國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度：等級保護(hù)條例及等級保護(hù)2.0內(nèi)容v1.0

1、02目錄01網(wǎng)絡(luò)安全等保2.0內(nèi)容概述網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）主要內(nèi)容網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）網(wǎng)絡(luò)安全 等級保護(hù)條例（征求意見稿）為貫徹落實(shí)中華人民共和國網(wǎng)絡(luò)安全法，深入推 進(jìn)實(shí)施國家網(wǎng)絡(luò)安全等級保護(hù)制度，公安部會同有關(guān)部門 起草了網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）。法規(guī) 框架是八章73條，第一章 總則，第二章 支持與保障，第 三章 網(wǎng)絡(luò)的安全保護(hù)，第四章 涉密網(wǎng)絡(luò)的安全保護(hù)，第五 章 密碼管理，第六章 監(jiān)督管理，第七章 法律責(zé)任，第八 章 附則。該條例是網(wǎng)絡(luò)安全法的接續(xù)性法規(guī)，是網(wǎng)絡(luò)安全法律 體系的重要組成部分，是由國家批準(zhǔn)的規(guī)范性的法律文件， 它具有法的效力?！玖⒎ㄗ谥?/p>

2、與依據(jù)】（一）、立法宗旨、適用范圍和原則： 依據(jù)中華人民共和國網(wǎng)絡(luò)安全法、中華人民共和國保守國家秘密法 等法律，制定本條例。【適用范圍】在中華人民共和國境內(nèi)建設(shè)、運(yùn)營、 維護(hù)、使用網(wǎng)絡(luò)，開展網(wǎng)絡(luò)安全等級 保護(hù)工作以及監(jiān)督管理，適用本條例。 個人及家庭自建自用的網(wǎng)絡(luò)除外?！竟ぷ髟瓌t】按照突出重點(diǎn)、主動防御、綜合防控 的原則，建立健全網(wǎng)絡(luò)安全防護(hù)體系， 重點(diǎn)保護(hù)涉及國家安全、國計民生、 社會公共利益的網(wǎng)絡(luò)的基礎(chǔ)設(shè)施安全、 運(yùn)行安全和數(shù)據(jù)安全。網(wǎng)絡(luò)運(yùn)營者在網(wǎng)絡(luò)建設(shè)過程中，應(yīng)當(dāng) 同步規(guī)劃、同步建設(shè)、同步運(yùn)行網(wǎng)絡(luò) 安全保護(hù)、保密和密碼保護(hù)措施。【確立制度】國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度，對 網(wǎng)絡(luò)實(shí)施分等級

3、保護(hù)、分等級監(jiān)管。（二）、職責(zé)分工中央網(wǎng)信機(jī)構(gòu)國家網(wǎng)信部門國家公安部門國家保密行政 管理部門統(tǒng)一領(lǐng)導(dǎo)網(wǎng)絡(luò)安全等級保護(hù)工作。負(fù)責(zé)網(wǎng)絡(luò)安全等級保護(hù)工作的統(tǒng)籌協(xié)調(diào)。國家密碼管理 部門負(fù)責(zé)網(wǎng)絡(luò)安全等級保護(hù)工作中有關(guān)密碼管理工作的監(jiān)督管理。國務(wù)院其他有 關(guān)部門依照有關(guān)法律法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)開展網(wǎng)絡(luò)安全 等級保護(hù)相關(guān)工作?？h級以上地方 人民政府主管網(wǎng)絡(luò)安全等級保護(hù)工作，負(fù)責(zé)網(wǎng)絡(luò)安全等級保護(hù)工作 的監(jiān)督管理，依法組織開展網(wǎng)絡(luò)安全保衛(wèi)。主管涉密網(wǎng)絡(luò)分級保護(hù)工作，負(fù)責(zé)網(wǎng)絡(luò)安全等級保護(hù)工作 中有關(guān)保密工作的監(jiān)督管理。依照本條例和有關(guān)法律法規(guī)規(guī)定，開展網(wǎng)絡(luò)安全等級保護(hù) 工作。（二）、監(jiān)督管理-公安機(jī)關(guān)監(jiān)督

4、管理職責(zé)一、【安全檢查】縣級以上公安機(jī)關(guān)對網(wǎng) 絡(luò)運(yùn)營者開展網(wǎng)絡(luò)安全 工作情況進(jìn)行監(jiān)督檢查。二、【檢查處置】公安機(jī)關(guān)在監(jiān)督檢查中發(fā) 現(xiàn)網(wǎng)絡(luò)安全風(fēng)險隱患的， 應(yīng)當(dāng)責(zé)令網(wǎng)絡(luò)運(yùn)營者采取 措施立即消除；不能立即 消除的，應(yīng)當(dāng)責(zé)令其限期 整改。三、【重大隱患處置】公安機(jī)關(guān)發(fā)現(xiàn)重要行業(yè)或 本地區(qū)存在嚴(yán)重威脅國家 安全、公共安全和社會公 共利益的重大風(fēng)險隱患的， 應(yīng)報告同級政府、網(wǎng)信部 門和上級公安機(jī)關(guān)。四、【對測評機(jī)構(gòu)和安全建設(shè)機(jī) 構(gòu)的監(jiān)管】國家對網(wǎng)絡(luò)安全等級測評機(jī)構(gòu)和 安全建設(shè)機(jī)構(gòu)實(shí)行推薦目錄管理， 非涉密網(wǎng)絡(luò)安全等級測評機(jī)構(gòu)和 安全建設(shè)機(jī)構(gòu)具體管理辦法，由 國務(wù)院公安部門制定。保密科技 測評機(jī)構(gòu)管理辦法

