等級(jí)保護(hù)是我國(guó)信息安全保障的基本制度，其全稱為“信息系統(tǒng)安全等級(jí)保護(hù)”，現(xiàn)改為“網(wǎng)絡(luò)安全等級(jí)保護(hù)”，是指對(duì)網(wǎng)絡(luò)和信息系統(tǒng)按照重要性等級(jí)分級(jí)別保護(hù)的一種制度。安全保護(hù)等級(jí)越高，要求安全保護(hù)能力就越強(qiáng)，既不能保護(hù)不足，也不能過(guò)度保護(hù)。

通過(guò)合理的等級(jí)保護(hù)，能夠遵循客觀規(guī)律，信息安全的等級(jí)是客觀存在的；有利于突出重點(diǎn)，加強(qiáng)安全建設(shè)和管理；有利于控制信息安全建設(shè)的成本，平衡投入產(chǎn)出比例。

從1994年國(guó)務(wù)院在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（以下簡(jiǎn)稱《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》）首次提出計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，到2007年實(shí)施《信息安全等級(jí)保護(hù)管理辦法》（以下簡(jiǎn)稱《管理辦法》），我國(guó)信息安全等級(jí)保護(hù)制度正式走上正軌。

《GB/T 22239-2008 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（以下簡(jiǎn)稱“基本要求”或“基本要求（GB/T 22239）”）、《GB/T 22240-2008 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（以下簡(jiǎn)稱“定級(jí)指南”或“定級(jí)指南（GB/T 22240）”）等標(biāo)準(zhǔn)的陸續(xù)頒布，標(biāo)志著信息安全等級(jí)保護(hù)作為國(guó)家信息系統(tǒng)安全保障基本制度、基本策略、基本方法，有了落地的技術(shù)標(biāo)準(zhǔn)，在技術(shù)層面詮釋了開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國(guó)家網(wǎng)絡(luò)安全的根本保障，是網(wǎng)絡(luò)安全保障工作中國(guó)家意志的體現(xiàn)。

在接下來(lái)的5年，我國(guó)信息系統(tǒng)安全等級(jí)保護(hù)以《管理辦法》為核心，在邊實(shí)踐邊建設(shè)中得到快速發(fā)展，特別是《GB/T 28448-2012 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》、《GB/T 28449-2012信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》等標(biāo)準(zhǔn)辦法的實(shí)施，標(biāo)志著我國(guó)信息系統(tǒng)安全等級(jí)保護(hù)的定級(jí)、備案、建設(shè)、測(cè)評(píng)等流程在標(biāo)準(zhǔn)體系上逐步趨于完善。

為適應(yīng)新技術(shù)發(fā)展，解決云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、工業(yè)控制、大數(shù)據(jù)等領(lǐng)域的信息系統(tǒng)等級(jí)保護(hù)工作需要，從2014年3月開始，由公安部牽頭組織開展了等級(jí)保護(hù)重點(diǎn)標(biāo)準(zhǔn)申報(bào)國(guó)家標(biāo)準(zhǔn)的工作，并從2015年開始陸續(xù)對(duì)外發(fā)布草稿、征集意見稿，網(wǎng)絡(luò)上開始有了等保2.0的叫法。

網(wǎng)絡(luò)上很多對(duì)“等保2.0標(biāo)準(zhǔn)”的解讀，往往把關(guān)注點(diǎn)集中在基本要求的技術(shù)變化上，而容易忽略等保2.0的本質(zhì)和結(jié)構(gòu)性變化。實(shí)際上，透過(guò)新舊兩版制度的引言部分，不難發(fā)現(xiàn)如下變化：

這就意味著，前后的兩版制度所參照的規(guī)范性文件完全不同，這才應(yīng)該是等保2.0的核心內(nèi)涵，即：

1.  以國(guó)務(wù)院行政法規(guī)（《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》）為頂層設(shè)計(jì)，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息工作辦公室共同發(fā)布的部門規(guī)范性文件（《管理辦法》）確立核心體系的“信息安全等級(jí)保護(hù)”為等保1.0時(shí)代；

2.  以《網(wǎng)絡(luò)安全法》、《保守國(guó)家秘密法》等法律為頂層設(shè)計(jì)的等保2.0，其核心體系將是《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》。（已于2018年6月發(fā)布征求意見稿） 

所以，無(wú)論是自身法律效力亦或法律依據(jù)的效力位階，等保2.0均高于等保1.0，等保1.0到2.0不僅僅是制度修訂，技術(shù)的升級(jí)，更是法律效力的提升。

總結(jié)對(duì)比如下：

由于等級(jí)保護(hù)的2.0時(shí)代，法律效力得到極大提高，國(guó)家監(jiān)管力度將會(huì)更強(qiáng)，監(jiān)管范圍也會(huì)變寬。因此，等級(jí)保護(hù)在流程上必然會(huì)帶來(lái)一系列的變化。定級(jí)備案流程往往是容易被忽略的重大變化。

