網(wǎng)絡(luò)安全等級(jí)保護(hù)解讀

網(wǎng)絡(luò)安全等級(jí)保護(hù)解讀目錄0102等保1.0等保2.003個(gè)人信息保護(hù)01等級(jí)保護(hù)1.027號(hào)文重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南?！秶倚畔⒒I(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（

中公辦發(fā)[2003]27號(hào)）等級(jí)保護(hù)1.0標(biāo)準(zhǔn)政策1994年

《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》的發(fā)布1999年

《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》

GB17859-1999發(fā)布2001年

國家發(fā)改委“計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)評(píng)估體系及互聯(lián)網(wǎng)絡(luò)電子身份管理與安全保護(hù)平臺(tái)建設(shè)項(xiàng)目”（1110）工程實(shí)施2003年

中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》2004年四部委聯(lián)合簽發(fā)了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見

》等級(jí)保護(hù)標(biāo)準(zhǔn)政策?1994年國務(wù)院147號(hào)令《中

華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第9條規(guī)定：計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。?

1999年

國家標(biāo)準(zhǔn)GB17859參照TCSEC《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》第一級(jí) 用戶自主保護(hù)級(jí)第二級(jí) 系統(tǒng)審計(jì)保護(hù)級(jí)第三級(jí) 安全標(biāo)記保護(hù)級(jí)第四級(jí) 結(jié)構(gòu)化保護(hù)級(jí)第五級(jí) 訪問驗(yàn)證保護(hù)級(jí)等級(jí)保護(hù)標(biāo)準(zhǔn)政策-修訂背景?2001年國家標(biāo)準(zhǔn)GB/T

18336《信息技術(shù)

安全技術(shù)

信息技術(shù)安全性評(píng)估準(zhǔn)則》參照CC

即ISO/IEC

154082003年

中辦發(fā)17號(hào)文件提出實(shí)行信息安全等級(jí)保護(hù)的任務(wù)2004年

公通字66號(hào)文件

公安部、國家保密局、國家密碼管理委員會(huì)辦公室、國務(wù)院信息辦發(fā)布《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》?2007年

公通字[2007]43號(hào)文四部門發(fā)布《信息安全等級(jí)保護(hù)管理辦法》法律法規(guī)法律法規(guī)2.1

網(wǎng)絡(luò)安全法-要求國家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)。第二十一條第三十一條國家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度（基本制度、基本國策，上升為法律）網(wǎng)絡(luò)安全法-責(zé)任（三）網(wǎng)絡(luò)運(yùn)營者，是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。網(wǎng)絡(luò)運(yùn)營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。第五十九條第七十三條法律責(zé)任用詞解釋計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例-責(zé)任第二級(jí)以上計(jì)算機(jī)信息系統(tǒng)的運(yùn)營、使用單位計(jì)算機(jī)信息系統(tǒng)投入使用前未經(jīng)符合國家規(guī)定的安全等級(jí)測評(píng)機(jī)構(gòu)測評(píng)合格的由公安機(jī)關(guān)責(zé)令限期改正，給予警告；逾期不改的，對(duì)單位的主管人員、其他直接責(zé)任人員可以處五千元以下罰款，對(duì)單位可以處一萬五千元以下罰款；有違法所得的，沒收違法所得；情節(jié)嚴(yán)重的，并給予六個(gè)月以內(nèi)的停止聯(lián)網(wǎng)、停機(jī)整頓的處罰；必要時(shí)公安機(jī)關(guān)可以建議原許可機(jī)構(gòu)撤銷許可或者取消聯(lián)網(wǎng)資格。第四十一條計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例適用法律條款解釋-責(zé)任《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》已于2017年3月20日由最高人民法院審判委員會(huì)第1712次會(huì)議、2017年4月26日由最高人民檢察院第十二屆檢察委員會(huì)第63次會(huì)議通過，現(xiàn)予發(fā)布，自2017年6月1日起施行。最高人民法院

最高人民檢察院適用法律條款解釋-條款網(wǎng)絡(luò)服務(wù)提供者拒不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，致使用戶的公民個(gè)人信息泄露，造成嚴(yán)重后果的，應(yīng)當(dāng)依照刑法第二百八十六條之一的規(guī)定，以拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪定罪處罰。非法獲取、出售或者提供公民個(gè)人信息，具有下列情形之一的，應(yīng)當(dāng)認(rèn)定為刑法第二百五十三條之一規(guī)定的“情節(jié)嚴(yán)重”。第五條第九條刑法-條款【拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪】網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金?！厩址腹駛€(gè)人信息罪】違反國家有關(guān)規(guī)定，向他人出售或者提供公民個(gè)人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。第二百八十六條之一第二百五十三條之一02等級(jí)保護(hù)2.0新形勢、新挑戰(zhàn)、新標(biāo)準(zhǔn)大數(shù)據(jù)、云計(jì)算、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)技術(shù)的應(yīng)用網(wǎng)絡(luò)攻擊形式花樣翻新日益嚴(yán)峻的國際形勢《信息安全技術(shù)

