信息系统安全等级保护（简称“等保”） 

随着2017年网络安全法的施行，等级保护制度上升为法律。

【法规要求】

《中华人民共和国网络安全法》在2017年6月1日施行，作为网络安全基础性法律，在第21条明确规定了“国家实行网络安全等

级保护制度，要求网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”；第31条规定“对于国家关键信息基

础设施，在网络安全等级保护制度的基础上，实行重点保护”。等级保护制度在今天已上升为法律，并在法律层面确立了其在

网络安全领域的基础、核心地位，正如业内所言，不做等保就是违法了。

网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务——保障网络免受干扰、破坏或者未经授权的访问

，防止网络数据泄露或者被窃取、篡改。

【主要内容】

网络安全法明确了等级保护工作的核心。

主要包括：

（1）关键信息基础设施的定义：

第三十一条 国家公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及一旦遭到破

坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的

基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

（2）关键信息基础设施的安全保护义务

第三十四条 运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等。

第五十九条 运营者拒不改正或导致危害网络安全的，罚款10-100万元，直接责任人罚款1-10万元。

（3）敏感信息保存

第三十七条 境内收集产生的个人信息和重要数据应当在境内存储。确需向境外提供的，应进行安全评估。

第六十六条 运营者违反规定的，没收违法所得，罚款5-50万元，吊销执照，直接责任人罚款1-10万元。

（4）风险检测评估

第三十八条 运营者每年至少组织一次安全风险检测评估，并评估情况和改进措施报相关部门。

我们总说等级保护有五个规定动作，即定级、备案、建设整改、等级测评和监督检查。

其中最重要的环节就是信息系统安全等级测评，它用来验证信息系统能不能满足相应安全保护等级，包含安全控制测评和系统

整体测评两个层次：由于信息安全等级保护要求不同安全等级的信息系统应该具有不同的安全保护能力，一方面通过在安全技

术和安全管理上选用与安全等级相适应的控制措施来实现；另一方面这些不同的安全控制措施，共同作用于信息系统，使得信

息系统的整体安全功能与信息系统的结构以及不同安全层级之间的关系密切相关。

【五级标准】

（1）第一级安全等级最低，只影响个人和组织内部。具体来说，第一级是指信息系统受到破坏后，会对公民、法人和其他组

织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。这一等级由信息系统运营、使用单位依据国家有关管理规

范和技术标准进行保护。

（2）第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成

损害，但不损害国家安全。这一等级除了需要信息系统运营、使用单位依据国家有关管理规范和技术标准进行保护外，还需要

国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

（3）第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。信息系统运营、使

用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监

督、检查。

（4）第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。信息系统

运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息

安全等级保护工作进行强制监督、检查。

（5）第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。信息系统运营、使用单位应当依据国家管理规范、技

术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。

【主要涵盖领域】

1、政府机关；

2、银行、证券、保险等金融机构；

3、电信、邮政体系；

4、新闻、出版、广电单位；

5、电力、燃气、煤炭等能源组织；

6、航空、铁路、水路等运输企业；

7、国家重点工程建设单位；

8、重点科研、教育机构；

9、医疗、消费、应急等组织；

10、大型电商、P2P、支付、消费金融等大数据处理公司；

11、大型信息技术研发型企业；

【趋势】

1、国家为了推动信息安全等级体系，目前基本踏入安全实施年，从电信行业的网络信息安全等保工作截止到2019年底基本普

及；

2、用户信息安全成为消费者最为关注的点，等级保护检测标准提升了运营的单位竞争能力，同时也为用户数据铤而走险的不

法分子提升了犯罪成本；

3、未来2年，成为互联网企业及大数据企业的基本标配，提高了市场准入门槛。

【检测重点】

1、主机安全；

2、网络安全；

3、网络设备防护；

4、应用安全；

5、数据安全；

6、安全管理制度；

7、应急预案体系；

【备案证明】