網絡安全等級保護實施指南（網絡安全等級保護實施細則）

今天給各位分享網絡安全等級保護實施指南的知識，其中也會對網絡安全等級保護實施細則進行解釋，如果能碰巧解決你現在面臨的問題，別忘了關注本站，現在開始吧！

本文目錄一覽：

• 1、等保2.0定級指南，你要了解在這里！
• 2、信息安全等級保護的實施原則
• 3、網絡安全等級保護2.0國家標準
• 4、信息安全等級保護管理辦法

等保2.0定級指南，你要了解在這里！

2019年12月1日網絡安全等級保護2.0國家標準的正式實施，標志著我國網絡安全等級保護制度進入了全新時代。作為國家等級保護標準體系的核心標準之一的 GB/T ? 22240-2020《信息安全技術 ?? 網絡安全等級保護定級指南》 （以下簡稱“定級指南”）于2020年4月28日發布，2020年11月1日正式實施。

定級指南規定了非涉及國家秘密的等級保護對象的定級方法和流程，通過指導網絡運營者合理劃分定級對象和準確的 確定安全保護等級 ，為后續的安全建設整改、等級測評等工作奠定了良好的基礎。

新版定級指南在等級保護1.0定級指南的基礎上，對等級保護對象做了新的定義，增加了對云大物移工等場景的說明，修改了定級流程，以適應新形勢下等級保護工作的需要，有力推動了等級保護工作的開展。那么2.0的定級指南正式實施后，我們需要注意哪些點呢？

等級保護對象新定義

等保保護定級對象主要包括： 信息系統 、 通信網絡設施 和 數據資源等 。

信息系統 就是我們在1.0時候的定級對象，指的是各類信息系統；

通信網絡設施 指的是為信息流通、網絡運行等起基礎支撐作用的網絡設備設施，主要包括電信網、廣播電視傳輸網和行業或單位的專用通信網等，所以大家得注意了自己單位的專網得定級，特別是承載了重要信息系統或者專網規模較大的網絡；

數據資源 指的是具有或預期具有價值的數據集合，數據資源主要是擁有大量各類有價值的數據，那么這些單位需要保護好這些數據資源，自然需要對該數據資源進行定級，我們可以想象的這類數據有：人社數據、醫保數據、公積金數據、個人財產數據（銀行、房產、保險等）等信息。

定級要素與安全保護等級新關系

依據安全保護等級的定義，定級應綜合考慮“等級保護對象在國家安全、經濟建設、社會生活中的重要程度，以及一旦遭受到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀后，對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的侵害程度等因素”。因此本標準中明確等級保護對象的定級要素為兩個，分別為“ 受侵害的客體 ”和“ 對客體的侵害程度 ”。

定級要素與安全保護等級的關系如下。

受侵害的客體表現形式有哪些

定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織.

侵害國家安全的事項包括以下方面 :

1.影響國家政權穩固和領土主權、海洋權益完整;

2.影響國家統一、民族團結和社會穩定;

3.影響國家社會主義市場經濟秩序和文化實力;

4.其他影響國家安全的事項。

侵害社會秩序的事項包括以下方面 :

1.影響國家機關、企事業單位、社會團體的生產秩序、經營秩序、教學科研秩序、醫療衛生秩序;影響公共場所的活動秩序.公共交通秩序;

2.影響人民群眾的生活秩序;

3.其他影響社會秩序的事項。

侵害公共利益的事項包括以下方面 :

1.影響社會成員使用公共設施;?

2.影響社會成員獲取公開數據資源;

3.影響社會成員接受公共服務等方面;

4.其他影響公共利益的事項。

業務信息安全和系統服務安全受到破壞后,可能產生以下侵害后果 :

1.影響行使工作職能;

2.導致業務能力下降;

3.引起法律糾紛;

4.導致財產損失;

5.造成社會不良影響;

6.對其他組織和個人造成損失;

7.其他影響。

侵害公民法人和其他組織的合法權益是指受法律保護的公民.法人和其他組織所享有的社會權利和利益等受到損害。

確定受侵害的客體時.首先判斷是否侵害國家安全,然后判斷是否侵害社會秩序或公眾利益.最后判斷是否侵害公民,法人和其他組織的合法權益。

等級保護對象新特征

作為等級保護對象的網絡應具有如下基本特征：

具有確定的主要安全責任主體 ；

承載相對獨立的業務應用 ；

包含相互關聯的多個資源 。

在確定定級對象時，云計算平臺/系統、物聯網、工業控制系統、采用移動互聯技術的系統在滿足以上基本特征的基礎上，需要滿足以下要求。

定級新流程

對于新建網絡、運營者應當依照等級保護相關法律法規要求和本標準，在規劃設計階段確定其安全保護等級；對于跨省或者全國統一聯網運行的網絡可以由行業主管（監管）部門統一組織定級工作。安全保護等級初步確定為第二級及以上的等級保護對象，其運營者應當依據標準要求分別進行專家評審、主管部門核準和公安機關備案審核，最終確定其安全保護等級。

