一、定义
"等级保护2.0"或"等保2.0"是一个约定俗成的说法,指的是按照新的等级保护标准规范开展工作的统称。它通常被认为是在《中华人民共和国网络安全法》颁布实施后提出的概念,以2019年12月1日《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)正式实施为象征性标志。
等级保护制度本身是我国网络安全的基本制度。所谓等级保护,是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统,分等级实行安全保护。等保2.0是这一制度的升级版本,以动态防御、主动防护为核心,通过技术与管理双重维度构建安全体系。其核心目标包括三个方面:一是分级保护,将信息系统划分为五级安全保护等级,根据系统受破坏后的影响范围逐级提升防护要求;二是对象扩展,覆盖传统信息系统及云计算、物联网、工业控制等新兴技术场景,形成"通用要求+扩展要求"的灵活框架;三是合规驱动,强制要求关键信息基础设施运营者落实等级保护,通过备案、定期测评、整改闭环等流程强化责任主体意识。
二、发布背景
等保2.0的出台并非凭空而来,而是多重因素共同作用的结果。
一是法律层面的重大变化。 2017年6月1日,《中华人民共和国网络安全法》正式实施,这是我国第一部在网络安全空间的综合性法律法规,标志着国家在网络安全治理方面从此有法可依。该法第21条明确提出"国家实行网络安全等级保护制度",第31条进一步规定"国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护"。网络安全法的出台,将等级保护制度从条例法规层面提升到了国家法律层面,意味着不开展等级保护的单位和个人等于违法,并要承担相应的法律后果。
二是技术发展和安全形势的变化。 早在1994年,国务院就颁布了《中华人民共和国计算机信息系统安全保护条例》,首次提出国家信息安全工作信息系统应分等级实施保护。此后,2007年《信息安全等级保护管理办法》的发布正式启动了等级保护1.0的实施。然而,随着安全趋势和形势的变化,以及大数据、物联网、云计算等新技术、新应用、新业务形态的大量涌现,网络安全产业产生了巨大变革,原有发布的标准已不再适应当前的安全要求。2014年,全国信息安全标准化技术委员会下达了对《GB/T 22239-2008》的修订任务,标准编制组于同年成立,先后调研了国际和国内云计算平台、大数据应用、移动互联接入、物联网和工业控制系统等新技术、新应用的使用情况,历时五年完成了修订工作。
三是落实网络安全法的需要。 构建等保2.0规范体系,是为了有效落实《网络安全法》关于网络安全等级保护的规定。2018年6月27日,公安部会同中央网信办、国家保密局、国家密码管理局等主管部门联合起草发布了《网络安全等级保护条例(征求意见稿)》,具体构筑网络运行分级保护和分级管理的制度体系。2019年5月13日下午,国家市场监督管理总局召开新闻发布会,正式发布《信息安全技术 网络安全等级保护基本要求》2.0版本,并于同年12月1日正式实施。
三、覆盖范围
等保2.0在覆盖范围上相比1.0有显著扩展,主要体现在以下几个方面。
保护对象的扩展。 等保1.0的定级对象主要是传统信息系统,而等保2.0的保护对象更为广泛,涵盖网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。简言之,保护范围从传统的"信息系统"大幅扩展至"云、移、物、工、大"等新型技术场景。
"通用+扩展"的双层架构。 等保2.0采取了安全通用要求与安全扩展要求相结合的方式。安全通用要求是不管等级保护对象形态如何都必须满足的基本要求;针对云计算、移动互联、物联网、工业控制等不同技术场景的特点,则分别提出了相应的安全扩展要求。这一设计使标准更具灵活性和针对性,既保证了基本安全防护的统一标准,又兼顾了不同技术领域的安全差异。
