2021年网络安全等保目录

❶ 等保2.0已发布的六大基本标准

指根据信息系统在国家安全、社会稳定、经济秩序和公共利益方便的中重要程度以及风险威胁、安全需求、安全成本等因素，将其划分不同的安全保护等级并采取相应等级的安全保护技术、管理措施、以保障信息系统安全和信息安全。

等级保护制度是我国网络安全的基本制度。层次化保护是指对国家重要信息、法人和其他组织、公民的专有信息以及公共信息和存储、传输、处理此类信息的信息系统进行层次化安全保护。

相关信息介绍：

等保2.0全称网络安全等级保护2.0制度，是我国网络安全领域的基本国策、基本制度。

等级保护标准在1.0时代标准的基础上，注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

❷ 网络安全等级保护2.0什么时候实施，相比1.0有哪些变化

以下资料来源等保测评机构——时代新威官网。如还有更多疑问请官网查看。

等保2.0相比1.0主要有四大方面的变化：

（1） 名称上的变化

名称上由“信息系统安全等级保护”转变为“网络安全等级保护”。

（2） 法律效力不同

《网络安全法》第21条规定“国家实行网络安全等级保护制度，要求网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”。落实网络安全等级保护制度上升为法律义务。

（3）保护对象有扩展

等保1.0主要是信息系统。而等保2.0将网络基础设施（广电网、电信网、专用通信网络等）、云计算平台/系统、采用移动互联技术的系统、物联网、工业控制系统等纳入到等级保护对象范围中。

（4） 控制措施分类不同

等保1.0按照技术和管理各5个方面的要求进行分类，技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复，管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。

等保2.0则有很大的变化。技术要求分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心，管理要求分为安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理。此外，等保2.0基本要求、测评要求、安全设计技术要求框架保持了一致性，即“一个中心，三重防护”。

（5） 内容进行了扩充

等保1.0有五个规定性动作，包括定级、备案、建设整改、等级测评和监督检查。而等保2.0除了定级、备案、建设整改、等级测评和监督检查之外，增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等。

❸ 在等保2.0中,等保保护对象包括哪些

等保保护对象包括网络、信息系统、云平台、物联网、工控系统、大数据、移动互联等各类技术应用。

等保2.0与1.0标准相比内涵更丰富，公安部网络安全保卫局总工程师郭启全表示，新时期国家网络安全等级保护制度具有鲜明特点，实现覆盖各地区、各单位、各部门、各企业、各机构，也就是覆盖全社会；

覆盖所有保护对象，如网络、信息系统、云平台、物联网、工控系统、大数据、移动互联等各类技术应用，无一例外都要落实等级保护制度，这两个全覆盖是它的核心，是重中之重。

(3)2021年网络安全等保目录扩展阅读

等保2.0除进行1.0时代网络定级及备案审核、等级测评、安全建设整改、自查等规定动作外，还增加了测评活动安全管理、网络服务管理、产品服务采购使用管理、技术维护管理、监测预警和信息通报管理、数据和信息安全保护要求、应急处置要求等内容。

在等级保护2.0的安全框架当中，明确提出了要态势感知，而且在等保2.0标准当中也提出要具备对新型攻击分析的能力，要能够检测对重点节点及其入侵的行为，对各类安全事件进行识别报警和分析。

❹ 国家安全等级划分方法,定级对象

2018年6月27日，公安部正式发布《网络安全等级保护条例(征求意见稿)》(以下称“《等保条例》”)，标志着《网络安全法》(以下称“《网安法》”)第二十一条所确立的网络安全等级保护制度有了具体的实施依据与有力抓手。《等保条例》共八章七十三条，包括总则、支持与保障、网络的安全保护、涉密网络的安全保护、密码管理、监督管理、法律责任和附则。相较于2007年实施的《信息安全等级保护管理办法》(以下称“《管理办法》”)所确立的等级保护1.0体系，《等保条例》在国家支持、定级备案、密码管理等多个方面进行了更新与完善，适应了现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求，标志着等级保护正式迈入2.0时代。

《等保条例》的具体规定

《管理办法》由公安部、国家保密局、国家密码管理局、国务院信息工作办公室共同发布，作为等保1.0体系的核心规定，其法律效力为部门规范性文件。另根据《管理办法》第一条规定，其制定依据为国务院行政法规《计算机信息系统安全保护条例》。

《等保条例》虽尚在征求意见稿阶段，根据《行政法规制定程序条例》第五条，行政法规的名称一般称“条例”，国务院各部门和地方人民政府制定的规章不得称“条例”，因此，《等保条例》应当属于行政法规范畴。此外，《等保条例》第一条规定了其制定依据为《网安法》与《保守国家秘密法》。

综上可知，《管理办法》为依据行政法规制定的部门规范性文件，而《等保条例》则属于依据国家法律制定的行政法规，显然，无论是自身法律效力亦或法律依据的效力位阶，等保2.0均优于等保1.0。

