，网络运营者根据信息系统的安全级别为信息系统选择最低安全控制措施，并在信息系统中实现这些安全技术措施和管理措施，确保信息系统具有与其安全级别对应的安全保护能力，建设整改工作是网络安全等级保护制度的核心和落脚点。

建设整改的主要依据是《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）、《信息安全等级保护安全建设整改工作指南》等规范性文件和《信息系统安全等级保护基本要求》、《信息系统安全管理要求》、《信息系统安全等级保护实施指南》、《信息系统安全工程管理要求》、《信息系统通用安全技术要求》、《信息系统等级保护安全设计技术要求》等国家标准。

（三）等级测评

等级测评是等级保护工作的重要环节，网络运营者通过委托等级测评机构开展等级测评，可以查找系统安全隐患和薄弱环节，明确系统与相应等级标准要求的差距和不足，有针对性地进行安全建设整改。等级测评机构是指具备《信息安全等级保护测评工作管理规范》确定的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室推荐，从事等级测评工作的机构。等级测评作为特殊的安全服务，对于检验网络运营者安全保护措施落实情况，促进其不断优化和改进安全保护状况，提升我国网络安全总体防护水平具有十分重要的意义。2010年，公安部在2009年试点工作基础上，正式开展测评机构推荐工作。截至2016年年底，全国共审核推荐了156家等级测评机构。

等级测评的主要依据是《信息安全等级保护管理办法》、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号），附件包含《信息安全等级保护测评工作管理规范》、《关于印发〈信息系统安全等级测评报告模版（试行）〉的通知》（公信安[2009]1487号）等规范性文件和《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》等国家标准。

（四）监督检查

为规范公安机关开展等级保护检查工作，公安部十一局根据《信息安全等级保护管理办法》制定了《公安机关信息安全等级保护检查工作规范（试行）》，会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查，对第三级信息系统的运营使用单位信息安全等级保护工作每年检查一次，对第四级信息系统的运营使用单位信息安全等级保护工作每半年检查一次，确保网络安全等级保护工作落到实处。公安机关检查内容包括等级保护工作部署和组织情况、信息系统安全等级保护定级备案情况、信息安全设施建设情况和信息安全整改情况、信息安全管理制度建立和落实情况、信息安全产品选择和使用情况、聘请测评机构开展技术测评工作情况、定期自查情况等。