5月13日，國家市場監督管理總局、國家標準化管理委員會召開新聞發布會，通報國家標準制定流程改革的有關情況，同時發布了一批重要國家標準。在網絡安全領域，等級保護2.0相關的《信息安全技術 網絡安全等級保護基本要求》、《信息安全技術 網絡安全等級保護測評要求》、《信息安全技術網絡安全等級保護安全設計技術要求》等國家標準正式發布，將于2019年12月1日正式實施。此系列標準的正式發布，標志著持續多年的等級保護標準體系修訂完善工作已經基本完成，我國網絡安全等級保護工作將正式進入“2.0時代”。

等級保護國家標準修訂意義

等級保護1.0標準在我國推行信息安全等級保護制度的過程中起到了非常重要的作用，已廣泛應用于各行業、各領域。有效指導了網絡運營者、網絡安全企業、網絡安全服務機構開展網絡安全等級保護安全技術方案的設計和實施，指導了測評機構更加規范化、標準化地開展等級測評工作，全面提升了網絡運營者的網絡安全防護能力。

隨著《中華人民共和國網絡安全法》的頒布及云計算、大數據、物聯網、移動互聯、工業控制等新技術、新應用領域的發展，已有十多年歷史的等級保護1.0標準體系在時效性、易用性、可操作性等方面無法滿足要求。2014年以來，由中共中央網絡安全和信息化委員會辦公室指導、國家標準化管理委員會和全國信息安全標準化技術委員會組織，公安部牽頭開展了多項等級保護國家標準的制修訂工作。

等級保護2.0國家標準的重大變化

與等級保護1.0國家標準相比，等級保護2.0國家標準所依托的法律文件地位、標準名稱、保護對象、標準內容等各方面都發生了重大變化。

1、所依托法律文件地位的提升

等級保護1.0標準體系是以《中華人民共和國計算機信息系統安全保護條例》以及公安部等相關部門發布的部門規范性文件為依托；等級保護2.0標準體系則是以《中華人民共和國網絡安全法》為依托。作為網絡安全領域的國家最高法，《中華人民共和國網絡安全法》對等級保護2.0提供了明確指導和有力支撐。

2、標準名稱的變化

為適應網絡安全法，落實網絡安全等級保護制度，標準名稱由“信息系統安全等級保護”變更為“網絡安全等級保護”。

3、保護對象的變化

等級保護1.0國家標準的保護對象為信息系統，等級保護2.0國家標準將基礎信息網絡（廣電網、電信網等）、信息系統（采用傳統技術的系統）、云計算平臺、大數據平臺、移動互聯網、物聯網和工業控制系統等都納入了等級保護對象范圍。

4、標準內容的變化

為適應云計算、大數據、移動互聯、物聯網和工業控制等新技術、新應用情況下等級保護工作的順利開展，等級保護2.0標準針對共性安全保護需求提出安全通用要求，針對云計算、大數據、移動互聯、物聯網和工業控制等新技術、新應用領域的特性化安全保護需求提出安全擴展要求。

隨著《信息安全技術 網絡安全等級保護基本要求》、《信息安全技術 網絡安全等級保護測評要求》、《信息安全技術 網絡安全等級保護安全設計技術要求》這3項關鍵標準的正式發布，等級保護2.0國家標準體系的建設工作也已基本完成，主要的等級保護國家標準有：

GB 17859-1999   《計算機信息系統 安全保護等級劃分準則》

GB/T 22240-2008 《信息安全技術 信息系統安全等級保護定級指南》（修訂中）

GB/T 22239-2019 《信息安全技術 網絡安全等級保護基本要求》

GB/T 25070-2019 《信息安全技術 網絡安全等級保護安全設計技術要求》

GB/T 28448-2019 《信息安全技術 網絡安全等級保護測評要求》

GB/T 25058-2010 《信息安全技術 信息系統安全等級保護實施指南》（修訂中）

GB/T 36958-2018 《信息安全技術 網絡安全等級保護安全管理中心技術要求》

GB/T 28449-2018 《信息安全技術 網絡安全等級保護測評過程指南》

GB/T 36627-2018 《信息安全技術 網絡安全等級保護測試評估技術指南》

GB/T 36959-2018 《信息安全技術 網絡安全等級保護測評機構能力要求和評估規范》

本次發布的等級保護2.0國家標準簡介

1、GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》：該項標準是等級保護標準體系的核心，對2008版標準中提出的基本要求進行了修改完善，形成安全通用要求；對云計算、大數據、移動互聯、物聯網、工業控制等新技術和新應用領域，提出了安全擴展要求。安全通用要求針對共性化保護需求提出，無論等級保護對象以何種形式出現，均需要根據安全保護等級實現相應級別的安全通用要求；安全擴展要求針對特性化保護需求提出，需要根據安全保護等級、使用的特定技術或特定的應用場景實現安全擴展要求。等級保護對象的安全保護措施需要同時實現安全通用要求和安全擴展要求，從而更加有效地保護等級保護對象。

2、GB/T25070-2019 《信息安全技術 網絡等級保護安全設計技術要求》，該標準主要對共性安全保護目標提出通用安全設計技術要求，并針對云計算、大數據、移動互聯、物聯網和工業控制等新技術、新應用領域的安全保護目標，提出針對性的安全設計技術要求。該標準適用于指導運營使用單位、網絡安全企業、網絡安全服務機構開展網絡安全等級保護安全技術方案的設計和實施，也可作為網絡安全職能部門進行監督、檢查和指導的依據。

3、 GB/T28448-2019 《信息安全技術 網絡安全等級保護測評要求》，該標準與等級保護基本要求保持一致，主要明確了測評對象、測評判定規則等內容。該標準同樣對云計算、大數據、移動互聯、物聯網和工業控制等新技術、新應用領域做出了擴展要求。該標準為安全測評服務機構、等級保護對象的主管部門及運營使用單位對等級保護對象的安全狀況進行安全測評提供指南。信息安全監管職能部門進行網絡安全等級保護監督檢查時參考使用。