專家評審 ：定級對象的運營、使用單位應組織信息安全專家和業務專家等，對初步定級結果的合理性進行評審，并出具專家評審意見 。

主管部門審批 ：定級對象的運營、使用單位應將初步定級結果報請行業主管（監管）部門核準，并出具核準意見。

公安機關審核 ：定級對象的運營、使用單位應按照相關管理規定，將初步定級結果提交公安機關進行備案審查，審查不通過，其運營使用單位應組織重新定級；審查通過后最終確定定級對象的安全保護等級。

信息安全等級保護的實施原則

等級保護是我們國家的基本網絡安全制度、基本國策，也是一套完整和完善的網絡安全管理體系。遵循等級保護相關標準開始安全建設是目前企事業單位的普遍要求，也是國家關鍵信息基礎措施保護的基本要求。

為什么要辦理網絡安全等級保護備案?

1.建立有效的網絡安全防御體系（讓客戶的系統真正具有安全防御的能力）

2. 完成信息系統等級保護公安備案（取得備案證明） ，順利通過網絡安全等級保護測評（取得測評報告）

3 滿足相關部門的合規性要求（包括國家的政策，法律法規的要求，還有上級部門的要求，還有甲方客戶的要求等）

4. 系統過了等保，一定程度上可以提高企業投標鎖標的能力，為投標加分

信息系統的安全保護等級分為以下五級：

第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。

第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。

第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。

第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。

網絡安全等級保護備案辦理流程：

一步：定級;（定級是等級保護的首要環節）

二步：備案；（備案是等級保護的核心）

三步：建設整改；（建設整改是等級保護工作落實的關鍵）

四步：等級測評；（等級測評是評價安全保護狀況的方法）

五步：監督檢查。（監督檢查是保護能力不斷提高的保障）

證書案例

網絡安全等級保護2.0國家標準

等級保護2.0標準體系主要標準如下：1.網絡安全等級保護條例2.計算機信息系統安全保護等級劃分準則3.網絡安全等級保護實施指南4.網絡安全等級保護定級指南5.網絡安全等級保護基本要求6.網絡安全等級保護設計技術要求7.網絡安全等級保護測評要求8.網絡安全等級保護測評過程指南。

第一級（自主保護級），等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益；

第二級（指導保護級），等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全；

第三級（監督保護級），等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；

第四級（強制保護級），等級保護對象受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害；

第五級（?？乇Ｗo級），等級保護對象受到破壞后，會對國家安全造成特別嚴重損害

相較于1.0版本，2.0在內容上到底有哪些變化呢？

1.0定級的對象是信息系統，2.0標準的定級的對象擴展至：基礎信息網絡、云計算平臺、物聯網、工業控制系統、使用移動互聯技術的網絡以及大數據平臺等多個系統，覆蓋面更廣。

再者，在系統遭到破壞后，對公民、法人和其他組織的合法權益造成特別嚴重損害的由原來的最高定為二級改為現在的最高可以定為三級。

最后，等保2.0標準不再強調自主定級，而是強調合理定級，系統定級必須經過專家評審和主管部門審核，才能到公安機關備案，定級更加嚴格。

總結通過建立安全技術體系和安全管理體系，構建具備相應等級安全保護能力的網絡安全綜合防御體系，開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。法律依據：《中華人民共和國網絡安全法》

第二十一條國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：

（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；

（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；

（三）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；

（四）采取數據分類、重要數據備份和加密等措施；

（五）法律、行政法規規定的其他義務。

第三十一條國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

國家鼓勵關鍵信息基礎設施以外的網絡運營者自愿參與關鍵信息基礎設施保護體系。

信息安全等級保護管理辦法

第一章 總則

第一條 為規范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設，根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規，制定本辦法。

第二條 國家通過制定統一的信息安全等級保護管理規范和技術標準，組織公民、法人和其他組織對信息系統分等級實行安全保護，對等級保護工作的實施進行監督、管理。

第三條 公安機關負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。涉及其他職能部門管轄范圍的事項，由有關職能部門依照國家法律法規的規定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協調。