5、由國家保密行 政管理部門制定。五、【關(guān)鍵人員管理】第三級以上網(wǎng)絡(luò)運(yùn)營者的 關(guān)鍵崗位人員以及為第三 級以上網(wǎng)絡(luò)提供安全服務(wù) 的人員，不得擅自參加境 外組織的網(wǎng)絡(luò)攻防活動。六、【事件調(diào)查】公安機(jī)關(guān)應(yīng)當(dāng)根據(jù)有關(guān)規(guī) 定處置網(wǎng)絡(luò)安全事件，開 展事件調(diào)查，認(rèn)定事件責(zé) 任，依法查處危害網(wǎng)絡(luò)安 全的違法犯罪活動。緊急 情況下斷網(wǎng)。縣級以上公安機(jī)關(guān)對網(wǎng)絡(luò)運(yùn)營者依照國家法律法規(guī)規(guī)定和相關(guān)標(biāo)準(zhǔn)規(guī)范要求，落 實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度，開展網(wǎng)絡(luò)安全防范、網(wǎng)絡(luò)安全事件應(yīng)急處置、重大活動 網(wǎng)絡(luò)安全保護(hù)等工作，實(shí)行監(jiān)督管理；對三級以上網(wǎng)絡(luò)運(yùn)營者進(jìn)行重點(diǎn)監(jiān)督管理?！颈Ｃ鼙O(jiān)督管理】三：監(jiān)督管理-其他機(jī)構(gòu)的監(jiān)督管理職責(zé) 保密行政管理

6、部門負(fù)責(zé)對涉密網(wǎng)絡(luò)的 安全保護(hù)工作進(jìn)行監(jiān)督管理，負(fù)責(zé)對 非涉密網(wǎng)絡(luò)的失泄密行為的監(jiān)管?！久艽a監(jiān)督管理】密碼管理部門負(fù)責(zé)對網(wǎng)絡(luò)安全等級保 護(hù)工作中的密碼管理進(jìn)行監(jiān)督管理， 監(jiān)督檢查網(wǎng)絡(luò)運(yùn)營者對網(wǎng)絡(luò)的密碼配 備、使用、管理和密碼評估情況。其 中重要涉密信息系統(tǒng)每兩年至少開展 一次監(jiān)督檢查。【監(jiān)督管理責(zé)任】.網(wǎng)絡(luò)安全等級保護(hù)監(jiān)督管理部門及其 工作人員應(yīng)當(dāng)對在履行職責(zé)中知悉的 國家秘密、個人信息和重要數(shù)據(jù)嚴(yán)格 保密，不得泄露、出售或者非法向他 人提供。【行業(yè)監(jiān)督管理】行業(yè)主管部門應(yīng)當(dāng)組織制定本行業(yè)并 監(jiān)督管理本領(lǐng)域網(wǎng)絡(luò)安全等級保護(hù)工 作規(guī)劃和標(biāo)準(zhǔn)規(guī)范，掌握網(wǎng)絡(luò)基本情 況、定級備案情況和安全保護(hù)狀況；

7、監(jiān)督管理本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)運(yùn)營者 開展網(wǎng)絡(luò)定級備案、等級測評、安全 建設(shè)整改、安全自查等工作。四、支持與保障【總體保障】【標(biāo)準(zhǔn)制定】【投入和保障】【績效考核】國家建立健全網(wǎng) 絡(luò)安全等級保護(hù)制 度的組織領(lǐng)導(dǎo)體系、 技術(shù)支持體系和保 障體系。各級人民政府和行 業(yè)主管部門應(yīng)當(dāng)將 網(wǎng)絡(luò)安全等級保護(hù) 制度實(shí)施納入信息 化工作總體規(guī)劃， 統(tǒng)籌推進(jìn)。國家建立完善網(wǎng)絡(luò) 安全等級保護(hù)標(biāo)準(zhǔn) 體系。國務(wù)院標(biāo)準(zhǔn) 化行政主管部門和 國務(wù)院公安部門、 國家保密行政管理 部門、國家密碼管 理部門根據(jù)各自職 責(zé)，組織制定網(wǎng)絡(luò) 安全等級保護(hù)的國 家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。各級人民政府鼓勵 扶持網(wǎng)絡(luò)安全等級 保護(hù)重點(diǎn)工程和項(xiàng) 目，支持網(wǎng)