網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）《信息安全技術(shù)

網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T25070-2019）《信息安全技術(shù)

網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》（GBT25058-2019）《信息安全技術(shù)

網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求》（GB/T28448-2019）《信息安全技術(shù)

網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)過程指南》（GB

T

28449-2018）《

信息安全技術(shù)

網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》（

GBT

22240-2020

）等保2.0發(fā)展歷程2016.10郭啟全總工指出“國家對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度提出了新的要求，等級(jí)保護(hù)制度已進(jìn)入2.0時(shí)代”2017.1《中華人民共和國網(wǎng)絡(luò)安全法》正式頒布2017.5《

網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》系列標(biāo)準(zhǔn)、《

網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求

》系列標(biāo)準(zhǔn)等“征求意見稿”2017.6《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

第2

部分：云計(jì)算安全擴(kuò)展要求》等4個(gè)公共安全行業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn)。2017.10《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

》試行稿2018.11《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

》系列標(biāo)準(zhǔn)報(bào)批稿2019.5《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

》系列標(biāo)準(zhǔn)正式稿信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南2020.3246分等級(jí)保護(hù)、突出重點(diǎn)、積極防御、綜合防護(hù)1變被動(dòng)防護(hù)為主動(dòng)防護(hù)，變靜態(tài)防護(hù)為動(dòng)態(tài)防護(hù)3推動(dòng)網(wǎng)絡(luò)安全產(chǎn)業(yè)、企業(yè)快速健康發(fā)展5等保2.0的工作目標(biāo)同步規(guī)劃、同步建設(shè)、同步運(yùn)行關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)和大數(shù)據(jù)安全重點(diǎn)防護(hù)“打防管控”一體化的網(wǎng)絡(luò)安全綜合防御體系等保2.0標(biāo)準(zhǔn)框架網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（總要求/上位文件）計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB

17859-1999）（上位標(biāo)準(zhǔn)）網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T22239-2019）網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求的行業(yè)細(xì)則網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)整改基本要求方法指導(dǎo)狀態(tài)分析安全定級(jí)網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)過程指南網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南（GB/T22240-2020）網(wǎng)絡(luò)安全等級(jí)保護(hù)行業(yè)定級(jí)細(xì)則定級(jí)指南正式發(fā)布等保2.0定級(jí)對(duì)象等級(jí)保護(hù)對(duì)象通信網(wǎng)絡(luò)設(shè)施信息系統(tǒng)傳統(tǒng)信息系統(tǒng)工業(yè)控制系統(tǒng)云計(jì)算平臺(tái)物聯(lián)網(wǎng)系統(tǒng)采用移動(dòng)互聯(lián)技術(shù)信息系統(tǒng)數(shù)據(jù)定級(jí)對(duì)象-云計(jì)算平臺(tái)/系統(tǒng)在云計(jì)算環(huán)境中，將云服務(wù)方側(cè)的云計(jì)算平臺(tái)單獨(dú)作為定級(jí)對(duì)象，云租戶側(cè)的等級(jí)保護(hù)對(duì)象也應(yīng)作為單獨(dú)的定級(jí)對(duì)象。對(duì)于大型云計(jì)算平臺(tái)，還要把云計(jì)算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級(jí)對(duì)象。定級(jí)對(duì)象-物聯(lián)網(wǎng)物聯(lián)網(wǎng)應(yīng)作為一個(gè)整體對(duì)象定級(jí)，主要包括感知層、網(wǎng)絡(luò)傳輸層和處理應(yīng)用層等特征要素。定級(jí)對(duì)象-工業(yè)控制系統(tǒng)工業(yè)控制系統(tǒng)主要由現(xiàn)場采集/執(zhí)行、現(xiàn)場控制、過程監(jiān)控和生產(chǎn)管理等要素構(gòu)成?，F(xiàn)場采集/執(zhí)行、現(xiàn)場控制和過程監(jiān)控要求應(yīng)作為一個(gè)整體對(duì)象定級(jí)，各層次要素不單獨(dú)定級(jí)，生產(chǎn)管理要素宜單獨(dú)定級(jí)。對(duì)于大型工業(yè)控制系統(tǒng)，可以根據(jù)系統(tǒng)功能、控制對(duì)象和生產(chǎn)廠商等因素劃分為多個(gè)定級(jí)對(duì)象。注：該圖為工業(yè)控制系統(tǒng)經(jīng)典層次模型參考IEC

