公安部出台指导意见：网络安全等级保护制度进入2.0时代

“公安部网安局”微信公号9月15日消息，为深入贯彻党中央有关文件精神和《网络安全法》，指导重点行业、部门全面落实网络安全等级保护制度和关键信息基础设施安全保护制度，近日，公安部制定出台了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》，进一步健全完善国家网络安全综合防控体系，有效防范网络安全威胁，有力处置重大网络安全事件，切实保障关键信息基础设施、重要网络和数据安全。全文如下：

为深入贯彻党中央有关文件精神和《网络安全法》，指导重点行业、部门全面落实网络安全等级保护制度和关键信息基础设施安全保护制度，近日，公安部制定出台了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》，进一步健全完善国家网络安全综合防控体系，有效防范网络安全威胁，有力处置重大网络安全事件，切实保障关键信息基础设施、重要网络和数据安全。

网络安全等级保护制度

01

法律政策依据

1994年，国家规定对计算机信息系统实行安全等级保护

1994年2月18日，中华人民共和国国务院令第147号发布了《中华人民共和国计算机信息系统安全保护条例》，其中第六条规定：“公安部主管全国计算机信息系统安全保护工作”；第九条规定：“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

2007年，信息安全等级保护制度正式开始实施

2007年6月22日，公安部、国家保密局、国家密码管理局、原国务院信息化工作办公室联合印发了《信息安全等级保护管理办法》（公通字〔2007〕43号），标志着等级保护制度正式开始实施。

2017年，网络安全等级保护制度成为网络安全的基本制度

2017年6月1日，《网络安全法》正式实施。第二十一条规定，国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

02

基本内容

简单来说，网络安全等级保护是对网络进行分等级保护、分等级监管。有以下几个关键词：

定级。网络运营者对信息网络、信息系统、网络上的数据和信息，按照重要性和遭受损坏后的危害性分成五个安全保护等级，从第一级到第五级，逐级增高。

备案。等级确定后，第二级（含）以上网络到公安机关备案，公安机关对备案材料和定级准确性进行审核，审核合格后颁发备案证明。

建设。备案单位根据网络的安全等级，安全国家标准开展安全建设整改，建设安全设施、落实安全责任、建立和落实网络安全管理制度。

测评。备案单位选择符合国家要求的测评机构开展等级测评。

监督。公安机关对第二级网络进行指导，对第三级、第四级网络定期开展监督、检查。

03

网络安全等级保护制度2.0新特征

国家网络安全等级保护制度实施以来，已经成为国家网络安全的基本制度和基本国策。随着经济社会发展和技术进步，等级保护制度已进入2.0时代。

网络安全等级保护制度2.0在1.0的基础上，实现对新技术、新应用安全保护对象和安全保护领域的全覆盖，更加突出技术思维和立体防范，注重全方位主动防御、动态防御、整体防护和精准防护，强化“一个中心，三重防护”的安全保护体系，把云计算、物联网、移动互联、工业控制系统、大数据等相关新技术新应用全部纳入保护范畴。

关键信息基础设施安全保护制度

《网络安全法》第三十一条规定，国家对公共通信和信息服务、能源、交通、水利、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

习近平总书记强调，“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。”从世界范围来看，各个国家网络安全立法的核心就是保护关键信息基础设施。加强关键信息基础设施安全保护，既是我国网络安全严峻形势的迫切需要，也是切实贯彻国家安全的必然要求。

根据《网络安全法》和中央文件精神，公安机关指导监督关键信息基础设施安全保护工作。我部正建立完善并实施关键信息基础设施安全保护制度，指导各单位、各部门加强关键信息基础设施安全的法律体系、政策体系、标准体系、保护体系、保卫体系和保障体系建设，在落实网络安全等级保护制度基础上，突出保护重点，强化保护措施，切实维护关键信息基础设施安全，全力提升关键信息基础设施安全防护能力。

