昨天，探讨了《网络安全等级保护：等级保护的概念》，今天简单谈一下等级保护的内涵，当然这些都是有出处的，并不是我信口开河的内容。然而，因为个人掌握和理解有限，难免出现一些舛误，有不到的地方，还请方家多多指正。

国家对信息安全产品的使用实行分等级管理。信息安全事件实行分等级响应、处置的制度。依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围，确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案，确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后，分等级按照预案响应和处置。

而产品方面，我们看到各类安全产品国家标准分为基本级和增强级，同时已经废止的《计算机信息系统安全专用产品检测和销售许可证管理办法》等文件进行管理，现在已经转为网信办目录管理方式。

结合，上一段文字，我们可以看到网络安全应急工作，在66号文中已经要求比较清晰，再结合27号文的要求“重视信息安全应急处理工作：国家和社会各方面都要充分重视信息安全应急处理工作”，66号文将等级保护工作更加具象化。当然，66号文本身是一份规范性文件，还未具象化到可以直接执行的程度，所以我们查阅资料会发现2004年到2007年国家在信息安全领域集中出台了一系列标准。

总结，结合《中华人民共和国网络安全法》，现今的内涵描述相对来说比以往需要做些调整，结合一些资料我们看到：网络安全等级保护是对网络进行分等级保护、分等级监管，是将信息网络、信息系统、网络上的数据和信息，按照重要性和遭受损坏后的危害性分成五个安全保护等级(从第一级到第五级，逐级增高)；等级确定后，第二级(含)以上网络到公安机关备案，公安机关对备案材料和定级准确性进行审核，审核合格后颁发备案证明；备案单位根据网络的安全等级，按照国家标准开展安全建设整改，建设安全设施、落实安全措施、落实安全责任、建立和落实安全管理制度；选择符合国家要求的测评机构开展等级测评；公安机关对第二级网络进行指导，对第三、第四级网络定期开展监督、检查。

今天是从内涵的维度，去探讨等级保护工作，昨天是从概念视角。无论从哪个视角，都是奔着网络安全这个大要求去的，所以并不矛盾。而网络运营者就是需要从不同维度去理解网络安全等级保护，不要出现理解偏颇，工作限于被动或狭隘的境地，也要明白等级保护的法律与法理要求，减少被一些人带歪带偏，产生违规的情况，则可能带来行政处罚相关风险。

参考：

中华人民共和国网络安全法

中华人民共和国计算机信息系统安全保护条例（国务院令 第147号）

关于加强信息安全保障工作的意见 （中办发〔2003〕27号） 

关于信息安全等级保护工作的实施意见 （公通字〔2004〕66号）

— 欢迎关注