一、引述

1、相關定義

根據(jù)有關規(guī)范標準給出相關定義，信息是指在信息系統(tǒng)中存儲、傳輸、處理的數(shù)字化信息。那么信息系統(tǒng)是指由計算機及其配套的設備、設施構成的，按照一定的應用目標和規(guī)則對信息進行存儲、傳輸、處理的系統(tǒng)或網(wǎng)絡。網(wǎng)絡安全是指通過采取必要的措施，防范對網(wǎng)絡的攻擊、侵入、干擾、破壞和非法使用以及以外事故，使網(wǎng)絡處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡數(shù)據(jù)信息的完整性、保密性、可用性的能力。安全分級是指：根據(jù)業(yè)務信息和系統(tǒng)服務的重要性和受損影響，確定實施某種程度的保護等級。

2、“信息安全等級保護制度”到“網(wǎng)絡安全等級保護制度”的演進

在我國進入信息化時期，一開始就堅持推行信息安全等級保護制度，使信息安全實行分等級保護，以確保海量的信息安全的有效保護。在1994年2月18日國務院頒發(fā)的《中華人民共和國計算機信息系統(tǒng)安全保護條例》（中華人民共和國國務院令第147號）中，其第九條明確規(guī)定：計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定。此后，一直稱之為“信息安全等級保護制度”或“信息系統(tǒng)安全等級保護制度”并持續(xù)推動實施中。

直到2017年6月1日的《中華人民共和國網(wǎng)絡安全法》頒布，其中第二十一條規(guī)定：國家實行網(wǎng)絡安全等級保護制度，網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行安全保護義務，保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改。至此，將信息安全等級保護制度更名為網(wǎng)絡安全等級保護制度，即開啟了“信息安全等級保護制度”演進到“網(wǎng)絡安全等級保護制度”。這是因為隨著信息技術的發(fā)展，等級保護對象已經(jīng)從狹義的信息系統(tǒng)，擴展到了網(wǎng)絡，使其保護對象變?yōu)槎嘣粌H包含信息或信息系統(tǒng)，還包含信息網(wǎng)絡，網(wǎng)絡包括網(wǎng)絡基礎設施、云計算平臺/系統(tǒng)、大數(shù)據(jù)平臺/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術的系統(tǒng)等。

必須指出的是：“信息安全等級保護制度”到“網(wǎng)絡安全等級保護制度”的演進，不僅僅是名稱的變更，更是制度體系的發(fā)展演進，包括等級保護對象的變化、安全技術要求的變化和制度管理要求的變化等。

欲詳細了解上述相關法律法規(guī)內容的請進入：《計算機信息系統(tǒng)安全保護條例》；《網(wǎng)絡安全法》

二、制度的內容確立

在1994年2月18日國務院頒發(fā)《中華人民共和國計算機信息系統(tǒng)安全保護條例》提出推行信息安全等級保護制度，并要求公安部牽頭制定制度內容后，公安部就開始了該制度內容的確立與建立工作。于是，分別在2004年9月15日、2006年1月17日和2007年6月22日，公安部會同國家保密局、國家密碼管理局、國務院信息化工作辦公室聯(lián)合發(fā)布了《關于信息安全等級保護工作的實施意見》（公通字[2004] 66號）、《信息安全等級保護管理辦法（試行）》（公通字[2006] 7號）和《信息安全等級保護管理辦法》（公通字[2007] 43號）。三個文件持續(xù)的對信息系統(tǒng)實行安全等級保護工作做出了不斷的管理要求。并根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度；針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須要達到的基本的安全保護水平等因素，對信息和信息系統(tǒng)的安全保護等級定級為五級。其三個文件定級要求基本類同，但表述上有些差別，尤其是公通字[2007] 43號尤為重要。為此，分別列于下表2-1~表2-3中，以供大家了解。安全等級越高，其保護與監(jiān)督的要求越高。

