2021年網路安全等保目錄

❶ 等保2.0已發布的六大基本標准

指根據信息系統在國家安全、社會穩定、經濟秩序和公共利益方便的中重要程度以及風險威脅、安全需求、安全成本等因素，將其劃分不同的安全保護等級並採取相應等級的安全保護技術、管理措施、以保障信息系統安全和信息安全。

等級保護制度是我國網路安全的基本制度。層次化保護是指對國家重要信息、法人和其他組織、公民的專有信息以及公共信息和存儲、傳輸、處理此類信息的信息系統進行層次化安全保護。

相關信息介紹：

等保2.0全稱網路安全等級保護2.0制度，是我國網路安全領域的基本國策、基本制度。

等級保護標准在1.0時代標準的基礎上，注重主動防禦，從被動防禦到事前、事中、事後全流程的安全可信、動態感知和全面審計，實現了對傳統信息系統、基礎信息網路、雲計算、大數據、物聯網、移動互聯網和工業控制信息系統等級保護對象的全覆蓋。

❷ 網路安全等級保護2.0什麼時候實施，相比1.0有哪些變化

以下資料來源等保測評機構——時代新威官網。如還有更多疑問請官網查看。

等保2.0相比1.0主要有四大方面的變化：

（1） 名稱上的變化

名稱上由「信息系統安全等級保護」轉變為「網路安全等級保護」。

（2） 法律效力不同

《網路安全法》第21條規定「國家實行網路安全等級保護制度，要求網路運營者應當按照網路安全等級保護制度要求，履行安全保護義務」。落實網路安全等級保護制度上升為法律義務。

（3）保護對象有擴展

等保1.0主要是信息系統。而等保2.0將網路基礎設施（廣電網、電信網、專用通信網路等）、雲計算平台/系統、採用移動互聯技術的系統、物聯網、工業控制系統等納入到等級保護對象范圍中。

（4） 控制措施分類不同

等保1.0按照技術和管理各5個方面的要求進行分類，技術要求分為物理安全、網路安全、主機安全、應用安全、數據安全及備份恢復，管理要求分為安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理。

等保2.0則有很大的變化。技術要求分為安全物理環境、安全通信網路、安全區域邊界、安全計算環境、安全管理中心，管理要求分為安全管理制度、安全管理機構、安全人員管理、安全建設管理和安全運維管理。此外，等保2.0基本要求、測評要求、安全設計技術要求框架保持了一致性，即「一個中心，三重防護」。

（5） 內容進行了擴充

等保1.0有五個規定性動作，包括定級、備案、建設整改、等級測評和監督檢查。而等保2.0除了定級、備案、建設整改、等級測評和監督檢查之外，增加了風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置等。

❸ 在等保2.0中,等保保護對象包括哪些

等保保護對象包括網路、信息系統、雲平台、物聯網、工控系統、大數據、移動互聯等各類技術應用。

等保2.0與1.0標准相比內涵更豐富，公安部網路安全保衛局總工程師郭啟全表示，新時期國家網路安全等級保護制度具有鮮明特點，實現覆蓋各地區、各單位、各部門、各企業、各機構，也就是覆蓋全社會；

覆蓋所有保護對象，如網路、信息系統、雲平台、物聯網、工控系統、大數據、移動互聯等各類技術應用，無一例外都要落實等級保護制度，這兩個全覆蓋是它的核心，是重中之重。

(3)2021年網路安全等保目錄擴展閱讀

等保2.0除進行1.0時代網路定級及備案審核、等級測評、安全建設整改、自查等規定動作外，還增加了測評活動安全管理、網路服務管理、產品服務采購使用管理、技術維護管理、監測預警和信息通報管理、數據和信息安全保護要求、應急處置要求等內容。

在等級保護2.0的安全框架當中，明確提出了要態勢感知，而且在等保2.0標准當中也提出要具備對新型攻擊分析的能力，要能夠檢測對重點節點及其入侵的行為，對各類安全事件進行識別報警和分析。

❹ 國家安全等級劃分方法,定級對象

2018年6月27日，公安部正式發布《網路安全等級保護條例(徵求意見稿)》(以下稱「《等保條例》」)，標志著《網路安全法》(以下稱「《網安法》」)第二十一條所確立的網路安全等級保護制度有了具體的實施依據與有力抓手。《等保條例》共八章七十三條，包括總則、支持與保障、網路的安全保護、涉密網路的安全保護、密碼管理、監督管理、法律責任和附則。相較於2007年實施的《信息安全等級保護管理辦法》(以下稱「《管理辦法》」)所確立的等級保護1.0體系，《等保條例》在國家支持、定級備案、密碼管理等多個方面進行了更新與完善，適應了現階段網路安全的新形勢、新變化以及新技術、新應用發展的要求，標志著等級保護正式邁入2.0時代。

