等保测评(网络安全等级保护测评)的法律法规体系是一个多层次、多维度的框架,涵盖法律、行政法规、国家标准、部门规章及规范性文件等。以下是其核心法律法规体系的梳理:
一、法律层
-
《中华人民共和国网络安全法》(2017年6月1日生效)
-
核心内容:明确国家实行网络安全等级保护制度,要求网络运营者按照等级保护制度履行安全保护义务(第21条、第31条)。
-
作用:为等保制度的法律基础,赋予等级保护强制实施的法律效力。
-
《中华人民共和国数据安全法》(2021年9月1日生效)
-
关联性:要求数据处理活动履行安全义务,与等保制度结合保障数据安全。
-
《中华人民共和国个人信息保护法》(2021年11月1日生效)
-
关联性:在个人信息处理场景中,通过等保测评确保个人信息处理活动的安全性。
二、行政法规层
-
《网络安全等级保护条例》(2019年12月1日实施)
-
核心内容:细化等级保护制度的实施要求,明确定级、备案、测评、整改、监督等全流程规范。
-
作用:取代原《信息安全等级保护管理办法》,成为等保2.0时代的核心行政法规。
-
《关键信息基础设施安全保护条例》(2021年9月1日生效)
-
关联性:将关键信息基础设施(CII)纳入等保三级及以上要求,强化定期测评和监管。
三、国家标准层(GB/T系列)
-
定级标准
-
指导如何科学确定信息系统的安全保护等级(一至五级)。
-
《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》
-
基本要求
-
规定各等级系统的安全技术要求和安全管理要求(等保2.0核心标准)。
-
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》
-
测评要求
-
提供测评方法、流程和判定标准,指导测评机构开展测评工作。
-
《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》
-
扩展标准
-
补充技术设计、测评实施等细节。
-
《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》
-
《GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》
四、部门规章与规范性文件
-
《网络安全等级保护测评机构管理办法》
-
规范测评机构的资质认定、业务范围及监督管理。
-
《关于开展网络安全等级保护定级工作的通知》(公通字〔2021〕12号)
-
明确定级备案的具体流程和职责分工。
-
公安部发布的《网络安全等级保护测评要求》实施指引
-
提供测评工作的操作细则和常见问题解答。
五、行业标准与地方性规范
-
行业标准
-
《金融行业网络安全等级保护实施指引》
-
《电力行业信息系统安全等级保护基本要求》。
-
各行业(如金融、电力、医疗等)结合国家标准制定行业实施细则,例如:
-
地方性规范
-
部分省市根据本地实际制定配套文件,如《北京市网络安全等级保护管理办法》。
六、体系特点
-
层级分明:从法律到标准,形成“法律→行政法规→国家标准→部门规则→行业标准”的金字塔结构。
-
覆盖全面:涵盖定级、建设、测评、整改、监督全生命周期。
-
动态更新:随着技术发展(如云计算、物联网、工业互联网)不断补充扩展标准(如等保2.0新增“安全扩展要求”)。
等保测评的法律法规体系以《网络安全法》为顶层依据,以《网络安全等级保护条例》及国家标准(GB/T 22239、GB/T 28448等)为核心操作框架,结合行业和地方规范,构建了覆盖全领域、全流程的网络安全合规体系。实际执行中需根据系统定级结果,选择对应标准开展测评与整改。
原文始发于微信公众号(苏说安全):等保测评 | 核心法律法规体系依据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论