2018年6月27日，公安部正式發布《網絡安全等級保護條例(征求意見稿)》(以下稱“《等保條例》”)，標志著《網絡安全法》(以下稱“《網安法》”)第二十一條所確立的網絡安全等級保護制度有了具體的實施依據與有力抓手。《等保條例》共八章七十三條，包括總則、支持與保障、網絡的安全保護、涉密網絡的安全保護、密碼管理、監督管理、法律責任和附則。相較于2007年實施的《信息安全等級保護管理辦法》(以下稱“《管理辦法》”)所確立的等級保護1.0體系，《等保條例》在國家支持、定級備案、密碼管理等多個方面進行了更新與完善，適應了現階段網絡安全的新形勢、新變化以及新技術、新應用發展的要求，標志著等級保護正式邁入2.0時代。

[[236681]]

《等保條例》的具體規定

《管理辦法》由公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室共同發布，作為等保1.0體系的核心規定，其法律效力為部門規范性文件。另根據《管理辦法》第一條規定，其制定依據為國務院行政法規《計算機信息系統安全保護條例》。

《等保條例》雖尚在征求意見稿階段，根據《行政法規制定程序條例》第五條，行政法規的名稱一般稱“條例”，國務院各部門和地方人民政府制定的規章不得稱“條例”，因此，《等保條例》應當屬于行政法規范疇。此外，《等保條例》第一條規定了其制定依據為《網安法》與《保守國家秘密法》。

綜上可知，《管理辦法》為依據行政法規制定的部門規范性文件，而《等保條例》則屬于依據國家法律制定的行政法規，顯然，無論是自身法律效力亦或法律依據的效力位階，等保2.0均優于等保1.0。

等級保護的適用范圍

對于適用范圍，《等保條例》概括性地規定為適用于網絡運營者在我國境內建設、運營、維護、使用網絡，開展網絡安全等級保護以及監督管理工作，而個人及家庭自建自用的網絡除外，內容較為簡略。2018年1月19日，全國信息安全標準化技術委員會發布了《信息安全技術網絡安全等級保護定級指南2.0(征求意見稿)》(以下稱“《定級指南2.0》”)，為等保的具體適用提供了指引。

等保1.0體系中，《管理辦法》在第十條明確提到信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》(以下稱“《定級指南1.0》”)確定信息系統的安全保護等級。因此，《定級指南2.0》的出臺很大程度上得益于《定級指南1.0》的已有規定。

相比《定級指南1.0》將等級保護的對象籠統地定義為信息安全等級保護工作直接作用的具體的信息和信息系統，《定級指南2.0》細化了網絡安全等級保護制度定級對象的具體范圍，主要包括基礎信息網絡、工業控制系統、云計算平臺、物聯網、使用移動互聯技術的網絡、其他網絡以及大數據等多個系統平臺。另外，作為定級對象的網絡還應當滿足三個基本特征：第一，具有確定的主要安全責任主體;第二，承載相對獨立的業務應用;第三，包含相互關聯的多個資源

根據《定級指南2.0》，定級對象在滿足上述基本特征后仍需遵循相關要求。對于電信網、廣播電視傳輸網、互聯網等基礎信息網絡，應分別依據服務類型、服務地域和安全責任主體等因素將其劃分為不同的定級對象，而跨省業務專網既可以作為一個整體定級，也可根據區域劃分為若干對象定級。對于工業控制系統，應將現場采集/執行、現場控制和過程控制等要素應作為一個整體對象定級，而生產管理要素可以單獨定級。對于云計算平臺，則應區分為服務提供方與租戶方，各自分別作為定級對象。對于物聯網，雖然其包括感知、網絡傳輸和處理應用等多種特征因素，但仍應將以上要素作為一個整體的定級對象，各要素并不單獨定級。采用移動互聯技術的網絡與物聯網類似，應將移動終端、移動應用、無線網絡等要素與相關有線網絡業務系統作為整體對象定級。對于大數據，除安全責任主體相同的平臺和應用可以整體定級外，應單獨定級。