五个安全保护等级。 等保2.0仍遵循五个安全保护等级的划分,基本沿用等保1.0对不同级别安全保护能力的描述。五个等级从低到高依次为:第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级),根据系统遭受破坏后对国家安全、社会秩序、公共利益以及公民合法权益的危害程度逐级提升防护要求。不同级别的系统对应不同的监管力度和测评频率------二级系统建议每两年测评一次,三级及以上系统每年必须开展一次等级测评。
全覆盖、全行业、全流程。 等保2.0实现了"对象全覆盖"------保护范围从传统信息系统扩展至云计算平台、大数据中心、工业控制等新型对象。其覆盖范围不仅包括党政机关、金融机构,企业官网、APP后台、内部OA系统,只要有信息系统就得按规防护。基本要求标准规定了第一级到第四级等级保护对象的安全通用要求和安全扩展要求,适用于指导分等级的非涉密对象的安全建设和监督管理,而第五级等级保护对象则属于特殊管理范畴。
四、影响
等保2.0的发布实施对各行业产生了深远影响,可以从以下几个维度来理解。
对企业合规的影响。 最为核心的影响在于等保工作的法律地位发生了根本性变化。等保1.0的最高依据是国务院147号令,而等保2.0的最高依据是国家法律《网络安全法》,这意味着等级保护工作从"可选项"变为"必选项"。未落实等级保护义务的企业,根据法律规定,公司或单位可被罚款1万元至100万元,相关主管人员个人可被罚款5000元至10万元。同时,等保2.0标志着企业网络安全建设从"被动合规"转向"主动防御"。企业需要构建"技术+管理"双维度防护体系,围绕"一个中心、三重防护"(安全管理中心、安全通信网络、安全区域边界、安全计算环境)的架构进行建设。三级系统的合规要求和测评严格程度显著高于二级,定级过高会增加不必要的合规成本,定级过低则可能无法通过监管审查。
对网络安全产业的影响。 等保2.0直接推动了中国网络安全产业的发展。从厂商角度看,等保2.0带来了一系列新产品和新服务需求。云计算、移动互联网、物联网、工业控制系统等新领域的安全扩展要求,催生了针对性的安全产品创新,如云安全防护、物联网安全网关、工控安全防护设备等。从技术架构角度看,等保2.0强调可信计算技术使用的要求,把可信验证列入各个级别并逐级提出相应的可信验证要求,强化了动态防御、主动防御的理念。2025年,公安部进一步印发了相关文件,明确提出要在原有等保2.0基础上推动等保5级的探索和试点,政策导向逐步由"分数考核"向"实效落地"转变。
对各类组织和机构的影响。 本次出台的等级保护2.0版本,对网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统、公众服务平台、互联网企业均产生了明显影响。关键信息基础设施运营单位(金融、能源、交通、水利、医疗、教育等)构成了刚性需求主体,每年都有系统新建、变更和到期复查的需求。同时,越来越多的非强制行业企业也开始主动开展等保建设,等保认证已成为企业招投标的"敲门砖"和获取客户信任的"信誉证"。
对安全治理理念的影响。 等保2.0推动了中国网络安全治理理念的深刻转变。在监管方式上,等保1.0规定了定级、备案、建设整改、测评和监督检查五个规定动作,等保2.0在此基础之上,增加了风险评估、安全监测、通报预警、应急处置、效果评价等手段,充分体现了变被动防御为主动防御的核心思想。新标准要求具备对新型攻击分析的能力,能够检测重点节点及其入侵行为,对各类安全事件进行识别报警和分析。在控制域划分上,等保2.0将技术和管理要求整合为八个方面,定义更加精确,内容内涵更加丰富。
等保2.0的发布标志着中国网络安全等级保护制度进入了一个全新阶段。其核心价值在于通过体系化的建设思路,帮助组织系统地发现安全短板、梳理资产数据、规范管理流程、提升应急响应能力,推动组织实现从形式合规到能力驱动的根本性转变。随着数字化进程的持续深入,等保2.0作为国家网络安全战略的重要基石,其影响力和制度生命力将长期持续。