5月13日，國家市場監督管理總局、國家标準化管理委員(yuán)會召開(kāi)新聞發布會，通報國家标準制定流程改革的有關情況，同時發布了一(yī)批重要國家标準。在網絡安全領域，等級保護2.0相關的《信息安全技術 網絡安全等級保護基本要求》、《信息安全技術 網絡安全等級保護測評要求》、《信息安全技術網絡安全等級保護安全設計技術要求》等國家标準正式發布，将于2019年12月1日正式實施。此系列标準的正式發布，标志(zhì)着持續多年的等級保護标準體(tǐ)系修訂完善工(gōng)作已經基本完成，我(wǒ)國網絡安全等級保護工(gōng)作将正式進入“2.0時代”。

等級保護國家标準修訂意義

等級保護1.0标準在我(wǒ)國推行信息安全等級保護制度的過程中(zhōng)起到了非常重要的作用，已廣泛應用于各行業、各領域。有效指導了網絡運營者、網絡安全企業、網絡安全服務機構開(kāi)展網絡安全等級保護安全技術方案的設計和實施，指導了測評機構更加規範化、标準化地開(kāi)展等級測評工(gōng)作，全面提升了網絡運營者的網絡安全防護能力。

随着《中(zhōng)華人民共和國網絡安全法》的頒布及雲計算、大(dà)數據、物(wù)聯網、移動互聯、工(gōng)業控制等新技術、新應用領域的發展，已有十多年曆史的等級保護1.0标準體(tǐ)系在時效性、易用性、可操作性等方面無法滿足要求。2014年以來，由中(zhōng)共中(zhōng)央網絡安全和信息化委員(yuán)會辦公室指導、國家标準化管理委員(yuán)會和全國信息安全标準化技術委員(yuán)會組織，公安部牽頭開(kāi)展了多項等級保護國家标準的制修訂工(gōng)作。

等級保護2.0國家标準的重大(dà)變化

與等級保護1.0國家标準相比，等級保護2.0國家标準所依托的法律文件地位、标準名稱、保護對象、标準内容等各方面都發生(shēng)了重大(dà)變化。

1、所依托法律文件地位的提升

等級保護1.0标準體(tǐ)系是以《中(zhōng)華人民共和國計算機信息系統安全保護條例》以及公安部等相關部門發布的部門規範性文件爲依托；等級保護2.0标準體(tǐ)系則是以《中(zhōng)華人民共和國網絡安全法》爲依托。作爲網絡安全領域的國家最高法，《中(zhōng)華人民共和國網絡安全法》對等級保護2.0提供了明确指導和有力支撐。

2、标準名稱的變化

爲适應網絡安全法，落實網絡安全等級保護制度，标準名稱由“信息系統安全等級保護”變更爲“網絡安全等級保護”。

3、保護對象的變化

等級保護1.0國家标準的保護對象爲信息系統，等級保護2.0國家标準将基礎信息網絡（廣電網、電信網等）、信息系統（采用傳統技術的系統）、雲計算平台、大(dà)數據平台、移動互聯網、物(wù)聯網和工(gōng)業控制系統等都納入了等級保護對象範圍。

4、标準内容的變化

爲适應雲計算、大(dà)數據、移動互聯、物(wù)聯網和工(gōng)業控制等新技術、新應用情況下(xià)等級保護工(gōng)作的順利開(kāi)展，等級保護2.0标準針對共性安全保護需求提出安全通用要求，針對雲計算、大(dà)數據、移動互聯、物(wù)聯網和工(gōng)業控制等新技術、新應用領域的特性化安全保護需求提出安全擴展要求。

随着《信息安全技術 網絡安全等級保護基本要求》、《信息安全技術 網絡安全等級保護測評要求》、《信息安全技術 網絡安全等級保護安全設計技術要求》這3項關鍵标準的正式發布，等級保護2.0國家标準體(tǐ)系的建設工(gōng)作也已基本完成，主要的等級保護國家标準有：

GB 17859-1999   《計算機信息系統 安全保護等級劃分(fēn)準則》

GB/T 22240-2008 《信息安全技術 信息系統安全等級保護定級指南(nán)》（修訂中(zhōng)）

GB/T 22239-2019 《信息安全技術 網絡安全等級保護基本要求》

GB/T 25070-2019 《信息安全技術 網絡安全等級保護安全設計技術要求》

GB/T 28448-2019 《信息安全技術 網絡安全等級保護測評要求》

GB/T 25058-2010 《信息安全技術 信息系統安全等級保護實施指南(nán)》（修訂中(zhōng)）

GB/T 36958-2018 《信息安全技術 網絡安全等級保護安全管理中(zhōng)心技術要求》

GB/T 28449-2018 《信息安全技術 網絡安全等級保護測評過程指南(nán)》

GB/T 36627-2018 《信息安全技術 網絡安全等級保護測試評估技術指南(nán)》

GB/T 36959-2018 《信息安全技術 網絡安全等級保護測評機構能力要求和評估規範》

本次發布的等級保護2.0國家标準簡介

1、GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》：該項标準是等級保護标準體(tǐ)系的核心，對2008版标準中(zhōng)提出的基本要求進行了修改完善，形成安全通用要求；對雲計算、大(dà)數據、移動互聯、物(wù)聯網、工(gōng)業控制等新技術和新應用領域，提出了安全擴展要求。安全通用要求針對共性化保護需求提出，無論等級保護對象以何種形式出現，均需要根據安全保護等級實現相應級别的安全通用要求；安全擴展要求針對特性化保護需求提出，需要根據安全保護等級、使用的特定技術或特定的應用場景實現安全擴展要求。等級保護對象的安全保護措施需要同時實現安全通用要求和安全擴展要求，從而更加有效地保護等級保護對象。

2、GB/T25070-2019 《信息安全技術 網絡等級保護安全設計技術要求》，該标準主要對共性安全保護目标提出通用安全設計技術要求，并針對雲計算、大(dà)數據、移動互聯、物(wù)聯網和工(gōng)業控制等新技術、新應用領域的安全保護目标，提出針對性的安全設計技術要求。該标準适用于指導運營使用單位、網絡安全企業、網絡安全服務機構開(kāi)展網絡安全等級保護安全技術方案的設計和實施，也可作爲網絡安全職能部門進行監督、檢查和指導的依據。

3、 GB/T28448-2019 《信息安全技術 網絡安全等級保護測評要求》，該标準與等級保護基本要求保持一(yī)緻，主要明确了測評對象、測評判定規則等内容。該标準同樣對雲計算、大(dà)數據、移動互聯、物(wù)聯網和工(gōng)業控制等新技術、新應用領域做出了擴展要求。該标準爲安全測評服務機構、等級保護對象的主管部門及運營使用單位對等級保護對象的安全狀況進行安全測評提供指南(nán)。信息安全監管職能部門進行網絡安全等級保護監督檢查時參考使用。