点击蓝字 关注我们

政策依据

   （1）等级保护酝酿阶段：  

    1994年2月18日《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令）

    2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）

    2004年9月15日《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号）

    2005年5月《国家信息安全战略报告》（国信〔2005〕2号）

    2006年1月17日关于印发《信息安全等级保护管理办法（试行）》等通知（公通字〔2006〕7号）

（2）等级保护1.0阶段：

    2007年6月22日《信息安全等级保护管理办法》（公通字［2007］43 号）

    2007年7月16日《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）

    2007年10月26日《信息安全等级保护备案实施细则》（公信安〔2007〕1360号）

    2008年6月10日《公安机关信息安全等级保护检查工作规范（试行）》（公信安〔2008〕736号）

    2008年8月6日《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技〔2008〕2071号）

    2008年9月24日《国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知》（发改高科〔2008〕2544号）

    2009年10月27日《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号）

    2010年3月12日《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安〔2010〕303号）

    2010年12月26日公安部、国资委联合下发《关于进一步推动中央企业信息安全等级保护工作的通知》（公通字〔2010〕70号）

    2012年6月份《国务院关于推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）

    2012年7月6日发改委、公安部、财政部、国家保密局、国家电子政务内网建设和管理协调小组办公室联合印发《关于进一步加强国家电子政务网络建设和应用工作的通知》 （发改高技〔2012〕1986号）

    2012年１２月２８日《关于加强网络信息保护的决定》（十一届人大第三十次会议）

    2015年7月9日教育部、公安部联合下发《教育部、公安部关于全面推进教育行业信息安全等级保护工作的通知》（教技〔2015〕2号）

    2015年9月17日公安部、网信办、中编办、工信部联合印发《党政机关、事业单位和国有企业互联网网站安全专项整治行动方案》（公信安〔2015〕2562号）

   （3）等级保护2.0阶段

    2017年6月1日《中华人民共和国网络安全法》正式施行

    2017年9月20日公安部、工信部、国家保密局联合印发《党政机关事业单位和国有企业电子邮件系统安全专项整治行动方案》（公信安〔2017〕2615号）

    2020年7月22日 《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安〔2020〕1960号）

    2021年9月1日 《关键信息基础设施安全保护条例》（国务院第745号令）正式施行

    2021年9月1日 《中华人民共和国数据安全法》正式施行

    2022年《关于落实网络安全保护重点措施、深入实施网络安全等级保护制度的指导意见》（公网安〔2022〕1058号）

    2023年7月1日 《商用密码管理条例》正式施行

    2025年1月1日 《网络数据安全管理条例》正式施行

什么是等级保护

    网络安全（信息安全）等级保护（以下简称“等保”）是指对非国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

为什么要做等级保护

    1.从法律要求层面来说，网络安全等级保护是国家信息安全保障基本制度、基本策略、基本方法。《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度的要求，履行安全保护义务，如果拒不履行，将会受到相应处罚。

    2.从行业要求层面来说，等保已成为许多行业的必需品。很多行业主管单位明确要求从业机构的信息系统要开展等保工作，比如金融、电力、广电、医疗、教育等行业。

    3.从安全要求层面来说，信息系统运营、使用单位通过开展等保工作可以发现系统内部的安全隐患与不足之处，可通过安全整改提升系统的安全防护能力，降低被攻击的风险。

等级保护测评周期

    第二级信息系统无明显界定，一般为2年一次；

    第三级信息系统应当每年至少进行一次等级测评；

    第四级信息系统应当每半年至少进行一次等级测评

    第五级信息系统应当依据特殊安全需求进行等级测评。