8、絡(luò)安全 等級保護(hù)技術(shù)的研 究開發(fā)和應(yīng)用，推 廣安全可信的網(wǎng)絡(luò) 產(chǎn)品和服務(wù)。國家建設(shè)網(wǎng)絡(luò)安全 等級保護(hù)專家隊(duì)伍 和等級測評、安全 建設(shè)、應(yīng)急處置等 技術(shù)支持體系，為 網(wǎng)絡(luò)安全等級保護(hù) 制度提供支撐?！炯夹g(shù)支持】行業(yè)主管部門、各 級人民政府應(yīng)當(dāng)將 網(wǎng)絡(luò)安全等級保護(hù) 工作納入績效考核 評價、社會治安綜 合治理考核等。五、網(wǎng)絡(luò)等級第三級 重要網(wǎng)絡(luò)第五級極其重要網(wǎng)絡(luò)一旦受到破壞會對 相關(guān)公民、法人和 其他組織的合法權(quán) 益造成損害，但不 危害國家安全、社 會秩序和公共利益 的一般網(wǎng)絡(luò)。一旦受到破壞會對 相關(guān)公民、法人和 其他組織的合法權(quán) 益造成嚴(yán)重?fù)p害， 或者對社會秩序和 公共利益造成危害， 但不危害國家

9、安全 的一般網(wǎng)絡(luò)。一旦受到破壞會對 相關(guān)公民、法人和 其他組織的合法權(quán) 益造成特別嚴(yán)重?fù)p 害，或者會對社會 秩序和社會公共利 益造成嚴(yán)重危害， 或者對國家安全造 成危害的重要網(wǎng)絡(luò)。一旦受到破壞后會 對國家安全造成特 別嚴(yán)重危害的極其 重要網(wǎng)絡(luò)。第四級特別重要網(wǎng)絡(luò)一旦受到破壞會對 社會秩序和公共利 益造成特別嚴(yán)重危 害，或者對國家安 全造成嚴(yán)重危害的 特別重要網(wǎng)絡(luò)。第一級 一般網(wǎng)絡(luò)第二級 一般網(wǎng)絡(luò)根據(jù)網(wǎng)絡(luò)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，以及其一旦遭到破壞、喪失功能 或者數(shù)據(jù)被篡改、泄露、丟失、損毀后，對國家安全、社會秩序、公共利益以及相關(guān)公民、法 人和其他組織的合法權(quán)益的危害程度等因

10、素，網(wǎng)絡(luò)分為五個安全保護(hù)等級。六、定級備案【網(wǎng)絡(luò)定級】網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)在 規(guī)劃設(shè)計階段確定 網(wǎng)絡(luò)的安全保護(hù)等 級?！径壴u審】對擬定為第二級以 上的網(wǎng)絡(luò)，其運(yùn)營 者應(yīng)當(dāng)組織專家評 審；有行業(yè)主管部 門的，應(yīng)當(dāng)在評審 后報請主管部門核 準(zhǔn)。跨省或者全國統(tǒng)一 聯(lián)網(wǎng)運(yùn)行的網(wǎng)絡(luò)由 行業(yè)主管部門統(tǒng)一 擬定安全保護(hù)等級， 統(tǒng)一組織定級評審。【定級備案】第二級以上網(wǎng)絡(luò)運(yùn) 營者應(yīng)當(dāng)在網(wǎng)絡(luò)的 安全保護(hù)等級確定 后10個工作日內(nèi)， 到縣級以上公安機(jī) 關(guān)備案。【備案審核】公安機(jī)關(guān)應(yīng)當(dāng)對網(wǎng) 絡(luò)運(yùn)營者提交的備 案材料進(jìn)行審核。 對定級準(zhǔn)確、備案 材料符合要求的， 應(yīng)在10個工作日內(nèi) 出具網(wǎng)絡(luò)安全等級 保護(hù)備案證明。七、【

11、特殊安全保護(hù)義務(wù)】第三級以上網(wǎng)絡(luò)的運(yùn)營者除履行本條例第二十條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)外，還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù)：（一）（二）（三）（四）確定網(wǎng)絡(luò)安全管理機(jī)構(gòu)，明確網(wǎng)絡(luò)安全等級保護(hù)的工作職責(zé)，制定并落實(shí)網(wǎng)絡(luò)安全總體規(guī)劃和整體安全防護(hù)策略，制定安 全建設(shè)方案，并經(jīng)專業(yè)技術(shù)人員評審?fù)ㄟ^；對網(wǎng)絡(luò)安全管理負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查， 落實(shí)持證上崗制度；（五）落實(shí)網(wǎng)絡(luò)安全態(tài)勢感知監(jiān)測預(yù)警措施，（六）落實(shí)重要網(wǎng)絡(luò)設(shè)備、通信鏈路、系統(tǒng)的冗余、備份和恢復(fù)措施；（七）對為其提供網(wǎng)絡(luò)設(shè)計、建設(shè)、運(yùn)維和技術(shù)服務(wù)的機(jī)構(gòu)和人員 進(jìn)行安全管理；建立網(wǎng)絡(luò)安全等級測評制度，定期開展等級測評，并將測評 情況及安全整