《指导意见》主要内容介绍

01

确定了指导思想、基本原则和工作目标

《指导意见》以习近平新时代中国特色社会主义思想为指导，以总体国家安全观为统领，认真贯彻实施网络强国战略，全力保护关键信息基础设施、重要网络和数据安全。

《指导意见》的三大原则。坚持分等级保护、突出重点；坚持积极防御、综合防护；坚持依法保护、形成合力。

《指导意见》的四大工作目标。确保网络安全等级保护制度深入贯彻实施，关键信息基础设施安全保护制度建立实施，网络安全监测预警和应急处置能力显著提升，网络安全综合防控体系基本形成。

02

深入贯彻实施国家网络安全等级保护制度

深化网络定级备案工作。全面梳理包括云计算、物联网、新型互联网、大数据、智能制造等新技术应用在内的运营者全部网络情况，科学确定保护等级，依法向公安机关备案。行业主管部门依据《网络安全等级保护定级指南》国家标准，结合行业特点制定行业网络安全等级保护定级指导意见。

定期开展网络安全等级测评。对已定级备案网络的安全性进行检测评估，第三级以上网络运营者委托符合国家有关规定的等级测评机构每年开展网络安全等级测评。公安机关加强对本地等级测评机构的监督管理，确保等级测评过程客观、公正、安全。

科学开展安全建设整改。运营者在网络建设和运营过程中应同步规划、同步建设、同步使用网络安全保护措施，可通过网络迁移上云或网络安全服务外包方式充分利用网络安全服务商提升网络安全保护能力。

强化安全责任落实。按照“谁主管谁负责、谁运营谁负责”的原则，厘清网络安全保护边界，建立网络安全等级保护工作责任制。

加强供应链安全管理。加强网络关键人员的安全管理，采购、使用符合国家法律法规和有关标准规范要求的网络产品及服务。

落实密码安全防护要求。第三级以上网络运营者在网络规划、建设和运行阶段，按照密码应用安全性评估管理办法和相关标准，在网络安全等级测评中同步开展密码应用安全性评估

03

建立并实施关键信息基础设施安全保护制度

组织认定。组织公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业部门和主管、监管部门制定本行业、本领域关键信息基础设施认定规则并报公安部备案。组织认定关键信息基础设施，及时将认定结果通知相关设施运营者并报公安部。符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象均应纳入关键信息基础设施。

明确职能分工。公安部负责关键信息基础设施安全保护工作的顶层设计和规划部署，保护工作部门负责对本行业、本领域关键信息基础设施安全保护工作的组织领导。

重点措施。关键信息基础设施运营者组织开展具体工作，开展安全建设和等级测评，梳理网络资产，建立资产档案，强化核心岗位人员管理、整体防护、监测预警、应急处置、数据保护等重点保护措施，积极利用新技术开展网络安全保护。

数据和个人信息保护。加强重要数据和个人信息保护，在境内运营中收集和产生的个人信息和重要数据在境内存储。

核心岗位人员和产品服务。强化核心岗位人员和产品服务的安全管理，采购安全可信的网络产品和服务，采购产品和服务可能影响国家安全的，应按照国家有关规定通过安全审查，确保供应链安全。

04

加强网络安全保护工作协作配合

行业主管部门、网络运营者与公安机关密切协同。

加强网络安全立体化监测体系建设，对关键信息基础设施、重要网络等开展实时监测。加强网络新技术研究和应用，研究绘制网络空间地理信息图谱（网络地图）。行业主管部门、网络运营建设本行业、本单位的网络安全保护业务平台，建设平台智慧大脑，与公安机关平台对接，形成条块结合、纵横联通、协同联动的综合防控大格局。重点行业、网络运营者和公安机关建设网络安全监控指挥中心，建立常态化、实战化的网络安全工作机制。

加强网络安全信息共享和通报预警。依托国家网络与信息安全信息通报机制，加强各行业、各部门网络安全信息通报能力建设。加强网络安全应急处置机制建设，定期开展应急演练，配合公安机关每年组织开展的网络安全监督检查、比武演习等工作。

