網絡安全等級保護解讀

網絡安全等級保護解讀目錄0102等保1.0等保2.003個人信息保護01等級保護1.027號文重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南?！秶倚畔⒒I導小組關于加強信息安全保障工作的意見》（

中公辦發(fā)[2003]27號）等級保護1.0標準政策1994年

《中華人民共和國計算機信息系統(tǒng)安全保護條例》的發(fā)布1999年

《計算機信息系統(tǒng)安全保護等級劃分準則》

GB17859-1999發(fā)布2001年

國家發(fā)改委“計算機信息系統(tǒng)安全保護等級評估體系及互聯(lián)網絡電子身份管理與安全保護平臺建設項目”（1110）工程實施2003年

中央辦公廳、國務院辦公廳轉發(fā)《國家信息化領導小組關于加強信息安全保障工作的意見》2004年四部委聯(lián)合簽發(fā)了《關于信息安全等級保護工作的實施意見

》等級保護標準政策?1994年國務院147號令《中

華人民共和國計算機信息系統(tǒng)安全保護條例》第9條規(guī)定：計算機信息系統(tǒng)實行安全等級保護。?

1999年

國家標準GB17859參照TCSEC《計算機信息系統(tǒng)安全保護等級劃分準則》第一級 用戶自主保護級第二級 系統(tǒng)審計保護級第三級 安全標記保護級第四級 結構化保護級第五級 訪問驗證保護級等級保護標準政策-修訂背景?2001年國家標準GB/T

18336《信息技術

安全技術

信息技術安全性評估準則》參照CC

即ISO/IEC

154082003年

中辦發(fā)17號文件提出實行信息安全等級保護的任務2004年

公通字66號文件

公安部、國家保密局、國家密碼管理委員會辦公室、國務院信息辦發(fā)布《關于信息安全等級保護工作的實施意見》?2007年

公通字[2007]43號文四部門發(fā)布《信息安全等級保護管理辦法》法律法規(guī)法律法規(guī)2.1

網絡安全法-要求國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務。第二十一條第三十一條國家網絡安全等級保護制度（基本制度、基本國策，上升為法律）網絡安全法-責任（三）網絡運營者，是指網絡的所有者、管理者和網絡服務提供者。網絡運營者不履行本法第二十一條、第二十五條規(guī)定的網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。第五十九條第七十三條法律責任用詞解釋計算機信息系統(tǒng)安全保護條例-責任第二級以上計算機信息系統(tǒng)的運營、使用單位計算機信息系統(tǒng)投入使用前未經符合國家規(guī)定的安全等級測評機構測評合格的由公安機關責令限期改正，給予警告；逾期不改的，對單位的主管人員、其他直接責任人員可以處五千元以下罰款，對單位可以處一萬五千元以下罰款；有違法所得的，沒收違法所得；情節(jié)嚴重的，并給予六個月以內的停止聯(lián)網、停機整頓的處罰；必要時公安機關可以建議原許可機構撤銷許可或者取消聯(lián)網資格。第四十一條計算機信息系統(tǒng)安全保護條例適用法律條款解釋-責任《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》已于2017年3月20日由最高人民法院審判委員會第1712次會議、2017年4月26日由最高人民檢察院第十二屆檢察委員會第63次會議通過，現予發(fā)布，自2017年6月1日起施行。最高人民法院

最高人民檢察院適用法律條款解釋-條款網絡服務提供者拒不履行法律、行政法規(guī)規(guī)定的信息網絡安全管理義務，經監(jiān)管部門責令采取改正措施而拒不改正，致使用戶的公民個人信息泄露，造成嚴重后果的，應當依照刑法第二百八十六條之一的規(guī)定，以拒不履行信息網絡安全管理義務罪定罪處罰。非法獲取、出售或者提供公民個人信息，具有下列情形之一的，應當認定為刑法第二百五十三條之一規(guī)定的“情節(jié)嚴重”。第五條第九條刑法-條款【拒不履行信息網絡安全管理義務罪】網絡服務提供者不履行法律、行政法規(guī)規(guī)定的信息網絡安全管理義務，經監(jiān)管部門責令采取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金。【侵犯公民個人信息罪】違反國家有關規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。第二百八十六條之一第二百五十三條之一02等級保護2.0新形勢、新挑戰(zhàn)、新標準大數據、云計算、工業(yè)控制系統(tǒng)、物聯(lián)網、移動互聯(lián)技術的應用網絡攻擊形式花樣翻新日益嚴峻的國際形勢《信息安全技術