12、改措施、整改結(jié)果向公安機(jī)關(guān)和有關(guān)部門報告；四、涉密網(wǎng)絡(luò)的安全保護(hù)（1）【分級保護(hù)】【網(wǎng)絡(luò)定級】【方案審查論證】【信息設(shè)備、安全保密產(chǎn)品管理】涉密網(wǎng)絡(luò)按照存儲、 處理、傳輸國家秘 密的最高密級分為 絕密級、機(jī)密級和 秘密級。涉密網(wǎng)絡(luò)運(yùn)營者應(yīng) 當(dāng)依法確定涉密網(wǎng) 絡(luò)的密級，通過本 單位保密委員會（領(lǐng)導(dǎo)小組）的審 定，并向同級保密 行政管理部門備案。涉密網(wǎng)絡(luò)運(yùn)營者規(guī) 劃建設(shè)涉密網(wǎng)絡(luò)， 應(yīng)當(dāng)依據(jù)國家保密 規(guī)定和標(biāo)準(zhǔn)要求， 制定分級保護(hù)方案，涉密網(wǎng)絡(luò)運(yùn)營者委 托其他單位承擔(dān)涉 密網(wǎng)絡(luò)建設(shè)的，應(yīng) 當(dāng)選擇具有相應(yīng)涉 密信息系統(tǒng)集成資 質(zhì)的單位，并與建 設(shè)單位簽訂保密協(xié) 議，明確保密責(zé)任， 采取保密措施?！窘ㄔO(shè)

13、管理】涉密網(wǎng)絡(luò)中使用的 信息設(shè)備，應(yīng)當(dāng)從 國家有關(guān)主管部門 發(fā)布的涉密專用信 息設(shè)備名錄中選擇； 未納入名錄的，應(yīng) 選擇政府采購目錄 中的產(chǎn)品。四、涉密網(wǎng)絡(luò)的安全保護(hù)（2）【測評審查和風(fēng)險評估】【涉密網(wǎng)絡(luò)使用管理總體要求】【涉密網(wǎng)絡(luò)預(yù)警通報要求】【涉密網(wǎng)絡(luò)廢止的處理】涉密網(wǎng)絡(luò)應(yīng)當(dāng)由國 家保密行政管理部 門設(shè)立或者授權(quán)的 保密測評機(jī)構(gòu)進(jìn)行 檢測評估，并經(jīng)設(shè) 區(qū)的市級以上保密 行政管理部門審查 合格，方可投入使 用。涉密網(wǎng)絡(luò)運(yùn)營者應(yīng) 當(dāng)依法確定涉密網(wǎng) 絡(luò)的密級，通過本 單位保密委員會（領(lǐng)導(dǎo)小組）的審 定，并向同級保密 行政管理部門備案。涉密網(wǎng)絡(luò)運(yùn)營者應(yīng) 建立健全本單位涉 密網(wǎng)絡(luò)安全保密監(jiān) 測預(yù)警和

14、信息通報 制度，發(fā)現(xiàn)安全風(fēng) 險隱患的，應(yīng)及時 采取應(yīng)急處置措施， 并向保密行政管理 部門報告。涉密網(wǎng)絡(luò)運(yùn)營者應(yīng) 當(dāng)按照國家保密規(guī) 定及時向保密行政 管理部門報告并采 取相應(yīng)措施?！旧婷芫W(wǎng)絡(luò)重大變化的處置】涉密網(wǎng)絡(luò)不再使用 的，涉密網(wǎng)絡(luò)運(yùn)營 者應(yīng)當(dāng)及時向保密 行政管理部門報告， 并按照國家保密規(guī) 定和標(biāo)準(zhǔn)對涉密信 息設(shè)備、產(chǎn)品、涉 密載體等進(jìn)行處理。02目錄01網(wǎng)絡(luò)安全等保2.0內(nèi)容概述網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）主要內(nèi)容一、網(wǎng)絡(luò)安全等級保護(hù)2.0的概念以GB17859-1999計算機(jī)信息系統(tǒng)安全保 護(hù)等級劃分則 為根標(biāo)準(zhǔn)， 以GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等 級保護(hù)

15、基本要求 為基礎(chǔ) 標(biāo)準(zhǔn)；推動重要信息系統(tǒng) 和基礎(chǔ)網(wǎng)絡(luò)的定級、備案、 測評、整改、監(jiān)督檢查等 工作。將基本要求的 2008版本及其配套規(guī)范標(biāo) 準(zhǔn)稱為等保1.0。信息安全 等級保護(hù) 1.02014年開始制定2.0標(biāo)準(zhǔn)， 修訂了通用安全要求，增加 了云計算、大數(shù)據(jù)、移動互 聯(lián)、工控、物聯(lián)網(wǎng)等安全擴(kuò) 展要求，內(nèi)容包括 網(wǎng)絡(luò)安 全等級保護(hù)基本要求 、安 全通用要求和安全擴(kuò)展要求， 標(biāo)志著等級保護(hù)2.0時代的 到來。網(wǎng)絡(luò)安全 等級保護(hù) 2.0一、網(wǎng)絡(luò)安全等級保護(hù)2.0的概念網(wǎng)絡(luò)安全等級保護(hù)2.0的三個標(biāo)準(zhǔn)：信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求 GB/T22239-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)

16、計技術(shù)要求GB/T25070-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求GB/T28448-XXXX【法律地位得到確認(rèn)】二、網(wǎng)絡(luò)安全等級保護(hù)2.0的基本特點(diǎn) 網(wǎng)絡(luò)安全法第21條“國家實(shí)行網(wǎng) 絡(luò)安全等級保護(hù)制度，要求網(wǎng)絡(luò)運(yùn)營 者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度要 求，履行安全保護(hù)義務(wù)”；“對于國 家關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等 級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保 護(hù)”。【保護(hù)對象得到擴(kuò)展】主要包括基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)（例如工業(yè)控制系統(tǒng)、云計 算平臺、 物聯(lián)網(wǎng)、使用移動互聯(lián)技術(shù)的信息系 統(tǒng)以及其他信息系統(tǒng)）和大數(shù)據(jù)等?！局贫润w系基本形成責(zé)任】.包括：法律政策體系、法規(guī)標(biāo)準(zhǔn)體系、 技術(shù)支撐體系、支撐保