《等保條例》的具體規定

《管理辦法》由公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室共同發布，作為等保1.0體系的核心規定，其法律效力為部門規范性文件。另根據《管理辦法》第一條規定，其制定依據為國務院行政法規《計算機信息系統安全保護條例》。

《等保條例》雖尚在徵求意見稿階段，根據《行政法規制定程序條例》第五條，行政法規的名稱一般稱「條例」，國務院各部門和地方人民政府制定的規章不得稱「條例」，因此，《等保條例》應當屬於行政法規范疇。此外，《等保條例》第一條規定了其制定依據為《網安法》與《保守國家秘密法》。

綜上可知，《管理辦法》為依據行政法規制定的部門規范性文件，而《等保條例》則屬於依據國家法律制定的行政法規，顯然，無論是自身法律效力亦或法律依據的效力位階，等保2.0均優於等保1.0。

等級保護的適用范圍

對於適用范圍，《等保條例》概括性地規定為適用於網路運營者在我國境內建設、運營、維護、使用網路，開展網路安全等級保護以及監督管理工作，而個人及家庭自建自用的網路除外，內容較為簡略。2018年1月19日，全國信息安全標准化技術委員會發布了《信息安全技術網路安全等級保護定級指南2.0(徵求意見稿)》(以下稱「《定級指南2.0》」)，為等保的具體適用提供了指引。

等保1.0體系中，《管理辦法》在第十條明確提到信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》(以下稱「《定級指南1.0》」)確定信息系統的安全保護等級。因此，《定級指南2.0》的出台很大程度上得益於《定級指南1.0》的已有規定。

相比《定級指南1.0》將等級保護的對象籠統地定義為信息安全等級保護工作直接作用的具體的信息和信息系統，《定級指南2.0》細化了網路安全等級保護制度定級對象的具體范圍，主要包括基礎信息網路、工業控制系統、雲計算平台、物聯網、使用移動互聯技術的網路、其他網路以及大數據等多個系統平台。另外，作為定級對象的網路還應當滿足三個基本特徵：第一，具有確定的主要安全責任主體;第二，承載相對獨立的業務應用;第三，包含相互關聯的多個資源

根據《定級指南2.0》，定級對象在滿足上述基本特徵後仍需遵循相關要求。對於電信網、廣播電視傳輸網、互聯網等基礎信息網路，應分別依據服務類型、服務地域和安全責任主體等因素將其劃分為不同的定級對象，而跨省業務專網既可以作為一個整體定級，也可根據區域劃分為若干對象定級。對於工業控制系統，應將現場採集/執行、現場控制和過程式控制制等要素應作為一個整體對象定級，而生產管理要素可以單獨定級。對於雲計算平台，則應區分為服務提供方與租戶方，各自分別作為定級對象。對於物聯網，雖然其包括感知、網路傳輸和處理應用等多種特徵因素，但仍應將以上要素作為一個整體的定級對象，各要素並不單獨定級。採用移動互聯技術的網路與物聯網類似，應將移動終端、移動應用、無線網路等要素與相關有線網路業務系統作為整體對象定級。對於大數據，除安全責任主體相同的平台和應用可以整體定級外，應單獨定級。

網路等級

《等保條例》繼受了《管理辦法》所確立的五級安全保護等級體系，但進一步強化了對公民、法人和其他組織合法權益的保護。《管理辦法》並未在主文中規定當遭受破壞後會對公民、法人和其他組織合法權益產生特別嚴重損害的信息系統應當如何定級，《定級指南1.0》僅在之後定級要素與安保等級關系的表格中顯示上述信息系統應列為第二級，而《等保條例》則進行了相應修改，當等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生特別嚴重損害時，相應系統應當定為第三級保護對象。具體等級劃分請參照以下表格：

網路安全保護義務

《管理辦法》第五條規定信息系統的運營、使用單位應當依照該辦法及其相關標准規范履行信息安全等級保護的義務和責任，但並未明確對應的義務。作為《網安法》配套法規的《等保條例》則沿襲了《網安法》已有的規定，就網路運營者的一般和特殊安全保護義務、網路產品和服務采購、應急預案制定等進行了詳細的規定。

