什么是网络安全等级保护？网络安全等级保护

什么是等级保护？在谈等级保护过程中，我们常常被信息安全等级保护和网络安全等级保护这两个术语困扰，以前的信息安全等级保护与现在谈到的网络安全等级保护是不是一回事？那么如何区分呢？在谈论等级保护之前，我们有必要把这个问题先解答一下，这是众多运营者疑惑的地方，甚至是很多做等级测评工作的机构人员与单位也疑惑的地方。

在2004年公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）中，是这样描述的：信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

这是第一次对等级保护有个较为全面的描述，此时公安部门已经出台多个GA标准支撑等级保护工作，如《计算机信息系统安全等级保护操作系统技术要求》GA/T 388-2002、《计算机信息系统安全等级保护管理要求》GA/T 391-2002等标准。但是此时，国家标准还未体系性的建设起来。

我们工作讨论最多的是《信息安全等级保护管理》（公通字[2007]43号)，其实有关66号对等级保护已经做了许多安排，以“信息安全等级保护”的描述看其实是在给这个制度下定义，其对信息系统分等级实行安全保护，对信息安全产品的使用实行分等级管理，信息安全事件实行分等级响应、处置的制度。

这样我们发现，从信息系统、安全产品、安全事件三个维度去开展工作，当然这里又会延伸出不同部门和不同级别的事权，在此暂不做讨论。在66号文中，有句话“依据标准，自行保护”，那么在落实“三同步”时，其实只要有对应标准，则都需要依据标准去开展建设，而从信息系统、安全产品、安全事件三个维度考虑，其实我们现行的网络安全相关标准，都在支撑等级保护工作。

在由公安部郭启全等编著的《网络安全法与网络安全等级保护制度培训教程》（2018版）中，是这样告诉我们的：多年来，对信息安全、网络安全、信息网络安全、网络信息安全等概念，我国在有关法律法规和文件中通常采用“信息安全”这个关键词。《网络安全法》出台之后，国家有关法律法规和文件中将“信息安全”调整为“网络安全”，将“信息安全等级保护制度”调整为“网络安全等级保护制度”。因此，本书在使用有关名词术语时，将根据历史客观事实，介绍信息安全等级保护制度、网络安全等级保护制度及网络、信息系统，虽然称谓不同，但本质是一致的。

等级保护1.0时代教程对其定义

等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

信息系统是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。

等级保护2.0时代教程对其定义

网络安全等级保护是指对网络(含信息系统、数据，下同)实施分等级保护、分等级监管，对网络中使用的网络安全产品实行按等级管理，对网络中发生的安全事件分等级响应、处置。

“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，包括网络设施、信息系统、数据资源等。

网络安全等级保护制度是国家网络安全的基本制度、基本国策网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。网络安全等级保护制度是国家网络安全工作的基本制度，是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施，是维护国家关键信息基础设施的重要手段。是网络运营者促进网络安全的重要指标和抓手。