17、障體系、教育 培訓(xùn)體系、人才培養(yǎng)體系等?！緝?nèi)容進(jìn)一步完善】除定級、備案、建設(shè)整改、測評和監(jiān) 督檢查外，增加了風(fēng)險評估、安全監(jiān) 測、通報預(yù)警、案事件調(diào)查、數(shù)據(jù)防 護(hù)、災(zāi)難備份、應(yīng)急處置、自主可控、 供應(yīng)鏈安全、效果評價、綜治考核等。三、網(wǎng)絡(luò)安全等級保護(hù)2.0的核心內(nèi)容將風(fēng)險評估、安全監(jiān)測、通報 預(yù)警、案事件調(diào)查、數(shù)據(jù)防護(hù)、 災(zāi)難備份、應(yīng)急處置、自主可 控、供應(yīng)鏈安全、效果評價、 綜治考核等重點(diǎn)措施全部納入 等級保護(hù)制度并實(shí)施。將網(wǎng)絡(luò)基礎(chǔ)設(shè)施、重要信息系 統(tǒng)、網(wǎng)站、大數(shù)據(jù)中心、云計 算平臺、物聯(lián)網(wǎng)、工控系統(tǒng) 、 公眾服務(wù)平臺等全部納入等級 保護(hù)監(jiān)管。將互聯(lián)網(wǎng)企業(yè)納入等級保護(hù)管 理，保護(hù)互聯(lián)網(wǎng)企業(yè)健

18、康發(fā)展。四、等級保護(hù)2.0的重點(diǎn)任務(wù)1、科學(xué)確定等級 ：根據(jù)網(wǎng)絡(luò)安全等級保護(hù) 定級指南（GA/T1389- 2017)初步確定安全保護(hù)等 級。不是自主定級。專家 評審, 主管部門審核。2、向公安機(jī)關(guān)備案。網(wǎng)絡(luò)運(yùn)營者將定級材料向 公安機(jī)關(guān)備案，公安機(jī)關(guān) 審核，對符合要求的發(fā)放 備案證明。3、開展等級測評。網(wǎng)絡(luò)運(yùn)營者選擇符合國家 規(guī)定條件的測評機(jī)構(gòu)，對 三級以上系統(tǒng)每年開展等 級測評4、安全建設(shè)整改。網(wǎng)絡(luò)運(yùn)營者根據(jù)系統(tǒng)安全 保護(hù)等級，按照國家標(biāo)準(zhǔn) 開展安全建設(shè)整改。5、監(jiān)督檢查。公安機(jī)關(guān)每年開展執(zhí)法檢 查。五、等級保護(hù)2.0的擴(kuò)展與調(diào)整（一）擴(kuò)充新技術(shù)新應(yīng)用的安全要求第三級安全要求云計算安全擴(kuò)展要

19、求移動互聯(lián)安全擴(kuò)展要求物聯(lián)網(wǎng)安全擴(kuò)展要求工業(yè)控制系統(tǒng)擴(kuò)展安全要求（二）取消安全標(biāo)注取消對控制點(diǎn)的“S”、“A”、“G”標(biāo) 注的使用調(diào)整為原來的附錄A：“安全要求的選擇 和使用”，說明與定級指南的關(guān)系，增加安全控制 措施選擇時，控制點(diǎn)的使用和標(biāo)注及使 用說明。五、等級保護(hù)2.0-擴(kuò)展與調(diào)整（二）調(diào)整技術(shù)控制措施分結(jié)構(gòu)（三）調(diào)整管理控制措施分類物理安全 網(wǎng)絡(luò)安全 主機(jī)安全 應(yīng)用安全數(shù)據(jù)安全及備 份恢復(fù)物理和環(huán)境安 全網(wǎng)絡(luò)和通信 安全設(shè)備和計 算安全應(yīng)用和 數(shù)據(jù)安全安全管理制度 安全管理機(jī)構(gòu) 人員安全管理 系統(tǒng)建設(shè)管理 系統(tǒng)運(yùn)維管理安全策略和管理 制度安全管理機(jī)構(gòu)和 人員安全建設(shè)管理 安全運(yùn)維管理五

20、、等級保護(hù)2.0-關(guān)鍵信息基礎(chǔ)設(shè)施安全要求（一）（二）（三）（四）關(guān)鍵信息基礎(chǔ)設(shè)施的范圍必須在定級備案的第三級（含）以上的保護(hù) 對象中確定。關(guān)鍵信息基礎(chǔ)設(shè)施必須按照等級保護(hù)制度要求，開展定級備案、等級 測評、安全建設(shè)整改、安全檢查等強(qiáng)制性、規(guī)定性工作。公安機(jī)關(guān)、 保密部門、密碼部門在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中要落實(shí)保 衛(wèi)、保護(hù)、監(jiān)管責(zé)任，網(wǎng)絡(luò)運(yùn)營者和行業(yè)主管部門要落實(shí)主體責(zé)任。（五）等級保護(hù)制度是普適性的制度，是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的基礎(chǔ)，關(guān)鍵 信息基礎(chǔ)設(shè)施是等級保護(hù)制度的保護(hù)重點(diǎn)，兩者同樣重要，不可分割。公安機(jī)關(guān)在情報偵察、追蹤溯源、快速處置、打擊犯罪、等級保護(hù)、 通報預(yù)警、互聯(lián)網(wǎng)管理等方面發(fā)揮