等級(jí)保護(hù)定級(jí)指南2.0標(biāo)準(zhǔn)（GB/T22240）細(xì)化了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度定級(jí)對(duì)象的具體范圍，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、使用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)、其他網(wǎng)絡(luò)以及大數(shù)據(jù)等多個(gè)系統(tǒng)平臺(tái)。

新制度中修改定級(jí)對(duì)象三大基本特征為：a）具有確定的主要安全責(zé)任主體；b）承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用；c）包含相互關(guān)聯(lián)的多個(gè)資源。基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、采用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)和大數(shù)據(jù)在滿足以上三個(gè)基本特征的基礎(chǔ)上，還遵循如下要求：

基礎(chǔ)信息網(wǎng)絡(luò)：對(duì)于電信網(wǎng)、廣播電視傳輸網(wǎng)、互聯(lián)網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，應(yīng)分別依據(jù)服務(wù)類型、服務(wù)地域和安全責(zé)任主體等因素將其劃分為不同的定級(jí)對(duì)象，而跨省業(yè)務(wù)專網(wǎng)既可以作為一個(gè)整體定級(jí)，也可根據(jù)區(qū)域劃分為若干對(duì)象定級(jí)。

工業(yè)控制系統(tǒng)：應(yīng)將現(xiàn)場(chǎng)采集/執(zhí)行、現(xiàn)場(chǎng)控制和過(guò)程控制等要素應(yīng)作為一個(gè)整體對(duì)象定級(jí)，而生產(chǎn)管理要素可以單獨(dú)定級(jí)；對(duì)于大型工業(yè)控制系統(tǒng)，可以根據(jù)系統(tǒng)功能、責(zé)任主體、控制對(duì)象和生產(chǎn)廠商等因素劃分為多個(gè)定級(jí)對(duì)象。

云計(jì)算平臺(tái)：應(yīng)區(qū)分為服務(wù)提供方與租戶方，各自分別作為定級(jí)對(duì)象；對(duì)于大型云計(jì)算平臺(tái)，應(yīng)將云計(jì)算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級(jí)對(duì)象。

物聯(lián)網(wǎng)：雖然包括感知、網(wǎng)絡(luò)傳輸和處理應(yīng)用等多種特征因素，但仍應(yīng)將以上要素作為一個(gè)整體的定級(jí)對(duì)象，各要素并不單獨(dú)定級(jí)。

采用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)：應(yīng)將移動(dòng)終端、移動(dòng)應(yīng)用、無(wú)線網(wǎng)絡(luò)等要素與相關(guān)有線網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)作為整體對(duì)象定級(jí)。

大數(shù)據(jù)：除安全責(zé)任主體相同的平臺(tái)和應(yīng)用可以整體定級(jí)外，應(yīng)單獨(dú)定級(jí)。

在定級(jí)原則上，《等保條例》放棄了《管理辦法》中的“自主定級(jí)、自主保護(hù)”原則，采取了以國(guó)家行政機(jī)關(guān)持續(xù)監(jiān)督的“明確等級(jí)、增強(qiáng)保護(hù)、常態(tài)監(jiān)督”方式。更重要是，除上述系統(tǒng)，還做了對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施，定級(jí)原則上不低于三級(jí)的規(guī)定。

在備案環(huán)節(jié)中，將原有的30天內(nèi)備案，縮短為10個(gè)工作日，并明確了定級(jí)流程分為：確定定級(jí)對(duì)象、初步確定等級(jí)、專家評(píng)審、主管部門審核、公安機(jī)關(guān)備案審查，填補(bǔ)了1.0時(shí)代只有按照定級(jí)要素進(jìn)行過(guò)程，沒(méi)有嚴(yán)格流程的不足。

整理對(duì)比如下：

作為等保1.0時(shí)代的核心體系文件，《管理辦法》并未在主文中規(guī)定當(dāng)遭受破壞后對(duì)公民、法人和其他組織合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害的信息系統(tǒng)應(yīng)當(dāng)如何定級(jí)，只是在GB/T 22240-2008中，將其定義為二級(jí)；在2.0時(shí)代，在《等保條例》與新GB/T 22240中，都明確定義為三級(jí)。

等保1.0中定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系

等保2.0體系定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系

等級(jí)保護(hù)2.0制度中，基本技術(shù)要求將會(huì)帶來(lái)怎樣的變化？又將經(jīng)歷怎樣的變化歷程？后續(xù)文章中，靈狐科技將以核心體系文件的變化為依據(jù)，在架構(gòu)、控制措施、新增內(nèi)容等方面詮釋等保2.0的變化。