對於安全保護義務，除《網安法》第二十一條已經明確的內容外，一般網路運營者還應：一、建立安全管理和技術保護制度，建立人員管理、教育培訓、系統安全建設、系統安全運維等制度;二、落實機房安全管理、設備和介質安全管理、網路安全管理等制度，制定操作規范和工作流程;三、在收集使用和處理個人信息時採取保護措施防止其泄露、損毀、篡改、竊取、丟失和濫用;四、落實違法信息發現、阻斷、消除等措施，落實防範違法信息大量傳播、違法犯罪證據滅失等措施;五、落實違法信息發現、阻斷、消除等措施，防範違法信息大量傳播和違法犯罪證據的滅失。第三級以上的網路運營者除上述義務外，還應當著重落實網路安全管理負責人、關鍵崗位技術人員的安全背景審查和持證上崗制度，同時定期開展等級測評工作。

對於網路產品和服務采購，網路運營者應當采購、使用符合國家法律法規和有關標准規范要求的網路產品和服務，第三級以上網路運營者應當採用與其安全保護等級相適應的網路產品和服務，對重要部位使用的網路產品，還應當委託專業測評機構進行專項測試。2017年6月1日生效的《網路關鍵設備和網路安全專用產品目錄(第一批)》與國家認監委等四部門於2018年3月15日發布的《承擔網路關鍵設備和網路安全專用產品安全認證和安全檢測任務機構名錄(第一批)》對網路運營者使用的網路產品的要求進行了詳細的規定，因此建議網路運營者在采購網路產品和服務要求供應商提供專業機構出具的安全認證或檢測證書，以減少運營法律風險。

對於應急預案的制定，第三級以上網路的運營者應當按照國家有關規定，制定網路安全應急預案，定期開展網路安全應急演練。除及時記錄並留存事件數據信息，向公安機關和行業主管部門報告外，網路運營者還應當為重大網路安全事件處置和恢復提供支持和協助。根據工信部《公共互聯網網路安全突發事件應急預案》，報告網路安全事件信息時，還應當說明事件發生時間、初步判定的影響范圍和危害、已採取的應急處置措施和有關建議等。

網路安全保護要求

近年來，隨著人工智慧、大數據、物聯網、雲計算等的快速發展，安全趨勢和形勢的急速變化，2008年發布的《GB/T22239-2008 信息安全技術 信息系統安全等級保護基本要求》(簡稱等保1.0)已經不再適用於當前安全要求。從2015年開始，等級保護的安全要求逐步開始制定2.0標准，包括5個部分：安全通用要求、雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制安全擴展要求。2017年8月，公安部評估中心根據網信辦和安標委的意見將等級保護在編的5個基本要求分冊標准進行了合並形成《網路安全等級保護基本要求》一個標准。等保1.0標准更偏重於對於防護的要求，而等保2.0標准更適應當前網路安全形勢的發展，結合《網安法》中對於持續監測、威脅情報、快速響應類的要求提出了具體的落地措施。

❺ 網路安全等級保護條例

網路安全等級保護分為五個級別：

① 第一級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益;

② 第二級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全;

③ 第三級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害;

④ 第四級，等級保護對象受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害;

⑤ 第五級，等級保護對象受到破壞後，會對國家安全造成特別嚴重損害。

證書案例

❻ 等保保護分為幾級企業如何定級

等保測評分為五個級別，從一到五級別逐漸升高。等級越高，說明信息系統重要性越高。一般企業項目多為等保二級、三級。對網路安全有特定高要求的軍工、電力、金融等單位應符合等保三級或等保四級；等保一級和等保五級（涉密）由於安全性太低或太高，單位或組織少有涉及。

等保2.0時代，等保測評中的定級對象級別必須經過專家評審和主管部門審核。定級流程為：確定定級對象→初步確定等級→主管部門審核→專家評審→公安機關備案審查（最終確定等級）。

建議運營使用單位或者其主管部門應當選擇符合資質要求的第三方測評機構，比如國家網路安全等級保護工作協調小組辦公室推薦測評機構-時代新威（推薦理由：1、一站式等級保護服務專家，省時省心2、做過大量各行業等保測評案例。3、從事網路安全18年），依據《網路安全等級保護測評要求》等技術標准，定期對等級保護對象開展等級測評。第三級定級對象應當每年進行一次等級測評工作，第四級定級對象應當每半年進行一次等級測評工作，第五級定級對象應當依據特殊安全需求進行等級測評。