第四條 信息系統主管部門應當依照本辦法及相關標準規范，督促、檢查、指導本行業、本部門或者本地區信息系統運營、使用單位的信息安全等級保護工作。

第五條 信息系統的運營、使用單位應當依照本辦法及其相關標準規范，履行信息安全等級保護的義務和責任。

第二章 等級劃分與保護

第六條 國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。

第七條 信息系統的安全保護等級分為以下五級：第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。

第八條 信息系統運營、使用單位依據本辦法和相關技術標準對信息系統進行保護，國家有關信息安全監管部門對其信息安全等級保護工作進行監督管理。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。第二級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行指導。第三級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行監督、檢查。第四級信息系統運營、使用單位應當依據國家有關管理規范、技術標準和業務專門需求進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行強制監督、檢查。第五級信息系統運營、使用單位應當依據國家管理規范、技術標準和業務特殊安全需求進行保護。國家指定專門部門對該級信息系統信息安全等級保護工作進行專門監督、檢查。

第三章 等級保護的實施與管理

第九條 信息系統運營、使用單位應當按照《信息系統安全等級保護實施指南》具體實施等級保護工作。

第十條 信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。有主管部門的，應當經主管部門審核批準 跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定安全保護等級。對擬確定為第四級以上信息系統的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。

第十一條 信息系統的安全保護等級確定后，運營、使用單位應當按照國家信息安全等級保護管理規范和技術標準，使用符合國家有關規定，滿足信息系統安全保護等級需求的信息技術產品，開展信息系統安全建設或者改建工作。

第十二條 在信息系統建設過程中，運營、使用單位應當按照《計算機信息系統安全保護等級劃分準則》（GB17859-1999）、《信息系統安全等級保護基本要求》等技術標準，參照《信息安全技術 信息系統通用安全技術要求》（GB/T20271-2006）、《信息安全技術 網絡基礎安全技術要求》（GB/T20270-2006）、《信息安全技術 操作系統安全技術要求》（GB/T20272-2006）、《信息安全技術 數據庫管理系統安全技術要求》（GB/T20273-2006）、《信息安全技術 服務器技術要求》、《信息安全技術 終端計算機系統安全等級技術要求》（GA/T671-2006）等技術標準同步建設符合該等級要求的信息安全設施。

第十三條 運營、使用單位應當參照《信息安全技術 信息系統安全管理要求》（GB/T20269-2006）、《信息安全技術 信息系統安全工程管理要求》（GB/T20282-2006）、《信息系統安全等級保護基本要求》等管理規范，制定并落實符合本系統安全保護等級要求的安全管理制度。

第十四條 信息系統建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構，依據《信息系統安全等級保護測評要求》等技術標準，定期對信息系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評，第四級信息系統應當每半年至少進行一次等級測評，第五級信息系統應當依據特殊安全需求進行等級測評。信息系統運營、使用單位及其主管部門應當定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統應當每年至少進行一次自查，第四級信息系統應當每半年至少進行一次自查，第五級信息系統應當依據特殊安全需求進行自查。 經測評或者自查，信息系統安全狀況未達到安全保護等級要求的，運營、使用單位應當制定方案進行整改。

第十五條 已運營（運行）的第二級以上信息系統，應當在安全保護等級確定后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。新建第二級以上信息系統，應當在投入運行后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。 隸屬于中央的在京單位，其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統，由主管部門向公安部辦理備案手續?？缡』蛘呷珖y一聯網運行的信息系統在各地運行、應用的分支系統，應當向當地設區的市級以上公安機關備案。

第十六條 辦理信息系統安全保護等級備案手續時，應當填寫《信息系統安全等級保護備案表》，第三級以上信息系統應當同時提供以下材料：

（一）系統拓撲結構及說明；

（二）系統安全組織機構和管理制度；

（三）系統安全保護設施設計實施方案或者改建實施方案；

（四）系統使用的信息安全產品清單及其認證、銷售許可證明；

（五）測評后符合系統安全保護等級的技術檢測評估報告；

（六）信息系統安全保護等級專家評審意見；

（七）主管部門審核批準信息系統安全保護等級的意見。

關于網絡安全等級保護實施指南和網絡安全等級保護實施細則的介紹到此就結束了，不知道你從中找到你需要的信息了嗎 ？如果你還想了解更多這方面的信息，記得收藏關注本站。