網絡等級

《等保條例》繼受了《管理辦法》所確立的五級安全保護等級體系，但進一步強化了對公民、法人和其他組織合法權益的保護。《管理辦法》并未在主文中規定當遭受破壞后會對公民、法人和其他組織合法權益產生特別嚴重損害的信息系統應當如何定級，《定級指南1.0》僅在之后定級要素與安保等級關系的表格中顯示上述信息系統應列為第二級，而《等保條例》則進行了相應修改，當等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產生特別嚴重損害時，相應系統應當定為第三級保護對象。具體等級劃分請參照以下表格：

網絡安全保護義務

《管理辦法》第五條規定信息系統的運營、使用單位應當依照該辦法及其相關標準規范履行信息安全等級保護的義務和責任，但并未明確對應的義務。作為《網安法》配套法規的《等保條例》則沿襲了《網安法》已有的規定，就網絡運營者的一般和特殊安全保護義務、網絡產品和服務采購、應急預案制定等進行了詳細的規定。

對于安全保護義務，除《網安法》第二十一條已經明確的內容外，一般網絡運營者還應：一、建立安全管理和技術保護制度，建立人員管理、教育培訓、系統安全建設、系統安全運維等制度;二、落實機房安全管理、設備和介質安全管理、網絡安全管理等制度，制定操作規范和工作流程;三、在收集使用和處理個人信息時采取保護措施防止其泄露、損毀、篡改、竊取、丟失和濫用;四、落實違法信息發現、阻斷、消除等措施，落實防范違法信息大量傳播、違法犯罪證據滅失等措施;五、落實違法信息發現、阻斷、消除等措施，防范違法信息大量傳播和違法犯罪證據的滅失。第三級以上的網絡運營者除上述義務外，還應當著重落實網絡安全管理負責人、關鍵崗位技術人員的安全背景審查和持證上崗制度，同時定期開展等級測評工作。

對于網絡產品和服務采購，網絡運營者應當采購、使用符合國家法律法規和有關標準規范要求的網絡產品和服務，第三級以上網絡運營者應當采用與其安全保護等級相適應的網絡產品和服務，對重要部位使用的網絡產品，還應當委托專業測評機構進行專項測試。2017年6月1日生效的《網絡關鍵設備和網絡安全專用產品目錄(第一批)》與國家認監委等四部門于2018年3月15日發布的《承擔網絡關鍵設備和網絡安全專用產品安全認證和安全檢測任務機構名錄(第一批)》對網絡運營者使用的網絡產品的要求進行了詳細的規定，因此建議網絡運營者在采購網絡產品和服務要求供應商提供專業機構出具的安全認證或檢測證書，以減少運營法律風險。

對于應急預案的制定，第三級以上網絡的運營者應當按照國家有關規定，制定網絡安全應急預案，定期開展網絡安全應急演練。除及時記錄并留存事件數據信息，向公安機關和行業主管部門報告外，網絡運營者還應當為重大網絡安全事件處置和恢復提供支持和協助。根據工信部《公共互聯網網絡安全突發事件應急預案》，報告網絡安全事件信息時，還應當說明事件發生時間、初步判定的影響范圍和危害、已采取的應急處置措施和有關建議等。

網絡安全保護要求

近年來，隨著人工智能、大數據、物聯網、云計算等的快速發展，安全趨勢和形勢的急速變化，2008年發布的《GB/T22239-2008 信息安全技術 信息系統安全等級保護基本要求》(簡稱等保1.0)已經不再適用于當前安全要求。從2015年開始，等級保護的安全要求逐步開始制定2.0標準，包括5個部分：安全通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制安全擴展要求。2017年8月，公安部評估中心根據網信辦和安標委的意見將等級保護在編的5個基本要求分冊標準進行了合并形成《網絡安全等級保護基本要求》一個標準。等保1.0標準更偏重于對于防護的要求，而等保2.0標準更適應當前網絡安全形勢的發展，結合《網安法》中對于持續監測、威脅情報、快速響應類的要求提出了具體的落地措施。等保2.0與等保1.0標準的變化內容請參照以下表格：