表 2-1：信息系統(tǒng)安全保護等級的定級與監(jiān)督要求（公通字[2004] 66號）

表 2-2：信息系統(tǒng)安全保護等級的定級與保護及監(jiān)督要求（公通字[2006] 7號）

表 2-3：信息系統(tǒng)安全保護等級的定級與保護及監(jiān)督要求（公通字[2007] 43號）

在三個文件中還規(guī)定了信息系統(tǒng)的運營或使用單位應按安全等級進行保護；國家有關信息安全職能部門對其保護工作進行監(jiān)督管理的要求，也分別列入上述表格中。事實上，通過“公通字[2007] 43號《管理辦法》等上述文件，它確立了信息安全等級保護制度的相關管理要求，包括等級級別的設立，以及備案管理、監(jiān)督管理、測評管理等。

欲詳細了解公安部等部門發(fā)布的上述文件內容的請進入。

三、制度的技術要求

為了使上述管理部門確立的安全等級保護制度的實施與落地，必須有相應的標準技術要求的配合，如等級的劃分準則與定級指南、制度的基本技術要求、實施技術要求、測評技術要求、管理技術要求等。為此，我國專門制定并發(fā)布了安全等級保護技術的國家標準，可以歸類為其基礎性標準、細化性標準和擴展性標準。

1、基礎性標準：GB 17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》

在1999年9月我國發(fā)布了強制性國家標準GB 17859《計算機信息系統(tǒng)安全保護等級劃分準則》，它是專門配合國務院《中華人民共和國計算機信息系統(tǒng)安全保護條例》而制定的，該標準是信息系統(tǒng)安全等級保護標準方面的一個基礎性標準，是其它類相關標準的上位標準。該標準的發(fā)布主要有三個目的：一是為計算機信息系統(tǒng)安全法規(guī)的制定和執(zhí)法部門的監(jiān)督檢查提供依據(jù)（如上述《信息安全等級保護管理辦法》等）；二是為計算機信息系統(tǒng)安全產(chǎn)品的研制提供技術支持；三是為安全系統(tǒng)的建設和管理提供技術指導（如下述的細化性標準和擴展性標準）。

目前，該基礎性標準仍然有效，它是將計算機信息系統(tǒng)安全保護能力的五個等級劃分為：用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級共5個等級，其等級名稱釋義詳見下表3-1；同時給出了這些等級的劃分準則，其適用于計算機信息系統(tǒng)安全保護技術能力等級的劃分。計算機信息系統(tǒng)安全保護能力隨著安全保護等級的增高，逐漸增強。該標準的保護對象是計算機信息系統(tǒng)，事實上，在早期往往是稱“計算機信息系統(tǒng)”，隨著信息通信技術（ICT）的融合發(fā)展，現(xiàn)代統(tǒng)稱為“信息系統(tǒng)”。其實，僅對計算機信息系統(tǒng)而言，其應是信息系統(tǒng)的重要組成內容。

表 3-1：計算機信息系統(tǒng)安全保護能力的五個等級及釋義

欲詳細了解GB 17859-1999標準具體內容的請進入。

2、信息安全等級保護的相關國家標準

為了配合《信息安全等級保護管理辦法》（公通字[2007] 43號）的實施，我國從2008年開始又陸續(xù)發(fā)布了信息安全等級保護的細化性系列國家標準，它們以GB 17859-1999規(guī)定的五個等級，提出了相關技術要求。它們是：GB/T 22239-2008《信息安全技術 信息系統(tǒng)安全等級保護基本要求》、GB/T 22240-2008《信息安全技術 信息系統(tǒng)安全等級保護定級指南》、GB/T 25058-2010《信息安全技術 信息系統(tǒng)安全等級保護實施指南》、GB/T 25070-2010《信息安全技術 信息系統(tǒng)等級保護安全設計技術要求》、GB/T 28448-2012《信息安全技術 信息系統(tǒng)安全等級保護測評要求》和GB/T 28449-2012《信息安全技術 信息系統(tǒng)安全等級保護測評過程指南》等六個。這些標準各自所規(guī)范的內容匯總于下表3-2中，它們都是依據(jù)上述國家的法規(guī)與管理文件、GB 17859-1999上位標準及我國其它信息安全類國家標準（見下述，稱之為擴展性標準）而制定，為信息系統(tǒng)安全等級保護工作的建設和管理提供了有力的技術支撐。

