网络安全等级保护2.0介绍

最新推荐文章于 2026-04-18 23:02:37 发布

原创最新推荐文章于 2026-04-18 23:02:37 发布 · 2k 阅读 ·

本内容遵循CC 4.0 BY-SA版权协议

关注

标签

#web安全 #安全

分类物联网

根据信息、信息系统在国家安全、经济建设、社会生活中重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管

标准体系升级：

（1）核心标准：《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）替代了旧版GB/T 22239-2008，是等保2.0的核心标准。

（2）配套标准：更新和扩充了定级指南（GB/T 22240-2020）、测评要求（GB/T 28448-2019）、测评过程指南（GB/T 28449-2018）、安全设计技术要求（GB/T 25070-2019）等一系列配套标准，形成更完善的标准体系。

（3）扩展要求：增加了针对云计算、移动互联、物联网、工业控制系统和大数据平台的安全扩展要求，专门应对这些新技术的安全风险。
保护对象扩展：
从传统的信息系统扩展到覆盖网络基础设施、云计算平台/系统、大数据平台/应用、物联网系统、工业控制系统、采用移动互联技术的系统等几乎所有重要的网络和信息系统。

（1）定级：确定系统等级（自主定级 -> 专家评审/主管部门审核 -> 公安机关备案）。

（2）备案：向属地公安机关网安部门提交定级备案材料（二级及以上系统需备案）。

（3）建设整改：依据相应等级的安全要求，进行安全建设和整改加固。

（4）等级测评：委托具备资质的测评机构进行等级测评（三级及以上系统需每年测评）。

（5）监督检查：公安机关网安部门对运营者落实等保要求的情况进行监督检查。

（1）确定定级对象：包括信息网络（等保1.0）；云计算平台、物联网、工业控制、移动互联网、大数据（等保2.0）等

（2）初步确定等级：确定受侵害的客体以及侵害对客体的侵害程度

（3）专家评审：定级对象的运营，使用单位应组织信息安全专家和业务专家，对初步定级结果的合理性进行评审，出具专家评审意见；应将初步定级结果上报行业主管部门或上级主管部门进行审核

（4）公安机关备案审查：定级对象的运营，使用单位应按照相关管理规定，将初步定级结果交公安机关进行备案审查，审查不通过，其运营使用单位应组织重新定级，审查通过后最终确定定级对象的安全保护等级

第一级（自主保护级）： 对象遭到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。基本要求。
第二级（指导保护级）： 对象遭到破坏后，会对公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。建议备案，指导性要求。
第三级（监督保护级）： 对象遭到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。强制备案，监督性要求（重点监管级别）。
第四级（强制保护级）： 对象遭到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。强制备案，严格监管要求。
第五级（专控保护级）： 对象遭到破坏后，会对国家安全造成特别严重损害。国家指定专门部门/机构进行专门保护。