网络安全等级保护制度：法律与政策依据

网络安全等级保护制度

法律   政策  网络安全法

    政策依据   含义

---

网络安全法要求网络运营者依照法律、行政法规和标准，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，维护网络数据的完整性、保密性和可用性。等级保护1.0（信息安全等级保护制度）的法律法规遵循是以1994年国务院制定的《计算机信息系统安全保护条例》确立为标志，国务院有关部门据此制定了《信息安全等级保护管理办法》等规定和配套标准，以实施这项制度。

按照规定，信息安全保护等级根据信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素，分为五级，从人员管理、系统建设、运行维护、技术防护等方面提出保护要求，从第一级到第五级渐次提高。

网络安全法将信息安全等级保护制度上升为法律，并根据本法的统一用语对这一制度的名称作了调整，对其主要内容作了规定。

摄像：何威风，2017年网络安全法启动仪式

开展网络安全等级保护工作的法律

• 《中华人民共和国人民警察法》第六条第十二款规定，人民警察履行“监督管理计算机信息系统的安全保护工作”的职责。

• 1994年《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）第九条明确规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

• 2008年国务院“三定”方案，赋予公安部“监督、检查、指导信息安全等级保护工作”法定职责。

摄像：何威风，2017年网络安全法启动仪式

• 2017年《中华人民共和国网络安全法》第二十一条规定，国家实行网络安全等级保护制度。

摄像：何威风，2017年网络安全法启动仪式

开展网络安全等级保护工作的政策依据

2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出，“实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”，标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障工作的基本制度。

“谁主管谁负责，谁运营谁负责”就是出自27号文件，明确了各级党委和政府在信息安全保障工作中的领导地位，以及的信息安全保障责任制。

2004年7月3日，国家网络与信息安全协调小组第三次会议审议通过了《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），指出信息安全等级保护制度是国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。

2007年，公安部、国家保密局、国家密码管理局等四部门联合出台的《信息安全等级保护管理办法》（公通字[2006]43号）详细阐述了公安机关的具体工作任务。公安部牵头，会同国家保密局、国家密码管理局等部门共同组织全国各单位、各部门实施信息安全等级保护工作。同时，公安机关还承担信息安全等级保护监督、检查、指导的任务。

2008年，国家发改委、公安部、国家保密局联合印发了《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号），要求国家电子政务项目中非涉及国家秘密的信息系统，按照国家信息安全等级保护制度要求开展等级测评和风险评估。

2008年，国家发改委印发了《国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知》（发改高技[2008]2544号），要求国家电子政务项目的信息安全工作，按照国家信息安全等级保护制度要求，项目建设部门在电子政务项目的需求分析报告和建设方案中应同步落实等级测评要求。

2010年，公安部、国资委联合下发《关于进一步推动中央企业信息安全等级保护工作的通知》（公通字[2010]70号），要求中央企业落实国家信息安全等级保护制度。

2012年，《国务院关于推进信息化发展和切实保障信息安全的若干意见》（国发[2012]23号）规定，“落实信息安全等级保护制度，开展相应等级的安全建设和管理，做好信息系统定级备案、整改和监督检查”。

2012年，国家发改委、公安部、财政部、国家保密局、国家电子政务内网建设和管理协调小组办公室联合印发了《关于进一步加强国家电子政务网络建设和应用工作的通知》（发改高技[2012]1986号），要求按照信息安全等级保护要求建设和管理国家电子政务外网。

2014年12月，中办、同办下发《关于加强社会治安防控体系建设的意见》，要求“完善国家网络安全监测预警和通报处置工作机制，推进完善信息安全等级保护制度”。

2014年12月，中央批准实施的《关于全面深化公安改革若干重大问题的框架意见》指出，“推进健全信息安全等级保护制度，完善网络安全风险监测预警、通报处置机制”。

2015年，中央下发中央网络安全和信息化领导小组2015年工作要点，要求“落实国家信息安全等级保护制度”。

2015年7月，教育部、公安部联合下发《教育部、公安部关于全面推进教育行业信息安全等级保护工作的通知》（教技[2015]2号），组织全国教育管理部门、学校、教育机构深入推进信息安全等级保护工作。

2017年，中央出台加强网络安全和信息化工作的意见，要求“完善国家网络安全等级保护制度”。

摄像：何威风，2017年网络安全法启动仪式

2020年7月，公安部下发《贯彻落实网络安全等保制度和关保制度的指导意见》（公网安[2020]1960号），指导重点行业、部门全面落实网络安全等级保护制度和关键信息基础设施安全保护制度，健全完善国家网络安全综合防控体系。

在落实网络安全等级保护制度过程中，需要对相关的法律法规有所了解，才能够更好的做到合规性。网络安全等级保护工作的合规，最大的遵循自然是《中华人民共和国网络安全法》，其次是《计算机信息系统安全保护条例》，然后还有诸如《信息安全等级保护管理办法》等政策文件，在政策文件之下则是依据标准。这是自上而下彼此互相照应的一套国家级的体系。

《网络安全法》第二十一条国家实行网络安全等级保护制度，标志着从1994年的国务院条例(国务院令第147号)上升到国家法律；标志着国家实施十余年的信息安全等级保护制度进入2.0阶段；标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。中央关于加强社会治安防控体系建设的意见、公安改革若干重大问题的框架意见要求“健全完善信息安全等级保护制度”。

参考文件：

《信息安全等级保护政策培训教程》

《中华人民共和国网络安全》

《网络安全法和网络安全等级保护制度》

《信息安全等级保护管理办法》等

网络安全等级保护：网络备案工作内容和要求 网络安全等级保护：等级保护对象的定级过程 个人信息保护：个人信息去标识化指南思维导图 网络安全等级保护：网络安全等级保护第一标准！ 网络安全等级保护：网络安全事件应急演练指南思维导图 数据安全：数据管理能力成熟度评估模型 专家解读：《关键信息基础设施保护条例》 信息安全服务提供方管理要求思维导图

本文始发于微信公众号（祺印说信安）：网络安全等级保护制度：法律与政策依据