一、基本概念

网络安全等级保护（以下简称：等保）是根据《中华人民共和国网络安全法》及配套规定（如《信息安全技术 网络安全等级保护基本要求》等）建立的系统性安全防护机制，要求网络运营者根据信息系统的重要性及受破坏后的影响程度，实施不同等级的安全防护。

二、等保发展历程

1.概念提出与早期探索（1994年-2007年）

（1）1994年：国务院发布《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号），首次提出“计算机信息系统实行安全等级保护”的概念，奠定了等保制度的法律基础。

（2）1999年：国家发布《计算机信息系统安全保护等级划分准则》（GB 17859-1999），明确将安全保护能力划分为5个等级，成为后续标准制定的技术依据。

（3）2003年：中央办公厅、国务院办公厅联合发布《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号），明确提出“实行信息安全等级保护”，强化制度方向。

（4）2004-2006年：公安部联合多部委开展全国范围的信息系统等级保护基础调查和试点工作，覆盖超6.5万家单位和11.5万个系统，为全面推行等保积累实践经验。

（5）2007年：四部门联合发布《信息安全等级保护管理办法》和《关于开展全国重要信息系统安全等级保护定级工作的通知》，标志着等保1.0时代的正式启动。

2.等保1.0时代（2007年-2019年）

（1）标准体系建立2008年发布《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）等核心标准，明确了各级系统的安全技术要求。2010年起，公安部推动等级测评体系建设，要求中央企业等重点单位落实等保要求。

（2）法律地位确立2016年《中华人民共和国网络安全法》通过，其第21条明确规定“国家实行网络安全等级保护制度”，等保从政策层面上升为法律义务。

（3）技术修订与过渡2016年公安部启动标准修订工作，提出等保2.0概念，逐步将云计算、物联网等新技术纳入考量。

3.等保2.0时代（2019年-至今）

（1）新标准发布2019年5月，国家发布《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）等三项新标准，于同年12月正式实施，标志等保2.0全面落地。主要变化包括：范围扩展：覆盖云计算、物联网、工业控制、移动互联等新兴领域。数据安全强化：与《数据安全法》《个人信息保护法》衔接，要求全生命周期数据保护。主动防御：从被动合规转向动态监测、应急响应和主动防御机制。

（2）监管与执法强化等保测评成为法定要求，三级及以上系统需每年测评，二级系统每两年一次。执法力度加大，未合规企业可能面临高额罚款。

三、等级划分标准

根据等级保护对象在国家安全、经济建设、社会生活中的重要程度，以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素，等级保护对象的安全保护等级分为以下五级：

（1）第一级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益；

（2）第二级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全；

（3）第三级，等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危害，或者对国家安全造成危害；

（4）第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害；

（5）第五级，等级保护对象受到破坏后，会对国家安全造成特别严重危害。

四、等保的五个步骤

1.系统定级

明确系统的安全保护等级。

2.系统备案

向公安机关提交系统定级信息，完成备案。

3.建设整改

对标等保要求，补齐安全短板。

差距分析：依据等保2.0的安全通用要求和扩展要求，评估现有防护措施差距。

技术整改：部署防火墙、入侵检测系统（IDS）、日志审计等安全设备。

管理整改：建立安全管理制度。

实施整改：完成设备部署、策略配置、漏洞修复及制度落地。

4.等级测评

通过第三方测评验证系统合规性。

技术测评：渗透测试、漏洞扫描、配置核查（如身份鉴别策略、访问控制）。

管理测评：检查制度文档、应急演练记录、人员培训记录等。

5.监督检查

持续保障系统安全，满足动态合规。

年度复测：三级及以上系统每年一次测评，二级系统每两年一次测评。

执法检查：公安机关或行业主管单位随机抽查，重点核查日志留存（≥6个月）、整改记录、应急预案等。

总结

定级是基础，备案是法律义务，整改是达标关键，测评是合规验证，监督是长效保障。