等级保护的适用范围

对于适用范围，《等保条例》概括性地规定为适用于网络运营者在我国境内建设、运营、维护、使用网络，开展网络安全等级保护以及监督管理工作，而个人及家庭自建自用的网络除外，内容较为简略。2018年1月19日，全国信息安全标准化技术委员会发布了《信息安全技术网络安全等级保护定级指南2.0(征求意见稿)》(以下称“《定级指南2.0》”)，为等保的具体适用提供了指引。

等保1.0体系中，《管理办法》在第十条明确提到信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》(以下称“《定级指南1.0》”)确定信息系统的安全保护等级。因此，《定级指南2.0》的出台很大程度上得益于《定级指南1.0》的已有规定。

相比《定级指南1.0》将等级保护的对象笼统地定义为信息安全等级保护工作直接作用的具体的信息和信息系统，《定级指南2.0》细化了网络安全等级保护制度定级对象的具体范围，主要包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台。另外，作为定级对象的网络还应当满足三个基本特征：第一，具有确定的主要安全责任主体;第二，承载相对独立的业务应用;第三，包含相互关联的多个资源

根据《定级指南2.0》，定级对象在满足上述基本特征后仍需遵循相关要求。对于电信网、广播电视传输网、互联网等基础信息网络，应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象，而跨省业务专网既可以作为一个整体定级，也可根据区域划分为若干对象定级。对于工业控制系统，应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级，而生产管理要素可以单独定级。对于云计算平台，则应区分为服务提供方与租户方，各自分别作为定级对象。对于物联网，虽然其包括感知、网络传输和处理应用等多种特征因素，但仍应将以上要素作为一个整体的定级对象，各要素并不单独定级。采用移动互联技术的网络与物联网类似，应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。对于大数据，除安全责任主体相同的平台和应用可以整体定级外，应单独定级。

网络等级

《等保条例》继受了《管理办法》所确立的五级安全保护等级体系，但进一步强化了对公民、法人和其他组织合法权益的保护。《管理办法》并未在主文中规定当遭受破坏后会对公民、法人和其他组织合法权益产生特别严重损害的信息系统应当如何定级，《定级指南1.0》仅在之后定级要素与安保等级关系的表格中显示上述信息系统应列为第二级，而《等保条例》则进行了相应修改，当等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害时，相应系统应当定为第三级保护对象。具体等级划分请参照以下表格：

网络安全保护义务

《管理办法》第五条规定信息系统的运营、使用单位应当依照该办法及其相关标准规范履行信息安全等级保护的义务和责任，但并未明确对应的义务。作为《网安法》配套法规的《等保条例》则沿袭了《网安法》已有的规定，就网络运营者的一般和特殊安全保护义务、网络产品和服务采购、应急预案制定等进行了详细的规定。

对于安全保护义务，除《网安法》第二十一条已经明确的内容外，一般网络运营者还应：一、建立安全管理和技术保护制度，建立人员管理、教育培训、系统安全建设、系统安全运维等制度;二、落实机房安全管理、设备和介质安全管理、网络安全管理等制度，制定操作规范和工作流程;三、在收集使用和处理个人信息时采取保护措施防止其泄露、损毁、篡改、窃取、丢失和滥用;四、落实违法信息发现、阻断、消除等措施，落实防范违法信息大量传播、违法犯罪证据灭失等措施;五、落实违法信息发现、阻断、消除等措施，防范违法信息大量传播和违法犯罪证据的灭失。第三级以上的网络运营者除上述义务外，还应当着重落实网络安全管理负责人、关键岗位技术人员的安全背景审查和持证上岗制度，同时定期开展等级测评工作。

对于网络产品和服务采购，网络运营者应当采购、使用符合国家法律法规和有关标准规范要求的网络产品和服务，第三级以上网络运营者应当采用与其安全保护等级相适应的网络产品和服务，对重要部位使用的网络产品，还应当委托专业测评机构进行专项测试。2017年6月1日生效的《网络关键设备和网络安全专用产品目录(第一批)》与国家认监委等四部门于2018年3月15日发布的《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)》对网络运营者使用的网络产品的要求进行了详细的规定，因此建议网络运营者在采购网络产品和服务要求供应商提供专业机构出具的安全认证或检测证书，以减少运营法律风险。

对于应急预案的制定，第三级以上网络的运营者应当按照国家有关规定，制定网络安全应急预案，定期开展网络安全应急演练。除及时记录并留存事件数据信息，向公安机关和行业主管部门报告外，网络运营者还应当为重大网络安全事件处置和恢复提供支持和协助。根据工信部《公共互联网网络安全突发事件应急预案》，报告网络安全事件信息时，还应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议等。

网络安全保护要求

近年来，随着人工智能、大数据、物联网、云计算等的快速发展，安全趋势和形势的急速变化，2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求》(简称等保1.0)已经不再适用于当前安全要求。从2015年开始，等级保护的安全要求逐步开始制定2.0标准，包括5个部分：安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求。2017年8月，公安部评估中心根据网信办和安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《网络安全等级保护基本要求》一个标准。等保1.0标准更偏重于对于防护的要求，而等保2.0标准更适应当前网络安全角势的发展，结合《网安法》中对于持续监测、威胁情报、快速响应类的要求提出了具体的落地措施。