網絡安全等級保護基本要求》（GB/T22239-2019）《信息安全技術

網絡安全等級保護安全設計技術要求》（GB/T25070-2019）《信息安全技術

網絡安全等級保護實施指南》（GBT25058-2019）《信息安全技術

網絡安全等級保護測評要求》（GB/T28448-2019）《信息安全技術

網絡安全等級保護測評過程指南》（GB

T

28449-2018）《

信息安全技術

網絡安全等級保護定級指南》（

GBT

22240-2020

）等保2.0發(fā)展歷程2016.10郭啟全總工指出“國家對網絡安全等級保護制度提出了新的要求，等級保護制度已進入2.0時代”2017.1《中華人民共和國網絡安全法》正式頒布2017.5《

網絡安全等級保護基本要求》系列標準、《

網絡安全等級保護測評要求

》系列標準等“征求意見稿”2017.6《網絡安全等級保護定級指南》、《網絡安全等級保護基本要求

第2

部分：云計算安全擴展要求》等4個公共安全行業(yè)等級保護標準。2017.10《網絡安全等級保護基本要求

》試行稿2018.11《網絡安全等級保護基本要求

》系列標準報批稿2019.5《網絡安全等級保護基本要求

》系列標準正式稿信息安全技術網絡安全等級保護實施指南2020.3246分等級保護、突出重點、積極防御、綜合防護1變被動防護為主動防護，變靜態(tài)防護為動態(tài)防護3推動網絡安全產業(yè)、企業(yè)快速健康發(fā)展5等保2.0的工作目標同步規(guī)劃、同步建設、同步運行關鍵信息基礎設施、重要信息系統(tǒng)和大數據安全重點防護“打防管控”一體化的網絡安全綜合防御體系等保2.0標準框架網絡安全等級保護條例（總要求/上位文件）計算機信息系統(tǒng)安全保護等級劃分準則（GB

17859-1999）（上位標準）網絡安全等級保護基本要求（GB/T22239-2019）網絡安全等級保護基本要求的行業(yè)細則網絡安全等級保護建設整改基本要求方法指導狀態(tài)分析安全定級網絡安全等級保護測評要求網絡安全等級保護測評過程指南網絡安全等級保護設計技術要求網絡安全等級保護實施指南網絡安全等級保護定級指南（GB/T22240-2020）網絡安全等級保護行業(yè)定級細則定級指南正式發(fā)布等保2.0定級對象等級保護對象通信網絡設施信息系統(tǒng)傳統(tǒng)信息系統(tǒng)工業(yè)控制系統(tǒng)云計算平臺物聯(lián)網系統(tǒng)采用移動互聯(lián)技術信息系統(tǒng)數據定級對象-云計算平臺/系統(tǒng)在云計算環(huán)境中，將云服務方側的云計算平臺單獨作為定級對象，云租戶側的等級保護對象也應作為單獨的定級對象。對于大型云計算平臺，還要把云計算基礎設施和有關輔助服務系統(tǒng)劃分為不同的定級對象。定級對象-物聯(lián)網物聯(lián)網應作為一個整體對象定級，主要包括感知層、網絡傳輸層和處理應用層等特征要素。定級對象-工業(yè)控制系統(tǒng)工業(yè)控制系統(tǒng)主要由現場采集/執(zhí)行、現場控制、過程監(jiān)控和生產管理等要素構成。現場采集/執(zhí)行、現場控制和過程監(jiān)控要求應作為一個整體對象定級，各層次要素不單獨定級，生產管理要素宜單獨定級。對于大型工業(yè)控制系統(tǒng)，可以根據系統(tǒng)功能、控制對象和生產廠商等因素劃分為多個定級對象。注：該圖為工業(yè)控制系統(tǒng)經典層次模型參考IEC