❼ 等保2.0里規定：測評機構的選擇符合國家有關規定，請問具體有關規定是什麼規定

看有沒有等保測評資質就完事了。

❽ 2021年為何要強制實行等保三級商密測評

開展等保的最重要原因是為了通過等級保護測評工作，發現單位系統內、外部存在的安全風險和脆弱性，通過整改之後，提高信息系統的信息安全防護能力，降低系統被各種攻擊的風險。
2016年11月7日第十二屆全國人民代表大會常務委員會第二十四次會議通過《中華人民共和國網路安全法》，網路安全法第二十一條明確規定：國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改。簡單總結就是國家法律法規、相關政策制度要求我們去開展等級保護工作，不做就是不合規，就涉嫌違法。

❾ 什麼是等保2.0

等保2.0全稱網路安全等級保護2.0制度，是我國網路安全領域的基本國策、基本制度。

等級保護標准在1.0時代標準的基礎上，注重主動防禦，從被動防禦到事前、事中、事後全流程的安全可信、動態感知和全面審計，實現了對傳統信息系統、基礎信息網路、雲計算、大數據、物聯網、移動互聯網和工業控制信息系統等級保護對象的全覆蓋。

網路安全等級保護條例相關延伸：

2019年04月，「2019西湖論劍·網路安全大會」在浙江杭州舉行。會場上，有關網路安全的一系列討論已在進行中。公安部網路安全保衛局總工程師郭啟全在大會現場透露，《網路安全等級保護條例》有望4月底出台。

《等保條例》在國家支持、定級備案、密碼管理等多個方面進行了更新與完善，適應了現階段網路安全的新形勢、新變化以及新技術、新應用發展的要求，標志著等級保護正式邁入2.0時代。

❿ 等保三級是什麼等保認證有哪些標准

等保三級又被稱為國家信息安全等級保護三級認證，是中國最權威的信息產品安全等級資格認證，由公安機關依據國家信息安全保護條例及相關制度規定，按照管理規范和技術標准，對各機構的信息系統安全等級保護狀況進行認可及評定。

其中按照評定等級可以分為一至五級測評。三級等保是國家對非銀行機構的最高級認證，屬於「監管級別」，由國家信息安全監管部門進行監督、檢查，認證測評內容分別涵蓋5個等級保護安全技術要求和5個安全管理要求，包含信息保護、安全審計、通信保密等近300項要求，共涉及測評分類73類，要求十分嚴格。

三級等保認證最嚴的地方是在技術層面，主要體現在系統安全管理和惡意代碼防範上，簡單的說，就是每當有黑客對平台進行攻擊時，平台具備一定的防範能力。

標准如下：

十三大重要標准

計算機信息系統安全等級保護劃分准則 （GB 17859-1999） （基礎類標准）

信息系統安全等級保護實施指南 （GB/T 25058-2010） （基礎類標准）

信息系統安全保護等級定級指南 （GB/T 22240-2008） （應用類定級標准）

信息系統安全等級保護基本要求 （GB/T 22239-2008） （應用類建設標准）

信息系統通用安全技術要求 （GB/T 20271-2006） （應用類建設標准）

信息系統等級保護安全設計技術要求 （GB/T 25070-2010） （應用類建設標准）

信息系統安全等級保護測評要求 （GB/T 28448-2012）（應用類測評標准）

信息系統安全等級保護測評過程指南 （GB/T 28449-2012）（應用類測評標准）

信息系統安全管理要求 （GB/T 20269-2006） （應用類管理標准）

信息系統安全工程管理要求 （GB/T 20282-2006） （應用類管理標准）

信息安全技術網路安全等級保護基本要求（GB/T 22239-2019）（基礎類標准）

信息安全技術網路安全等級保護安全設計技術要求（GB/T 25070-2019）（應用類建設標准）

信息安全技術網路安全等級保護測評要求（GB/T 28448-2019）（應用類測評標准）

其它相關標准

GB/T 21052-2007 信息安全技術 信息系統物理安全技術要求

GB/T 20270-2006 信息安全技術 網路基礎安全技術要求

GB/T 20271-2006 信息安全技術 信息系統通用安全技術要求

GB/T 20272-2006 信息安全技術 操作系統安全技術要求

GB/T 20273-2006 信息安全技術資料庫管理系統安全技術要求

GB/T 20984-2007 信息安全技術 信息安全風險評估規范

GB/T 20985-2007 信息安全技術 信息安全事件管理指南

GB/Z 20986-2007 信息安全技術 信息安全事件分類分級指南

GB/T 20988-2007 信息安全技術 信息系統災難恢復規范