21、主力軍作用。六、等級保護(hù)2.0的通用要求-保護(hù)對象六、等級保護(hù)2.0的通用要求-等級劃分1第一級等級保護(hù)對象受到 破壞后，會對公民、 法人和其他組織的 合法權(quán)益造成損害， 但不損害國家安全、 社會秩序和公共利 益；2第二級等級保護(hù)對象受到 破壞后，會對公民、 法人和其他組織的 合法權(quán)益產(chǎn)生嚴(yán)重 損害，或者對社會 秩序和公共利益造 成損害，但不損害 國家安全；3第三級等級保護(hù)對象受到 破壞后，會對公民、 法人和其他組織的 合法權(quán)益產(chǎn)生特別 嚴(yán)重?fù)p害，或者對 社會秩序和公共利 益造成嚴(yán)重?fù)p害， 或者對國家安全造 成損害；4第四級等級保護(hù)對象受到 破壞后，會對社會 秩序和公共利益造 成特別嚴(yán)重?fù)p害，

22、 或者對國家 安全 造成嚴(yán)重?fù)p害；5第五級等級保護(hù)對象受到 破壞后，會對國家 安全造成特別嚴(yán)重 損害六、等級保護(hù)2.0的通用要求-保護(hù)能力要求第一級安第二級安 全保護(hù)能全保護(hù)能 力力第三級安第四級安 全保護(hù)能全保護(hù)能 力力應(yīng)能夠防護(hù)系統(tǒng)免受來自外部小型組織的、擁有少 量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難以 及其他相當(dāng)危害 程度的威脅，能夠發(fā)現(xiàn)重要的安全漏 洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間 內(nèi)恢復(fù)部分功能。應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自國家級 的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意 攻擊、嚴(yán)重的自然災(zāi)難以及其他相當(dāng)危害程度的威脅 所造成的資源損害，能夠發(fā)現(xiàn)安

23、全漏洞和安全事件， 在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。應(yīng)能夠防護(hù)系統(tǒng)免受來自個人的、擁有很少資 源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難， 及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損 害，在系統(tǒng)遭到損害后，能夠恢復(fù)部分功能。應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自外部 有組織的團(tuán)體,擁有較為豐富資源的威脅源發(fā)起的 惡意攻擊、較為嚴(yán)重的自然災(zāi)難以及其他相當(dāng)危 害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn) 安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠 較快恢復(fù)絕大部分功能。六、等級保護(hù)2.0的通用要求-恢復(fù)能力要求第一級：系統(tǒng)具有基本的數(shù) 據(jù)備份功能，在遭 到破壞后能夠不限 時的恢復(fù)部分系統(tǒng) 功能

24、。第二級：系統(tǒng)具有一定的數(shù) 據(jù)備份功能，在遭 到破壞后能夠在一 段時間內(nèi)恢復(fù)部分 功能。第三級：系統(tǒng)具有較高的數(shù) 據(jù)備份和系統(tǒng)備份 功能，在遭到破壞 后能夠較快的恢復(fù) 絕大部分功能。第四級：系統(tǒng)具有極高的數(shù) 據(jù)備份和系統(tǒng)備份 功能，在遭到破壞 后能夠迅速恢復(fù)所 有系統(tǒng)功能。七、等級保護(hù)2.0的系統(tǒng)定級-定級流程要求確定定級對象初步定級專家評審二級以上定級，使用單位應(yīng)組 織專家對初步定級結(jié)果的合理 性進(jìn)行評審， 出具專家評審意 見。主管部門審核使用單位應(yīng)將初步定級結(jié)果上 報行業(yè)主管部門或上級主管部 門進(jìn)行審核。公安機(jī)關(guān)備案審查使用單位應(yīng)將初步定級結(jié)果10日內(nèi)提交 公安機(jī)關(guān)進(jìn)行備案審查，審查不通過

25、， 其使用單位應(yīng)組織重新定級；審查通過 后最終確定定級對象的安全保護(hù)等級。等級變更當(dāng)?shù)燃壉Ｗo(hù)對象所處理的信息、 業(yè)務(wù)狀態(tài)和系統(tǒng)服務(wù)范圍發(fā)生變 化，應(yīng)根據(jù)本標(biāo)準(zhǔn)要求重新確定 定級對象和安全保護(hù)等級。七、等級保護(hù)2.0的系統(tǒng)定級-定級方法流程六、等級保護(hù)2.0的通用要求-定級對象的確定定級對象定級要素基礎(chǔ)信 息網(wǎng)絡(luò)對于電信網(wǎng)、廣播電視傳輸網(wǎng)、互聯(lián)網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，應(yīng)分別依據(jù)服務(wù)類型、服務(wù)地域和安全責(zé)任主體等 因素將其劃分為不同的定級對象。 跨省全國性業(yè)務(wù)專網(wǎng)可作為一個整體對象定級，也可以分區(qū)域劃分為若干個 定級對象。信息系統(tǒng)工業(yè)控制系統(tǒng)工業(yè)控制系統(tǒng)主要由生產(chǎn)管理層、現(xiàn)場設(shè)備層、現(xiàn)場控制層和過程監(jiān)控

