等級保護是我國信息安全保障的基本制度，其全稱(chēng)為“信息系統安全等級保護”，現改為“網(wǎng)絡(luò )安全等級保護”，是指對網(wǎng)絡(luò )和信息系統按照重要性等級分級別保護的一種制度。安全保護等級越高，要求安全保護能力就越強，既不能保護不足，也不能過(guò)度保護。

通過(guò)合理的等級保護，能夠遵循客觀(guān)規律，信息安全的等級是客觀(guān)存在的；有利于突出重點(diǎn)，加強安全建設和管理；有利于控制信息安全建設的成本，平衡投入產(chǎn)出比例。

從1994年國務(wù)院在《中華人民共和國計算機信息系統安全保護條例》（以下簡(jiǎn)稱(chēng)《計算機信息系統安全保護條例》）首次提出計算機信息系統實(shí)行安全等級保護，到2007年實(shí)施《信息安全等級保護管理辦法》（以下簡(jiǎn)稱(chēng)《管理辦法》），我國信息安全等級保護制度正式走上正軌。

《GB/T 22239-2008 信息系統安全等級保護基本要求》（以下簡(jiǎn)稱(chēng)“基本要求”或“基本要求（GB/T 22239）”）、《GB/T 22240-2008 信息系統安全等級保護定級指南》（以下簡(jiǎn)稱(chēng)“定級指南”或“定級指南（GB/T 22240）”）等標準的陸續頒布，標志著(zhù)信息安全等級保護作為國家信息系統安全保障基本制度、基本策略、基本方法，有了落地的技術(shù)標準，在技術(shù)層面詮釋了開(kāi)展網(wǎng)絡(luò )安全等級保護工作是保護信息化發(fā)展、維護國家網(wǎng)絡(luò )安全的根本保障，是網(wǎng)絡(luò )安全保障工作中國家意志的體現。

在接下來(lái)的5年，我國信息系統安全等級保護以《管理辦法》為核心，在邊實(shí)踐邊建設中得到快速發(fā)展，特別是《GB/T 28448-2012 信息系統安全等級保護測評要求》、《GB/T 28449-2012信息系統安全等級保護測評過(guò)程指南》等標準辦法的實(shí)施，標志著(zhù)我國信息系統安全等級保護的定級、備案、建設、測評等流程在標準體系上逐步趨于完善。

為適應新技術(shù)發(fā)展，解決云計算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、工業(yè)控制、大數據等領(lǐng)域的信息系統等級保護工作需要，從2014年3月開(kāi)始，由公安部牽頭組織開(kāi)展了等級保護重點(diǎn)標準申報國家標準的工作，并從2015年開(kāi)始陸續對外發(fā)布草稿、征集意見(jiàn)稿，網(wǎng)絡(luò )上開(kāi)始有了等保2.0的叫法。

網(wǎng)絡(luò )上很多對“等保2.0標準”的解讀，往往把關(guān)注點(diǎn)集中在基本要求的技術(shù)變化上，而容易忽略等保2.0的本質(zhì)和結構性變化。實(shí)際上，透過(guò)新舊兩版制度的引言部分，不難發(fā)現如下變化：

這就意味著(zhù)，前后的兩版制度所參照的規范性文件完全不同，這才應該是等保2.0的核心內涵，即：

1.  以國務(wù)院行政法規（《計算機信息系統安全保護條例》）為頂層設計，公安部、國家保密局、國家密碼管理局、國務(wù)院信息工作辦公室共同發(fā)布的部門(mén)規范性文件（《管理辦法》）確立核心體系的“信息安全等級保護”為等保1.0時(shí)代；

2.  以《網(wǎng)絡(luò )安全法》、《保守國家秘密法》等法律為頂層設計的等保2.0，其核心體系將是《網(wǎng)絡(luò )安全等級保護條例》。（已于2018年6月發(fā)布征求意見(jiàn)稿） 

所以，無(wú)論是自身法律效力亦或法律依據的效力位階，等保2.0均高于等保1.0，等保1.0到2.0不僅僅是制度修訂，技術(shù)的升級，更是法律效力的提升。

