1.1.3 信息安全等级保护测评

1.概述

网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、机密性和可用性的能力。安全保护能力是指能够抵御威胁，发现安全事件以及在遭到损害后能够恢复先前状态等的能力。为了对网络进行规范的安全保护，国家先后出台了多项相关的国家标准，形成了具有中国特色的信息安全等级保护制度体系。

信息安全等级保护制度是国家信息安全保障工作的基本制度。开展信息安全等级保护工作不仅是加强国家信息安全保障工作的重要内容，也是一项事关国家安全、社会稳定与经济发展的政治任务。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，以及信息系统遭到破坏后对国家安全、社会秩序、公共利益，公民、法人和其他组织的合法权益的危害程度等因素确定，整体的保护层级共分5级。

2.发展历程

信息安全等级保护制度发展的历程，大致如下。

1994年，国务院颁布的《中华人民共和国计算机信息系统安全保护条例》，规定计算机信息系统实行信息系统安全等级保护。

1999年，国家发布GB 17859—1999《计算机信息系统 安全保护等级划分准则》。

2004年，公安部等四部委颁布的《关于信息系统安全等级保护工作的实施意见》（公通字［2004］66号）指出：“信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度”。

以上述文件和标准为基础，公安部联合国家标准化管理委员会又先后在2008年发布了GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》、2010年发布了GB/T 25058—2010《信息安全技术 信息系统安全等级保护实施指南》、2012年发布了GB/T 28448—2012《信息安全技术 信息系统安全等级保护测评要求》等多项信息安全等级保护测评的相关国家标准，才最终使信息安全等级保护制度得以完善，并在2012年以后大规模推广，进行相关的信息系统等级保护测评工作。

网络安全等级保护是在2017年6月1日《中华人民共和国网络安全法》（以下简称《网络安全法》）生效后，由公安部第三研究所（公安部信息安全等级保护评估中心）联合国内多家单位，在原《信息安全等级保护制度》的基础上升级，形成《网络安全等级保护2.0》体系，即等保2.0体系。《网络安全等级保护2.0》系列的标准在2019年5月发布，2019年12月开始实施。