26、層構(gòu)成，其中：生產(chǎn)管理層的定級對 象確定原則見5.2.5?，F(xiàn)場設(shè)備層、現(xiàn)場控制層和過程監(jiān)控層應(yīng)作為一個整體對象定級，各層次要素不單獨(dú)定級云計算平臺在云計算環(huán)境中，應(yīng)將云服務(wù)方側(cè)的云計算平臺單獨(dú)作為定級對象定級，云租戶側(cè)的等級保護(hù)對象也應(yīng)作為 單獨(dú)的定級對象定級。 對于大型云計算平臺，應(yīng)將云計算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級對象物聯(lián)網(wǎng)物聯(lián)網(wǎng)應(yīng)作為一個整體對象定級，主要包括感知層、網(wǎng)絡(luò)傳輸層和處理應(yīng)用層等要素。采用移動互聯(lián)技術(shù)的信息系統(tǒng)采用移動互聯(lián)技術(shù)的等級保護(hù)對象應(yīng)作為一個整體對象定級，主要包括移動終端、移動應(yīng)用、無線 網(wǎng)絡(luò)以及 相關(guān)應(yīng)用系統(tǒng)等。大數(shù)據(jù)應(yīng)將具有統(tǒng)一安全責(zé)任單位的大數(shù)據(jù)

27、作為一個整體對象定級，或?qū)⑵渑c責(zé)任主體相同的相關(guān)支撐平臺統(tǒng)一定級。六、等級保護(hù)2.0的通用要求-定級對象的特征六、等級保護(hù)2.0的通用要求-對客體侵害程度的定義六、等級保護(hù)2.0的通用要求-對保護(hù)對象的定級要素受侵害的客體侵害的事項(xiàng)公民、法人和其他組織 的合法權(quán)益影響社會成員使用公共設(shè)施； 影響社會成員獲取公開信息資源； 影響社會成員接受公共服務(wù) 等方面； 其他影響公共利益的事項(xiàng)。 侵害公民、法人和其他組織的合法權(quán)益是指由法律確認(rèn) 的并受法律保護(hù)的公民、法人和其他組織所 享有的一定的社會權(quán)利和利益等受到損害。社會秩序、公共利益影響國家機(jī)關(guān)社會管理和公共服務(wù)的工作秩序； 影響各種類型的經(jīng)濟(jì)活動秩

28、序；影響各行業(yè) 的科研、生產(chǎn)秩序； 影響公眾在法律約束和道德規(guī)范下的正常生活秩序等； 其他影響社會秩 序的事項(xiàng)。國家安全影響國家政權(quán)穩(wěn)固和國防實(shí)力； 影響國家統(tǒng)一、民族團(tuán)結(jié)和社會安定； 影響國家對外活動中 的政治、經(jīng)濟(jì)利益； 影響國家重要的安全保衛(wèi)工作； 影響國家經(jīng)濟(jì)競爭力和科技實(shí)力； 其 他影響國家安全的事項(xiàng)。六、等級保護(hù)2.0系統(tǒng)定級-對定級要素和保護(hù)等級的關(guān)系受侵害的客體侵害程度侵害程度侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的 合法權(quán)益第一級第二級第三級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級六、等級保護(hù)2.0系統(tǒng)定級-對業(yè)務(wù)信息矩陣表六、等級保護(hù)

29、2.0系統(tǒng)定級-系統(tǒng)服務(wù)矩陣表定級對象的安全保護(hù)等級由業(yè)務(wù)信息安全保護(hù)等級和系 統(tǒng)服務(wù)安全保護(hù)等級的較高者決定。六、等級保護(hù)2.0系統(tǒng)定級-確定安全保護(hù)等級流程六、等級保護(hù)2.0系統(tǒng)定級-確定安全保護(hù)等級原則六、等級保護(hù)2.0系統(tǒng)定級-確定安全保護(hù)等級的建議第二級信息系統(tǒng)縣級單位中的重要信 息系統(tǒng)，地市級以上 國家機(jī)關(guān)、企事業(yè)單 位內(nèi)部一般的信息系 統(tǒng)。非涉及工作秘密、 商業(yè)秘密、敏感信息 的辦公和管理系統(tǒng)第三級信息系統(tǒng)：地市級以上國家機(jī)關(guān)、 重要企事業(yè)單位內(nèi)部 信息系統(tǒng)。涉及工作 和商業(yè)秘密、敏感信 息的辦公管理系統(tǒng)， 跨省、市聯(lián)網(wǎng)運(yùn)行的 生產(chǎn)、調(diào)度、管理等 重要系統(tǒng)，重要系統(tǒng) 在省、市的分