總結對比如下：

由于等級保護的2.0時(shí)代，法律效力得到極大提高，國家監管力度將會(huì )更強，監管范圍也會(huì )變寬。因此，等級保護在流程上必然會(huì )帶來(lái)一系列的變化。定級備案流程往往是容易被忽略的重大變化。

等級保護定級指南2.0標準（GB/T22240）細化了網(wǎng)絡(luò )安全等級保護制度定級對象的具體范圍，主要包括基礎信息網(wǎng)絡(luò )、工業(yè)控制系統、云計算平臺、物聯(lián)網(wǎng)、使用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò )、其他網(wǎng)絡(luò )以及大數據等多個(gè)系統平臺。

新制度中修改定級對象三大基本特征為：a）具有確定的主要安全責任主體；b）承載相對獨立的業(yè)務(wù)應用；c）包含相互關(guān)聯(lián)的多個(gè)資源?；A信息網(wǎng)絡(luò )、工業(yè)控制系統、云計算平臺、物聯(lián)網(wǎng)、采用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò )和大數據在滿(mǎn)足以上三個(gè)基本特征的基礎上，還遵循如下要求：

基礎信息網(wǎng)絡(luò )：對于電信網(wǎng)、廣播電視傳輸網(wǎng)、互聯(lián)網(wǎng)等基礎信息網(wǎng)絡(luò )，應分別依據服務(wù)類(lèi)型、服務(wù)地域和安全責任主體等因素將其劃分為不同的定級對象，而跨省業(yè)務(wù)專(zhuān)網(wǎng)既可以作為一個(gè)整體定級，也可根據區域劃分為若干對象定級。

工業(yè)控制系統：應將現場(chǎng)采集/執行、現場(chǎng)控制和過(guò)程控制等要素應作為一個(gè)整體對象定級，而生產(chǎn)管理要素可以單獨定級；對于大型工業(yè)控制系統，可以根據系統功能、責任主體、控制對象和生產(chǎn)廠(chǎng)商等因素劃分為多個(gè)定級對象。

云計算平臺：應區分為服務(wù)提供方與租戶(hù)方，各自分別作為定級對象；對于大型云計算平臺，應將云計算基礎設施和有關(guān)輔助服務(wù)系統劃分為不同的定級對象。

物聯(lián)網(wǎng)：雖然包括感知、網(wǎng)絡(luò )傳輸和處理應用等多種特征因素，但仍應將以上要素作為一個(gè)整體的定級對象，各要素并不單獨定級。

采用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò )：應將移動(dòng)終端、移動(dòng)應用、無(wú)線(xiàn)網(wǎng)絡(luò )等要素與相關(guān)有線(xiàn)網(wǎng)絡(luò )業(yè)務(wù)系統作為整體對象定級。

大數據：除安全責任主體相同的平臺和應用可以整體定級外，應單獨定級。

在定級原則上，《等保條例》放棄了《管理辦法》中的“自主定級、自主保護”原則，采取了以國家行政機關(guān)持續監督的“明確等級、增強保護、常態(tài)監督”方式。更重要是，除上述系統，還做了對關(guān)鍵信息基礎設施，定級原則上不低于三級的規定。

在備案環(huán)節中，將原有的30天內備案，縮短為10個(gè)工作日，并明確了定級流程分為：確定定級對象、初步確定等級、專(zhuān)家評審、主管部門(mén)審核、公安機關(guān)備案審查，填補了1.0時(shí)代只有按照定級要素進(jìn)行過(guò)程，沒(méi)有嚴格流程的不足。

整理對比如下：

作為等保1.0時(shí)代的核心體系文件，《管理辦法》并未在主文中規定當遭受破壞后對公民、法人和其他組織合法權益產(chǎn)生特別嚴重損害的信息系統應當如何定級，只是在GB/T 22240-2008中，將其定義為二級；在2.0時(shí)代，在《等保條例》與新GB/T 22240中，都明確定義為三級。

等保1.0中定級要素與安全保護等級的關(guān)系

等保2.0體系定級要素與安全保護等級的關(guān)系

等級保護2.0制度中，基本技術(shù)要求將會(huì )帶來(lái)怎樣的變化？又將經(jīng)歷怎樣的變化歷程？后續文章中，靈狐科技將以核心體系文件的變化為依據，在架構、控制措施、新增內容等方面詮釋等保2.0的變化。