一、等级保护制度
(一)发展脉络
- 等保1.0阶段:1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护,为等保制度奠定法律基础。2003年,中央明确指出“实行信息安全等级保护”,营造了政策环境。2004 - 2006年,公安部联合四部委开展基础调查和试点工作,涉及众多单位和信息系统,为全面开展等级保护工作做准备。2007年,四部门联合出台《信息安全等级保护管理办法》等文件,等级保护制度正式实施。2010 - 2016年,相关部门陆续出台通知推进工作,如推动测评体系建设、要求中央企业贯彻执行等。
- 等保2.0阶段:2016年10月开始修订等保1.0标准,2017 - 2019年发布一系列2.0系列标准,包括基本要求、测评要求等。2019年5月标准发布,12月1日正式实施,标志进入等保2.0时代。等保2.0在工作内容上增加风险评估等;保护对象从传统网络和信息系统扩展到“云大物智移”等新业态;保护力度调整为八个安全控制域,控制点数量也有所变化。
(二)政策法规依据
《网络安全法》第二十一条明确要求国家实行网络安全等级保护制度,网络运营者需履行安全保护义务。《网络安全等级保护条例》(征求意见稿)、《关键信息基础设施安全保护条例》(征求意见稿)等也为等级保护提供政策支持。此外,还有众多部门发布的意见、通知等,共同构建起等级保护的政策法规体系。