加强网络安全事件处置和案件侦办和行政执法，公安机关建立挂牌督办制度，针对网络运营者网络安全工作不力、发生重大网络安全案事件的挂牌督办。

05

加强网络安全工作各项保障

加强组织领导，将网络安全等级保护和关键信息基础设施安全保护工作列入各部门重要议事日程，研究解决网络安全机构、人员、经费、建设等重大问题，明确本单位主要负责人是网络安全的第一责任人，成立网络安全专门机构抓落实。

扶持重点网络安全技术产业和项目，支持网络安全技术研究开发和创新应用，推动网络安全产业健康发展。

健全完善网络安全考核评价制度，将网络安全工作纳入考核评价体系。

加强技术攻关，调动网络安全企业、科研机构、专家等社会力量积极参与网络安全核心技术攻关。加强网络安全等级保护和关键信息基础设施安全保护标准制定工作，加强标准宣贯和应用实施，建设试点示范基地，促进我国网络安全产业和企业的健康发展。

加强人才培养，通过组织开展比武竞赛等形式，发现选拔高精尖技术人才，建设人才库，建立健全人才发现、培养、选拔和使用机制，为做好网络安全工作提供人才保障。

附：网络安全等级保护2.0标准解读

等级保护标准体系

No.1

等级保护1.0标准体系

2007年，《信息安全等级保护管理办法》（公通字[2007]43号）文件的正式发布，标志着等级保护1.0的正式启动。等级保护1.0规定了等级保护需要完成的“规定动作”，即定级备案、建设整改、等级测评和监督检查，为了指导用户完成等级保护的“规定动作”，在2008年至2012年期间陆续发布了等级保护的一些主要标准，构成等级保护1.0的标准体系。

No.2

等级保护2.0标准体系

2017年，《中华人民共和国网络安全法》的正式实施，标志着等级保护2.0的正式启动。网络安全法明确“国家实行网络安全等级保护制度。”（第21条）、“国家对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”（第31条）。上述要求为网络安全等级保护赋予了新的含义，重新调整和修订等级保护1.0标准体系，配合网络安全法的实施和落地，指导用户按照网络安全等级保护制度的新要求，履行网络安全保护义务的意义重大。

随着信息技术的发展，等级保护对象已经从狭义的信息系统，扩展到网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等，基于新技术和新手段提出新的分等级的技术防护机制和完善的管理手段是等级保护2.0标准必须考虑的内容。关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护，基于等级保护提出的分等级的防护机制和管理手段提出关键信息基础设施的加强保护措施，确保等级保护标准和关键信息基础设施保护标准的顺利衔接也是等级保护2.0标准体系需要考虑的内容。

主要标准的特点和变化

No.1

标准的主要特点

01

将对象范围由原来的信息系统改为等级保护对象（信息系统、通信网络设施和数据资源等），对象包括网络基础设施（广电网、电信网、专用通信网络 等）、云计算平台/系统、大数据平台/系统、物联网、工业控制 系统、采用移动互联技术的系统等。

02

在1.0标准的基础上进行了优化，同时针对云计算、移动互联、物联网、工业控制系统及大数据等新技术和新应用领域提出新要求，形成了安全通用要求+新应用安全扩展要求构成的标准要求内容。

03

采用了“一个中心，三重防护”的防护理念和分类结构，强化了建立纵深防御和精细防御体系的思想。

04

强化了密码技术和可信计算技术的使用，把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求，强调通过密码技术、可信验证、安全审计和态势感知等建立主动防御体系的期望。

No.2

标准的主要变化

01

名称由原来的《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》。等级保护对象由原来的信息系统调整为基础信息网络、信息系统（含采用移动互联技术的系统）、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等。

02

将原来各个级别的安全要求分为安全通用要求和安全扩展要求，其中安全扩展要求包括安全扩展要求云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求。安全通用要求是不管等级保护对象形态如何必须满足的要求。