62264-1,

但隨著工業(yè)4.0、信息物理系統(tǒng)的發(fā)展，已不能完全適用，因此對(duì)于不同的行業(yè)企業(yè)實(shí)際發(fā)展情況，允許部分層級(jí)合并。定級(jí)對(duì)象-采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)主要包括移動(dòng)終端、移動(dòng)應(yīng)用、無線通道、接入設(shè)備以及相關(guān)應(yīng)用系統(tǒng)等特征要求，可作為一個(gè)整體獨(dú)立定級(jí)或與相關(guān)聯(lián)業(yè)務(wù)系統(tǒng)一起定級(jí)，各要素不單獨(dú)定級(jí)。通信網(wǎng)絡(luò)設(shè)施對(duì)于電信網(wǎng)、廣播電視傳輸網(wǎng)等通信網(wǎng)絡(luò)設(shè)施，宜根據(jù)安全責(zé)任主體、服務(wù)類型或服務(wù)地域等因素將其劃分為不同的定級(jí)對(duì)象?？缡〉男袠I(yè)或單位的專用通信網(wǎng)可作為一個(gè)整體對(duì)象定級(jí)，或分區(qū)域劃分為若干個(gè)定級(jí)對(duì)象。數(shù)據(jù)資源數(shù)據(jù)資源可獨(dú)立定級(jí)。當(dāng)安全責(zé)任主體相同時(shí)，大數(shù)據(jù)、大數(shù)據(jù)平臺(tái)/系統(tǒng)宜作為一個(gè)整體對(duì)象定級(jí)；當(dāng)安全責(zé)任主體不同時(shí)，大數(shù)據(jù)應(yīng)獨(dú)立定級(jí)。定級(jí)對(duì)象-通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源確定定級(jí)對(duì)象初步確定等級(jí)專家評(píng)審主管部門審核公安機(jī)關(guān)備案審查定級(jí)流程初步確定定級(jí)對(duì)象的安全保護(hù)等級(jí)確定業(yè)務(wù)服務(wù)安全受到破壞時(shí)所侵害的客體綜合評(píng)定對(duì)客體的侵害程度確定系統(tǒng)服務(wù)安全保護(hù)等級(jí)確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體綜合評(píng)定對(duì)客體的侵害程度確定業(yè)務(wù)信息安全保護(hù)等級(jí)定級(jí)方法確定受侵害的客體定級(jí)對(duì)象受到破壞時(shí)所侵害的客體包括國家安全、社會(huì)秩序和公眾利益以及公民、法人和其他組織的合法權(quán)益。國家安全

>

社會(huì)秩序和公共利益

> 公民、法人和其他組織的合法權(quán)益定級(jí)方法定級(jí)方法侵害國家安全的事項(xiàng)包括以下方面：影響國家政權(quán)穩(wěn)固和領(lǐng)土主權(quán)、海洋權(quán)益完整；影響國家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)穩(wěn)定；影響國家社會(huì)主義市場經(jīng)濟(jì)秩序和文化實(shí)力；其他影響國家安全的事項(xiàng)。侵害公共利益的事項(xiàng)包括以下方面：影響社會(huì)成員使用公共設(shè)施；影響社會(huì)成員獲取公開數(shù)據(jù)資產(chǎn)；影響社會(huì)成員接受公共服務(wù)等方面；其他影響公共利益的事項(xiàng)。侵害社會(huì)秩序的事項(xiàng)包括以下方面：影響國家機(jī)關(guān)、企事業(yè)單位、社會(huì)團(tuán)體的生產(chǎn)秩序、經(jīng)營秩序、教學(xué)科研秩序、醫(yī)療衛(wèi)生秩序；影響公共場所的活動(dòng)秩序、公共交通秩序；影響人民群眾的生活秩序；其他影響社會(huì)秩序的事項(xiàng)。綜合判定侵害程度一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財(cái)產(chǎn)損失，有限的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較低損害；嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的財(cái)產(chǎn)損失，較大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較嚴(yán)重?fù)p害；特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的財(cái)產(chǎn)損失，大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成非常嚴(yán)重?fù)p害。定級(jí)方法確定安全保護(hù)等級(jí)根據(jù)等級(jí)保護(hù)相關(guān)管理文件，等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)分為五個(gè)等級(jí)：受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國家安全第三級(jí)第四級(jí)第五級(jí)推薦級(jí)別安全保護(hù)等級(jí)初步確定為第二級(jí)及以上的，定級(jí)對(duì)象的網(wǎng)絡(luò)運(yùn)營者需組織信息安全專家對(duì)定級(jí)結(jié)果的合理性進(jìn)行評(píng)審，并出具專家評(píng)審意見。有行業(yè)主管(監(jiān)管)部門的,還需將定級(jí)結(jié)果報(bào)請(qǐng)行業(yè)主管(監(jiān)管)部門核準(zhǔn),并出具核準(zhǔn)意見。最后,定級(jí)結(jié)果提交公安機(jī)關(guān)進(jìn)行備案審核。審核不通過,