网络安全法是网络安全领域的基本法，其中明确规定了国家实行网络安全等级保护制度，以及建立关键信息基础设施安全保护制度。网络安全等级保护制度是国家的基本制度，关键信息基础设施在网络安全等级保护制度的基础上实行重点保护。

公安部信息安全等级保护评估中心副研究员马力简要解析了等保2.0与1.0变化与改进，例如在基本要求方面：

（1）名称的变化：将原标准的“信息系统安全等级保护”改为“网络安全等级保护”，与网络安全法保持一致；

（2）对象的变化：由原来的“信息系统”改为“等级保护对象”；

（3）安全要求的变化：等保1.0中规定的安全要求，在等保2.0中修改为安全通用要求和安全扩展要求，增加了云计算、工业控制系统、移动互联、物联网等安全场景下的扩展要求；

（4）分类结构的变化：如图2所示；

（5）其他变化：此外还有在安全控制点方面的改进，强化可信计算技术的使用等等一系列改进。

图2 等保标准分类结构的变化

图3 定级要素与安全保护等级的关系（来源：绿盟科技）

根据网络安全等级保护相关标准，等级保护工作总共分五个阶段：系统定级、系统备案、建设整改、系统测评、监督检查。

在各个环节上分别有不同的主管部门负责具体的职责，定级对象建设完成后，运营、使用单位或者其主管部门应当选择符合国家要求的测评机构，依据相关网络安全等级保护测评要求，定期对定级对象安全等级状况开展等级测评。

安恒信息总结，监管单位作为督导部门，对信息系统网络安全情况负有监督、指导的职责，由公安、网信、行业主管部门协作履行监管职能。测评机构是系统运营使用单位等保2.0建设情况的“裁判官”，必须对等保2.0涉及到的云计算、物联网、工控等新型系统具备充分的业务能力。系统运营单位不管是由于自身安全需求，还是法律法规及行业规定的要求，都要对自身信息系统的等级保护建设工作，满足在等保2.0下的安全合规要求。

单位具体实施等保2.0工作需考察其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，具体分为五个安全保护等级。

第一级安全保护能力：应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在自身遭到损害后，能够恢复部分功能。

第二级安全保护能力：应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和处置安全事件，在自身遭到损害后，能够在一段时间内恢复部分功能。

第三级安全保护能力：应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能。

第四级安全保护能力：应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够及时发现、监测发现攻击行为和安全事件，在自身遭到损害后，能够迅速恢复所有功能。

第五级安全保护能力：由于情况特殊不在等保系列标准中阐述。