表 3-2：信息系統(tǒng)安全等級保護的配套國家標準系列所規(guī)范的內容

3、網(wǎng)絡安全等級保護的相關國家標準

上述六個標準都被它們的第1次修訂的修訂版代替了。這是因為，一是為了配合2017年頒布的《中華人民共和國網(wǎng)絡安全法》的開始實施；二是信息通信技術（ICT）的高速發(fā)展，使安全等級保護的對象在變化，故將原來的信息系統(tǒng)調整為基礎信息網(wǎng)絡、信息系統(tǒng)（含采用移動互聯(lián)技術的系統(tǒng)）、云計算平臺/系統(tǒng)、大數(shù)據(jù)應用/平臺/資源、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等。因此，其修訂版都將 “信息系統(tǒng)安全等級保護” 名稱修訂為“網(wǎng)絡安全等級保護”，且修訂版的內容變化較大。這次修訂是從2018年開始的，直到2020年六個標準的修訂并發(fā)布完畢，由此也稱為安全等級保護系列標準的2.0版本。

欲詳細了解上述這些國家標準情況（包括版本、構成情況等）和原文內容的請進入。

承然，依據(jù)GB/T 22239-2019《信息安全技術 網(wǎng)絡安全等級保護基本要求》，給出的網(wǎng)絡安全的不同級別的等級保護對象應具備的基本安全保護能力詳見于下表3-3（其中第五級省略）。依據(jù)GB/T 22240-2020《信息安全技術 網(wǎng)絡安全等級保護定級指南》，將網(wǎng)絡安全等級保護仍然定級為五級，同表2-3（公通字[2007] 43號文件），只是將表中的“信息系統(tǒng)”調整為“等級保護對象”。

表 3-3：網(wǎng)絡安全等級保護的基本安全保護能力

4、安全等級保護的擴展性國家標準

事實上，上述安全等級保護標準系列（包括其1.0版本和2.0版本）可以統(tǒng)稱為安全等級保護標準的細化性標準。然而，為了配合《信息安全等級保護管理辦法》（公通字[2007] 43號）的實施，以及在制定上述細化性標準時，還需要相關信息安全技術類標準的配合，我們可以將這類標準稱之為安全等級保護的擴展性標準。這些標準主要是指：GB/T 20269-2006《信息安全技術 信息系統(tǒng)安全管理要求》、GB/T 20270-2006《信息安全技術 網(wǎng)絡基礎安全技術要求》、GB/T 20271-2006《信息安全技術 信息系統(tǒng)通用安全技術要求》和GB/T 20282-2006《信息安全技術 信息系統(tǒng)安全工程管理要求》等。它們依據(jù)基礎性標準GB 17859-1999劃分的五個安全保護等級，所規(guī)范的內容匯總于下表3-4中。

表 3-4：信息系統(tǒng)安全等級保護的擴展性國家標準所規(guī)范的內容

欲詳細了解上述這些國家標準情況和原文內容的請進入。

四、特別說明

其一：由上述介紹可知，對于信息安全等級或網(wǎng)絡安全等級的定級，其管理規(guī)定（上述第二項）和國家標準（上述第三項中的基礎性標準和擴展性標準）確定的內容是有所不同的。這是因為：公通字[2007] 43號等管理文件中安全等級的劃分是從管理角度出發(fā)而確定；GB 17859-1999等國家標準中安全等級的劃分是從技術角度出發(fā)而確定。它們的異同點詳見于下表4。

表 4：管理規(guī)定和國家標準關于信息系統(tǒng)安全或信息網(wǎng)絡安全等級的定級方法異同

其二：這里介紹的是信息系統(tǒng)安全或網(wǎng)絡安全的等級與等級保護的相關要求。信息安全等級保護從與信息系統(tǒng)（或網(wǎng)絡）安全相關的物理層面、網(wǎng)絡層面、系統(tǒng)層面、應用層面和管理層面對信息系統(tǒng)或信息網(wǎng)絡實施分等級安全保護。然而，關于分等級安全保護，我國還發(fā)布有對于電信網(wǎng)和互聯(lián)網(wǎng)分等級安全防護的相關要求，也包括法規(guī)要求和技術標準要求，其中也是按五個安全等級進行防護要求。它主要是從管理層面對電信網(wǎng)和互聯(lián)網(wǎng)分等級安全防護提出要求的。

欲進一步了解電信網(wǎng)和互聯(lián)網(wǎng)安全防護的相關要求的請進入。