❺ 网络安全等级保护条例

网络安全等级保护分为五个级别：

① 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;

② 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;

③ 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;

④ 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;

⑤ 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

证书案例

❻ 等保保护分为几级企业如何定级

等保测评分为五个级别，从一到五级别逐渐升高。等级越高，说明信息系统重要性越高。一般企业项目多为等保二级、三级。对网络安全有特定高要求的军工、电力、金融等单位应符合等保三级或等保四级；等保一级和等保五级（涉密）由于安全性太低或太高，单位或组织少有涉及。

等保2.0时代，等保测评中的定级对象级别必须经过专家评审和主管部门审核。定级流程为：确定定级对象→初步确定等级→主管部门审核→专家评审→公安机关备案审查（最终确定等级）。

建议运营使用单位或者其主管部门应当选择符合资质要求的第三方测评机构，比如国家网络安全等级保护工作协调小组办公室推荐测评机构-时代新威（推荐理由：1、一站式等级保护服务专家，省时省心2、做过大量各行业等保测评案例。3、从事网络安全18年），依据《网络安全等级保护测评要求》等技术标准，定期对等级保护对象开展等级测评。第三级定级对象应当每年进行一次等级测评工作，第四级定级对象应当每半年进行一次等级测评工作，第五级定级对象应当依据特殊安全需求进行等级测评。

❼ 等保2.0里规定：测评机构的选择符合国家有关规定，请问具体有关规定是什么规定

看有没有等保测评资质就完事了。

❽ 2021年为何要强制实行等保三级商密测评

开展等保的最重要原因是为了通过等级保护测评工作，发现单位系统内、外部存在的安全风险和脆弱性，通过整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。
2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》，网络安全法第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。简单总结就是国家法律法规、相关政策制度要求我们去开展等级保护工作，不做就是不合规，就涉嫌违法。

❾ 什么是等保2.0

等保2.0全称网络安全等级保护2.0制度，是我国网络安全领域的基本国策、基本制度。

等级保护标准在1.0时代标准的基础上，注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

网络安全等级保护条例相关延伸：

2019年04月，“2019西湖论剑·网络安全大会”在浙江杭州举行。会场上，有关网络安全的一系列讨论已在进行中。公安部网络安全保卫局总工程师郭启全在大会现场透露，《网络安全等级保护条例》有望4月底出台。

《等保条例》在国家支持、定级备案、密码管理等多个方面进行了更新与完善，适应了现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求，标志着等级保护正式迈入2.0时代。

❿ 等保三级是什么等保认证有哪些标准

等保三级又被称为国家信息安全等级保护三级认证，是中国最权威的信息产品安全等级资格认证，由公安机关依据国家信息安全保护条例及相关制度规定，按照管理规范和技术标准，对各机构的信息系统安全等级保护状况进行认可及评定。

其中按照评定等级可以分为一至五级测评。三级等保是国家对非银行机构的最高级认证，属于“监管级别”，由国家信息安全监管部门进行监督、检查，认证测评内容分别涵盖5个等级保护安全技术要求和5个安全管理要求，包含信息保护、安全审计、通信保密等近300项要求，共涉及测评分类73类，要求十分严格。

三级等保认证最严的地方是在技术层面，主要体现在系统安全管理和恶意代码防范上，简单的说，就是每当有黑客对平台进行攻击时，平台具备一定的防范能力。

标准如下：

十三大重要标准

计算机信息系统安全等级保护划分准则 （GB 17859-1999） （基础类标准）

信息系统安全等级保护实施指南 （GB/T 25058-2010） （基础类标准）

信息系统安全保护等级定级指南 （GB/T 22240-2008） （应用类定级标准）

信息系统安全等级保护基本要求 （GB/T 22239-2008） （应用类建设标准）

信息系统通用安全技术要求 （GB/T 20271-2006） （应用类建设标准）

信息系统等级保护安全设计技术要求 （GB/T 25070-2010） （应用类建设标准）

信息系统安全等级保护测评要求 （GB/T 28448-2012）（应用类测评标准）

信息系统安全等级保护测评过程指南 （GB/T 28449-2012）（应用类测评标准）

信息系统安全管理要求 （GB/T 20269-2006） （应用类管理标准）

信息系统安全工程管理要求 （GB/T 20282-2006） （应用类管理标准）

信息安全技术网络安全等级保护基本要求（GB/T 22239-2019）（基础类标准）

信息安全技术网络安全等级保护安全设计技术要求（GB/T 25070-2019）（应用类建设标准）

信息安全技术网络安全等级保护测评要求（GB/T 28448-2019）（应用类测评标准）

其它相关标准

GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求

GB/T 20270-2006 信息安全技术 网络基础安全技术要求

GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求

GB/T 20272-2006 信息安全技术 操作系统安全技术要求

GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求

GB/T 20984-2007 信息安全技术 信息安全风险评估规范

GB/T 20985-2007 信息安全技术 信息安全事件管理指南

GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南

GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范