62264-1,

但隨著工業(yè)4.0、信息物理系統(tǒng)的發(fā)展，已不能完全適用，因此對于不同的行業(yè)企業(yè)實際發(fā)展情況，允許部分層級合并。定級對象-采用移動互聯(lián)技術的系統(tǒng)采用移動互聯(lián)技術的系統(tǒng)主要包括移動終端、移動應用、無線通道、接入設備以及相關應用系統(tǒng)等特征要求，可作為一個整體獨立定級或與相關聯(lián)業(yè)務系統(tǒng)一起定級，各要素不單獨定級。通信網絡設施對于電信網、廣播電視傳輸網等通信網絡設施，宜根據安全責任主體、服務類型或服務地域等因素將其劃分為不同的定級對象?？缡〉男袠I(yè)或單位的專用通信網可作為一個整體對象定級，或分區(qū)域劃分為若干個定級對象。數據資源數據資源可獨立定級。當安全責任主體相同時，大數據、大數據平臺/系統(tǒng)宜作為一個整體對象定級；當安全責任主體不同時，大數據應獨立定級。定級對象-通信網絡設施和數據資源確定定級對象初步確定等級專家評審主管部門審核公安機關備案審查定級流程初步確定定級對象的安全保護等級確定業(yè)務服務安全受到破壞時所侵害的客體綜合評定對客體的侵害程度確定系統(tǒng)服務安全保護等級確定業(yè)務信息安全受到破壞時所侵害的客體綜合評定對客體的侵害程度確定業(yè)務信息安全保護等級定級方法確定受侵害的客體定級對象受到破壞時所侵害的客體包括國家安全、社會秩序和公眾利益以及公民、法人和其他組織的合法權益。國家安全

>

社會秩序和公共利益

> 公民、法人和其他組織的合法權益定級方法定級方法侵害國家安全的事項包括以下方面：影響國家政權穩(wěn)固和領土主權、海洋權益完整；影響國家統(tǒng)一、民族團結和社會穩(wěn)定；影響國家社會主義市場經濟秩序和文化實力；其他影響國家安全的事項。侵害公共利益的事項包括以下方面：影響社會成員使用公共設施；影響社會成員獲取公開數據資產；影響社會成員接受公共服務等方面；其他影響公共利益的事項。侵害社會秩序的事項包括以下方面：影響國家機關、企事業(yè)單位、社會團體的生產秩序、經營秩序、教學科研秩序、醫(yī)療衛(wèi)生秩序；影響公共場所的活動秩序、公共交通秩序；影響人民群眾的生活秩序；其他影響社會秩序的事項。綜合判定侵害程度一般損害：工作職能受到局部影響，業(yè)務能力有所降低但不影響主要功能的執(zhí)行，出現較輕的法律問題，較低的財產損失，有限的社會不良影響，對其他組織和個人造成較低損害；嚴重損害：工作職能受到嚴重影響，業(yè)務能力顯著下降且嚴重影響主要功能執(zhí)行，出現較嚴重的法律問題，較高的財產損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害；特別嚴重損害：工作職能受到特別嚴重影響或喪失行使能力，業(yè)務能力嚴重下降且或功能無法執(zhí)行，出現極其嚴重的法律問題，極高的財產損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。定級方法確定安全保護等級根據等級保護相關管理文件，等級保護對象的安全保護等級分為五個等級：受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級推薦級別安全保護等級初步確定為第二級及以上的，定級對象的網絡運營者需組織信息安全專家對定級結果的合理性進行評審，并出具專家評審意見。有行業(yè)主管(監(jiān)管)部門的,還需將定級結果報請行業(yè)主管(監(jiān)管)部門核準,并出具核準意見。最后,定級結果提交公安機關進行備案審核。審核不通過,