□揭建成

等级保护进入2.0时代，对其重要性、保护对象、内涵、体系都需要再认识

网络安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。近年来，随着互联网+、大数据、中国智造2025等重大战略的实施，云计算、物联网、大数据、工业控制、移动互联等新技术的应用发展，带来了一系列重大的网络安全新问题，原有的等级保护制度、标准体系已不能完全适应新形势的需要，社会上对等级保护产生一些质疑的声音，认为等级保护已经过时，等级保护缺乏技术含量，甚至认为等级保护测评已失去意义。然而，事实上，新形势下等级保护自身也在与时俱进，正在升级完善，应当用发展的眼光重新认识等级保护。

随着《中华人民共和国网络安全法》的正式实施，国家对等级保护制度提出了新要求，等级保护进入2.0时代。2.0时代，云计算、大数据等新技术应用不断增多，网络安全的环境更加复杂，网络安全攻击手段日趋多样化，网络安全的基础仍然不够扎实。在这种背景下，等级保护已经不再是1.0时代的等级保护，对其重要性、保护对象、内涵、体系都需要再认识。

等级保护重要性空前提高。《中华人民共和国网络安全法》第21条明确规定“国家实行网络安全等级保护制度，要求网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”；第31条规定“对于国家关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。等级保护制度不再只是部门文件规定，上升到了法律层面，在法律层面确立了其在网络安全领域的基础、核心地位。正如业内所言，不做等保就是违法了，国内出现了多个地方公安机关依据《网络安全法》对未履行等级保护责任的网络运营单位和个人进行处罚的案例。同时，教育、征信、金融等多个行业出台了落实等级保护的规定，等级保护的重要性空前提高。

等级保护对象不断扩展。在1.0时代，等级保护的对象为传统信息系统；2.0时代，计算机信息系统的概念已经不能涵盖全部，新的系统形态、新业态下的应用、新模式背后的服务以及重要数据和资源统统进入了等保视野。等级保护对象包括了大型互联网企业、基础网络、重要信息系统、网站、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等等。

等级保护内容更加丰富。等级保护1.0有五个规定动作，即定级、备案、建设整改、等级测评和监督检查；2.0时代，等级保护的内涵已大为丰富和完善。风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施。

等级保护体系更加完善。2.0时代，主管部门将继续制定出台一系列政策法规和技术标准，形成运转顺畅的工作机制，在现有体系基础上，建立完善等级保护政策体系、标准体系、测评体系、技术体系、服务体系、教育训练体系等。等级保护也将作为核心，围绕它来构建起安全监测、通报预警、快速处置、态势感知、安全防范、精确打击等为一体的国家关键信息基础设施安全保卫体系。

等级保护管理更加规范。2017年，公安部组织开展了针对全国测评机构等级保护测评工作的飞行检查，发现查处了一批问题测评机构。近期，公安部第十一局印发了《网络安全等级保护测评机构管理办法》，该办法进一步规范了对测评项目、测评机构、测评师队伍的管理，强化了对测评机构测评质量和能力的要求，很好地回应了社会关于提高等级保护测评质量的呼声。

当前，新技术、新应用形态不断呈现，关键信息基础设施安全保护形势仍然相当严峻。等级保护在运行过程中尽管还存在一些不尽完美的地方，但等级保护仍然是国内最普及、最有效的安全管理体系，且正在不断地升级完善，政策体系将进一步细化和完善，标准体系将进一步提高适用性和可操作性，人才队伍正在持续壮大，相信其将在新形势下发挥新的更大的作用。