5月13日，国家市场监督管理总局、国家标准化管理委员会召开新闻发布会，通报国家标准制定流程改革的有关情况，同时发布了一批重要国家标准。在网络安全领域，等级保护2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布，将于2019年12月1日正式实施。此系列标准的正式发布，标志着持续多年的等级保护标准体系修订完善工作已经基本完成，我国网络安全等级保护工作将正式进入“2.0时代”。

等级保护国家标准修订意义

等级保护1.0标准在我国推行信息安全等级保护制度的过程中起到了非常重要的作用，已广泛应用于各行业、各领域。有效指导了网络运营者、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施，指导了测评机构更加规范化、标准化地开展等级测评工作，全面提升了网络运营者的网络安全防护能力。

随着《中华人民共和国网络安全法》的颁布及云计算、大数据、物联网、移动互联、工业控制等新技术、新应用领域的发展，已有十多年历史的等级保护1.0标准体系在时效性、易用性、可操作性等方面无法满足要求。2014年以来，由中共中央网络安全和信息化委员会办公室指导、国家标准化管理委员会和全国信息安全标准化技术委员会组织，公安部牵头开展了多项等级保护国家标准的制修订工作。

等级保护2.0国家标准的重大变化

与等级保护1.0国家标准相比，等级保护2.0国家标准所依托的法律文件地位、标准名称、保护对象、标准内容等各方面都发生了重大变化。

1、所依托法律文件地位的提升

等级保护1.0标准体系是以《中华人民共和国计算机信息系统安全保护条例》以及公安部等相关部门发布的部门规范性文件为依托；等级保护2.0标准体系则是以《中华人民共和国网络安全法》为依托。作为网络安全领域的国家最高法，《中华人民共和国网络安全法》对等级保护2.0提供了明确指导和有力支撑。

2、标准名称的变化

为适应网络安全法，落实网络安全等级保护制度，标准名称由“信息系统安全等级保护”变更为“网络安全等级保护”。

3、保护对象的变化

等级保护1.0国家标准的保护对象为信息系统，等级保护2.0国家标准将基础信息网络（广电网、电信网等）、信息系统（采用传统技术的系统）、云计算平台、大数据平台、移动互联网、物联网和工业控制系统等都纳入了等级保护对象范围。

4、标准内容的变化

为适应云计算、大数据、移动互联、物联网和工业控制等新技术、新应用情况下等级保护工作的顺利开展，等级保护2.0标准针对共性安全保护需求提出安全通用要求，针对云计算、大数据、移动互联、物联网和工业控制等新技术、新应用领域的特性化安全保护需求提出安全扩展要求。

随着《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》这3项关键标准的正式发布，等级保护2.0国家标准体系的建设工作也已基本完成，主要的等级保护国家标准有：

GB 17859-1999   《计算机信息系统 安全保护等级划分准则》

GB/T 22240-2008 《信息安全技术 信息系统安全等级保护定级指南》（修订中）

GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》

GB/T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》

GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》

GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》（修订中）

GB/T 36958-2018 《信息安全技术 网络安全等级保护安全管理中心技术要求》

GB/T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》

GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》

GB/T 36959-2018 《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》

本次发布的等级保护2.0国家标准简介

1、GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》：该项标准是等级保护标准体系的核心，对2008版标准中提出的基本要求进行了修改完善，形成安全通用要求；对云计算、大数据、移动互联、物联网、工业控制等新技术和新应用领域，提出了安全扩展要求。安全通用要求针对共性化保护需求提出，无论等级保护对象以何种形式出现，均需要根据安全保护等级实现相应级别的安全通用要求；安全扩展要求针对特性化保护需求提出，需要根据安全保护等级、使用的特定技术或特定的应用场景实现安全扩展要求。等级保护对象的安全保护措施需要同时实现安全通用要求和安全扩展要求，从而更加有效地保护等级保护对象。

2、GB/T25070-2019 《信息安全技术 网络等级保护安全设计技术要求》，该标准主要对共性安全保护目标提出通用安全设计技术要求，并针对云计算、大数据、移动互联、物联网和工业控制等新技术、新应用领域的安全保护目标，提出针对性的安全设计技术要求。该标准适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施，也可作为网络安全职能部门进行监督、检查和指导的依据。

3、 GB/T28448-2019 《信息安全技术 网络安全等级保护测评要求》，该标准与等级保护基本要求保持一致，主要明确了测评对象、测评判定规则等内容。该标准同样对云计算、大数据、移动互联、物联网和工业控制等新技术、新应用领域做出了扩展要求。该标准为安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象的安全状况进行安全测评提供指南。信息安全监管职能部门进行网络安全等级保护监督检查时参考使用。