30、支，中 央各部委、?。▍^(qū)、 市）門戶網(wǎng)站。第四級信息系統(tǒng)：國家重要領(lǐng)域、重要 部門中的特別重要系 統(tǒng)以及核心系統(tǒng)。例 如全國鐵路、民航、 電力等部門的調(diào)度系 統(tǒng)，銀行、證券、保 險、稅務(wù)、海關(guān)等幾 十個重要行業(yè)、部門 中的涉及國計民生的 核心系統(tǒng)。第五級信息系統(tǒng)：國家重要領(lǐng)域、重要 部門中的極端重要系 統(tǒng)。第一級信息系統(tǒng)：鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、 縣級單位中一般的信 息系統(tǒng)、小型私營、 個體企業(yè)、中小學(xué)的 信息系統(tǒng)。七、等保2.0-云計算/原則性要求應(yīng)確保云計算平臺不承載高于其安全保護(hù)等級的業(yè)務(wù)應(yīng)用系統(tǒng)。應(yīng)確保云計算基礎(chǔ)設(shè)施位于中國境內(nèi)。云計算平臺的運(yùn)維地點(diǎn)應(yīng)位于中國境內(nèi)，如需境外對境內(nèi)云計算平臺實(shí)

31、 施運(yùn)維操作應(yīng)遵循國家相關(guān)規(guī)定。云計算平臺運(yùn)維過程產(chǎn)生的配置數(shù)據(jù)、鑒別數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、日志信息 等存儲于中國境內(nèi)，如需出境應(yīng)遵循國家相關(guān)規(guī)定。七、等保2.0-云計算/要求要點(diǎn)基礎(chǔ)設(shè)施的位 置虛擬化安全保 護(hù)鏡像和快照保 護(hù)云服務(wù)商選擇云計算環(huán)境管 理自身安全防護(hù) 要求向租戶提供安 全防護(hù)的能力 要求七、等保2.0-云計算/擴(kuò)展要求a)云計算安全擴(kuò)展要求-系統(tǒng)定級在云計算環(huán)境中，將云計算平臺作為基礎(chǔ)設(shè)施， 云客戶業(yè)務(wù)系統(tǒng)作為信息系統(tǒng)，分別作為定級對 象定級。對于大型云計算平臺，當(dāng)運(yùn)管平臺共用時，可將 云計算基礎(chǔ)設(shè)施與運(yùn)管平臺系統(tǒng)分開定級。責(zé)任 分離，分別定級，各自備案。云計算基礎(chǔ)設(shè)施的安全保護(hù)等

32、級不低于其所支撐 的業(yè)務(wù)系統(tǒng)的等級。b)云計算安全擴(kuò)展要求-結(jié)構(gòu)七、等保2.0-云計算/擴(kuò)展要求c)云計算安全擴(kuò)展要求-資源隔離應(yīng)實(shí)現(xiàn)不同云服務(wù)客戶虛擬網(wǎng)絡(luò)之間的隔離；應(yīng)確保云服務(wù)客戶的虛擬機(jī)使用獨(dú)占的內(nèi)存空應(yīng)保證云計算平臺管理流量不于客戶業(yè)務(wù)流量應(yīng)保證不同云服務(wù)客戶的審計數(shù)據(jù)隔離存放；應(yīng)保證虛擬機(jī)所使用的內(nèi)存和存儲空間回收時間；分離；得到完全清除。d)云計算安全擴(kuò)展要求-訪問控制應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求自主設(shè)置安全策略集的能力，包括 定義訪問路徑、選擇安全組件、配置安全策略；實(shí)現(xiàn)云平臺管理用戶權(quán)限分離機(jī)制，為網(wǎng)絡(luò)管理員、系統(tǒng)管理員建 立不同賬戶并分配相應(yīng)的權(quán)限； 確保只有在于服務(wù)客戶授權(quán)

33、下， 云服務(wù)商或第三方才具有云服務(wù)客戶數(shù)據(jù)的管理權(quán)限；云計算平臺應(yīng)提供開放接口或開放性安全服務(wù)，允許云服務(wù)客戶接 入第三方安全產(chǎn)品或在云平臺選擇第三方安全服務(wù)。七、等保2.0-云計算/擴(kuò)展要求e)云計算安全擴(kuò)展要求-數(shù)據(jù)安全應(yīng)提供查詢云服務(wù)客戶數(shù)據(jù)及備份存儲位置 的方式；保證虛擬機(jī)遷移過程中重要數(shù)據(jù)的完整性和 保密性；提供虛擬機(jī)鏡像、快照完整性校驗(yàn)功能，防 止虛擬機(jī)鏡像被惡意篡改；對虛擬機(jī)快照中的敏感信息進(jìn)行加密保護(hù)；支持云服務(wù)客戶部署密鑰管理解決方案，確 保云服 務(wù)客戶自行實(shí)現(xiàn)數(shù)據(jù)的加解密過程 。f)云計算安全擴(kuò)展要求-審計與監(jiān)控能識別、監(jiān)控虛擬機(jī)之間、虛擬機(jī)與物 理機(jī)之間、 虛擬機(jī)與宿主機(jī)之間的流量；保證云服務(wù)商對于服務(wù)客戶系統(tǒng)和數(shù)據(jù) 的操作可被云服務(wù)客戶審計；根據(jù)云服務(wù)方和云客戶的職責(zé)劃分，實(shí) 現(xiàn)各自控制部分的集中審計；應(yīng)為安全審計數(shù)據(jù)的匯