03

基本要求中各级技术要求修订为“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”；各级管理要求修订为“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。

04

取消了原来安全控制点的S、A、G标注，增加一个附录A“关于安全通用要求和安全扩展要求的选择和使用”，描述等级保护对象的定级结果和安全要求之间的关系，说明如何根据定级的S、A结果选择安全要求的相关条款，简化了标准正文部分的内容。增加附录C描述等级保护安全框架和关键技术、增加附录D描述云计算应用场景、附录E描述移动互联应用场景、附录F描述物联网应用场景、附录G描述工业控制系统应用场景、附录H描述大数据应用场景。

主要标准的框架和内容

No.1

标准的框架结构

《GB/T 22239-2019》、《GB/T 25070-2019》和《GB/T28448-2019》三个标准采取了统一的框架结构。

例如，《GB/T 22239-2019》采用的框架结构如图1所示。

图1 安全通用要求框架结构

安全通用要求细分为技术要求和管理要求。其中技术要求包括“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”；管理要求包括“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。

No.2

安全通用要求

安全通用要求针对共性化保护需求提出，无论等级保护对象以何种形式出现，需要根据安全保护等级实现相应级别的安全通用要求。安全扩展要求针对个性化保护需求提出，等级保护对象需要根据安全保护等级、使用的特定技术或特定的应用场景实现安全扩展要求。等级保护对象的安全保护需要同时落实安全通用要求和安全扩展要求提出的措施。

1

安全物理环境

针对物理机房提出的安全控制要求。主要对象为物理环境、物理设备和物理设施等；涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护。

2

安全通信网络

针对通信网络提出的安全控制要求。主要对象为广域网、城域网和局域网等；涉及的安全控制点包括网络架构、通信传输和可信验证。

3

安全区域边界

针对网络边界提出的安全控制要求。主要对象为系统边界和区域边界等；涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。

4

安全计算环境

针对边界内部提出的安全控制要求。主要对象为边界内部的所有对象，包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等；涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。

5

安全管理中心

针对整个系统提出的安全管理方面的技术控制要求，通过技术手段实现集中管理；涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。

6

安全管理制度

针对整个管理制度体系提出的安全控制要求，涉及的安全控制点包括安全策略、管理制度、制定和发布以及评审和修订。

7

安全管理机构

针对整个管理组织架构提出的安全控制要求，涉及的安全控制点包括岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查。

8

安全管理人员

针对人员管理提出的安全控制要求，涉及的安全控制点包括人员录用、人员离岗、安全意识教育和培训以及外部人员访问管理。

9

安全建设管理

针对安全建设过程提出的安全控制要求，涉及的安全控制点包括定级和备案、安全方案设计、安全产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务供应商管理。

10

安全运维管理

针对安全运维过程提出的安全控制要求，涉及的安全控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理。

No.3

安全扩展要求

安全扩展要求是采用特定技术或特定应用场景下的等级保护对象需要增加实现的安全要求。包括以下四方面：

1.云计算安全扩展要求是针对云计算平台提出的安全通用要求之外额外需要实现的安全要求。主要内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云计算环境管理”和“云服务商选择”等。

2.移动互联安全扩展要求是针对移动终端、移动应用和无线网络提出的安全要求，与安全通用要求一起构成针对采用移动互联技术的等级保护对象的完整安全要求。主要内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等。

3.物联网安全扩展要求是针对感知层提出的特殊安全要求，与安全通用要求一起构成针对物联网的完整安全要求。主要内容包括“感知节点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理”和“数据融合处理”等。

4.工业控制系统安全扩展要求主要是针对现场控制层和现场设备层提出的特殊安全要求，它们与安全通用要求一起构成针对工业控制系统的完整安全要求。主要内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等。

来源为金融界财经频道的作品，均为版权作品，未经书面授权禁止任何媒体转载，否则视为侵权！