闲谈等级保护：27号文确立等级保护为基本制度

关注公众号回复“210617” 可自取 “27号思维导图清晰版”

---

等级保护作为我国网络安全领域的基本政策以《网络安全法》作为分水岭，形成了所谓的等级保护1.0和2.0两个阶段，等级保护2.0是在等级保护1.0的基础上做了一次质的升级。当下已进入等级保护处于2.0阶段即网络安全等级保护，回顾一下等级保护的发展历程，对于理解国家网络安全基本政策还是非常有必要的，对于网络安全从业者、网络运营者都有非常高的参考价值。

想特别指出的也是自己的一点点小体悟，需要回顾历史看发展，验证这些文件的实践成果，因为是历史我们回溯之后更能发现我们制度的持续性与连贯性。同时，从中发掘或者看懂哪些依然是我们工作的遵循，根据自己的理解看看这些文件，也能够做到常读常新。

等级保护工作的确立可以说自147号令出台后，逐步完善。但是，在147号令里，尚未对等级保护是什么、如何开展等给出确切的方法论。也在此时，147号令明确了公安机关在等级保护工作中的牵头地位。话又说回来了，147号令也不是一成未变的，其在1994年发布，后又在2011年进行了一次修订。总体，147号令作为上位法规很好的支撑了等级保护1.0的发展。以147号令为上位法规，经过若干年积累形成等级保护1.0的雏形，进而全国试点再到全国推广。

过去的众多政策文件无不发挥了重要作用，部分政策现在依然在等级保护工作中起到指引作用。所以，熟悉我国网络安全发展的历程，掌握等级保护发展的每一个阶段，对我们理解网络安全工作，开展网络安全工作都大有裨益。等级保护已然成为当下网络安全工作的最强抓手。

从各种途径的资料告诉我们，我国信息安全工作起步较晚，其发展是循序渐进的，并非一蹴而就的事情。所以，了解这一个个历程，也使我们能够更准确的体会到我国一代代网安人的努力付出。

此前，我整理《1994-2017等级保护政策及法律发展历程》发布在这个公众号里了，今天按照这个时间线回顾一下《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)这个文件。鉴于我们是了解一个等保发展历程，文章术语依然依照原来描述。

 

从各种资料中，我们了解到。在党中央、国务院高度重视信息安全保障工作的环境下，《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)于2003年7月，由国家信息化领导小组第三次会议审议通过，这次会议是专门研究信息安全问题的一次会议。

这个文件，首次为我们明确了此后一段时期我国信息安全保障工作的总体要求、主要原则和重点任务，对加强信息安全保障工作做出了重要部署，要求建立国家信息安全保障体系。

27号文告诉我们，正是这个文件将等级保护制度作为我国信息安全领域的一项基本制度予以明确，同时提出了需要加强的信息保护和网络信任体系建设、信息安全监控体系建设、信息安全应急处理、信息安全技术研究开发、产业发展、法制和标准化建设、人才培养等一系列工作。

27号文标志着等级保护从计算机信息系统安全保护的一项制度提升到国家安全信息安保障工作的基本制度。“谁主管谁负责，谁运营谁负责”的信息安全保障责任制原则就是出自27号文，这个原则依然是我们撰写方案重要依据，也是在网络安全案事件发生后公安调查过程中划分相关责任的重要依据。

在开展等级保护中，27号文作为一个非常重要的政策依据，为我们等级保护工作提供了参考和指引。历史已经验证在坚持积极防御、综合防范的方针下，信息安全防护能力得到了全面提高。保障了基础信息网络和重要信息系统安全，创建了安全健康的网络环境，保障和促进了信息化发展，保护了公众利益，维护了国家安全。伴随着信息安全的发展，我国在信息安全领域也与时俱进，不断发展着。

27号文告诉我们十点内容，其中“积极防御、综合防范”“实行信息安全等级保护”“谁主管谁负责，谁运营谁负责”是我们耳熟能详的几个原则。27号文提出的十点，已经都经过历史验证，都已经得到证明或还正在实践，比如“谁主管谁负责，谁运营谁负责”可能将一直作为我们网络安全领域的一个原则被遵循或遵守。

有关网络安全等级保护的疑惑，可以共同探讨。有等级保护测评合作项目，请与我进行联系。

---

参考文献：国家信息化领导小组关于加强信息安全保障工作的意见