（三）网络安全等级保护标准体系

网络安全等级保护工作的开展，离不开各类标准的支持。围绕网络安全等级保护定级、备案、建设整改、等级测评等工作，有关部门制定了一系列的标准，主要包括等级划分标准、系统定级标准、建设实施标准、等级测评标准、重要行业标准等。

1．等级划分标准

《计算机信息系统 安全保护等级划分准则》（GB 17859—1999）规定了安全等级的划分标准，是等级保护领域的一项强制性标准。该标准将安全等级分为5级，分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。

2．系统定级标准

系统定级是开展等级保护的首要工作，《信息安全技术 网络安全等级保护定级指南》（GB/T 22240—2020）对定级工作进行了详细描述，规定了定级的方法和流程，包括定级原理和流程、确定定级对象、确定安全保护等级等内容。

3．建设实施标准

为使系统建成后满足等级保护的要求，有关部门对系统的设计、建设实施等过程都制定了相应的标准。

《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T 25070—2019）规定了不同等级系统在安全设计方面的要求，给出了安全通用要求及云计算、移动互联网、物联网、工业控制系统安全扩展要求的等级保护安全设计框架，并从设计目标、设计策略、技术要求3个方面对不同等级系统的安全设计给出相应的标准要求。

《信息安全技术 网络安全等级保护基本要求》（GB/T 22239—2019，以下简称《网络安全等级保护基本要求》）规定了不同等级系统所要遵循的安全保护要求（即不同等级系统的安全基线），主要分为安全通用要求和安全扩展要求，从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面提出不同的要求，如图2-1所示。

《信息安全技术 网络安全等级保护实施指南》（GB/T 25058—2019）规定了等级保护对象实施网络安全等级保护工作的过程，主要包括定级与备案、总体安全规划、安全设计与实施、安全运行与维护、定级对象终止等工作的流程和要求。

图2-1　《网络安全等级保护基本要求》概览

4．等级测评标准

网络安全等级保护测评是等级保护工作的重要组成部分，国家对测评内容、测评过程均制定了相应的标准。

在测评内容方面，《信息安全技术 网络安全等级保护测评要求》（GB/T 28448—2019）规定了针对不同等级信息系统的测评指标要求，包括安全通用要求和云计算、移动互联网、物联网、工业控制系统等安全扩展要求。

在测评过程方面，《信息安全技术 网络安全等级保护测评过程指南》（GB/T 28449—2018）规范了等级测评工作过程，规定了测评活动及工作任务，主要包括测评准备活动、方案编制活动、现场测评活动、报告编制活动等。

5．重要行业标准

电力、金融等重要行业主管部门根据行业特点，在相关通用国家标准的基础上，分别制定了行业的标准。因此，在这些重要行业中，开展网络安全等级保护工作不仅要遵循通用国家标准，也要遵循行业标准。

在电力行业中，《电力信息系统安全等级保护实施指南》（GB/T 37138—2018）结合电力信息系统的特点，提出了电力行业等级保护实施指南，包括定级备案、测评与评估、安全整改、退运等内容。

在金融行业中，《金融行业网络安全等级保护测评指南》（JR/T 0072—2020）和《金融行业网络安全等级保护实施指引》（JR/T 0071—2020）两项标准则规定了金融行业等级保护测评工作的流程和方法。