為了合規(guī)通過等級保護(hù)，不少人問：信息安全等級保護(hù)政策或者標(biāo)準(zhǔn)到底有哪些？究竟以哪些作為依據(jù)？為了解決大家的這個難題，本篇文章為大家提供國家目前已經(jīng)出臺的關(guān)于等級保護(hù)的相關(guān)標(biāo)準(zhǔn)，可收藏！
 
首先需要明確的是，2019年12月1日起，等保相關(guān)標(biāo)準(zhǔn)正式實施，我國也正式進(jìn)入等保2.0時代。相比等保1.0，等保2.0發(fā)生了很多變化，對于需要申辦等級保護(hù)的企業(yè)來說，如果等保2.0有規(guī)定的，請參照等保2.0的最新規(guī)定來執(zhí)行。當(dāng)然，有一些標(biāo)準(zhǔn)，無論是等保1.0還是等保2.0.都是通用的。
 
一、等保1.0時代等級保護(hù)相關(guān)標(biāo)準(zhǔn)
 
1.《中華人民共和國人民警察法》規(guī)定：人民警察履行“監(jiān)督管理計算機(jī)信息系統(tǒng)的安全保護(hù)工作”的職責(zé)。
 
2.國務(wù)院令第147號規(guī)定：“公安部主管全國計算機(jī)信息系統(tǒng)安全保護(hù)工作”，“等級保護(hù)的具體辦法，由公安部會同有關(guān)部門制定”。
 
3.2008年國務(wù)院“三定”方案，賦予公安部“監(jiān)督、檢查、指導(dǎo)信息安全等級保護(hù)工作”法定職責(zé)。
 
4.《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號）明確指出：實行信息安全等級保護(hù)。要重點保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護(hù)制度，制定信息安全等級保護(hù)的管理辦法和技術(shù)指南 。
 
5、《國務(wù)院關(guān)于推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)[2012]23號）：“落實信息安全等級保護(hù)制度，開展相應(yīng)等級的安全建設(shè)和管理，做好信息系統(tǒng)定級備案、整改和監(jiān)督檢查。”
 
6.國家發(fā)改委、公安部、財政部、國家保密局、國家電子政務(wù)內(nèi)網(wǎng)建設(shè)和管理協(xié)調(diào)小組辦公室聯(lián)合印發(fā)了《關(guān)于進(jìn)一步加強(qiáng)國家電子政務(wù)網(wǎng)絡(luò)建設(shè)和應(yīng)用工作的通知》（發(fā)改高技[2012]1986號）
 
7.公安部、發(fā)改委和財政部聯(lián)合印發(fā)的《關(guān)于加強(qiáng)國家級重要信息系統(tǒng)安全保障工作有關(guān)事項的通知》（公信安[2014]2182號）要求，加強(qiáng)對47個行業(yè)、276家單位、500個涉及國計民生的國家級重要信息系統(tǒng)的安全監(jiān)管和保障。
 
《安防控體系建設(shè)的意見》要求：“完善國家網(wǎng)絡(luò)安全監(jiān)測預(yù)警和通報處置工作機(jī)制，推進(jìn)完善信息安全等級保護(hù)制度”。
 
8.2014年12月，中辦國辦《關(guān)于加強(qiáng)社會治安防控體系建設(shè)的意見》要求：“完善國家網(wǎng)絡(luò)安全監(jiān)測預(yù)警和通報處置工作機(jī)制，推進(jìn)完善信息安全等級保護(hù)制度”。
 
9.2014年12月中央批準(zhǔn)實施的《關(guān)于全面深化公安改革若干重大問題的框架意見》指出， “推進(jìn)健全信息安全等級保護(hù)制度，完善網(wǎng)絡(luò)安全風(fēng)險監(jiān)測預(yù)警、通報處置機(jī)制”。
 
10.《中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組2015年工作要點》中，要求“落實國家信息安全等級保護(hù)制度”。
 
二、等保2.0時代等級保護(hù)相關(guān)標(biāo)準(zhǔn)
 
1.《網(wǎng)絡(luò)安全法》
 
需要申辦等級保護(hù)的企業(yè)必須參照的其中一個標(biāo)準(zhǔn)是《網(wǎng)絡(luò)安全法》，《網(wǎng)絡(luò)安全法》其實早在2017年就發(fā)布了，應(yīng)該算是等保1.0時期的標(biāo)準(zhǔn)，但由于這個比較重要，我們把它放在2.0時代來說。《網(wǎng)絡(luò)安全法》 明確規(guī)定信息系統(tǒng)運營、使用單位應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度要求，履行安全保護(hù)義務(wù)，如果拒不履行，將會受到相應(yīng)處罰。
 
《網(wǎng)絡(luò)安全法》第二十一條規(guī)定：
國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：
1. 制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實網(wǎng)絡(luò)安全保護(hù)責(zé)任；
2. 采取防范計算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；
3. 采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；
4. 采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；
5. 法律、行政法規(guī)規(guī)定的其他義務(wù)。
 
《網(wǎng)絡(luò)安全法》第三十八條規(guī)定：
關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進(jìn)行一次檢測評估，并將檢測評估情況和改進(jìn)措施報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。
 
《網(wǎng)絡(luò)安全法》第五十九條規(guī)定：
網(wǎng)絡(luò)運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。
 
關(guān)鍵信息基礎(chǔ)設(shè)施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，對直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。
 
2.GB/T 22239-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》
 
該項標(biāo)準(zhǔn)是等級保護(hù)標(biāo)準(zhǔn)體系的核心，對2008版標(biāo)準(zhǔn)中提出的基本要求進(jìn)行了修改完善，形成安全通用要求；對云計算、大數(shù)據(jù)、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制等新技術(shù)和新應(yīng)用領(lǐng)域，提出了安全擴(kuò)展要求。
 
3.GB/T25070-2019 《信息安全技術(shù) 網(wǎng)絡(luò)等級保護(hù)安全設(shè)計技術(shù)要求》
 
該標(biāo)準(zhǔn)主要對共性安全保護(hù)目標(biāo)提出通用安全設(shè)計技術(shù)要求，該標(biāo)準(zhǔn)適用于指導(dǎo)運營使用單位、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開展網(wǎng)絡(luò)安全等級保護(hù)安全技術(shù)方案的設(shè)計和實施，也可作為網(wǎng)絡(luò)安全職能部門進(jìn)行監(jiān)督、檢查和指導(dǎo)的依據(jù)。
 
4.GB/T28448-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》
 
該標(biāo)準(zhǔn)與等級保護(hù)基本要求保持一致，主要明確了測評對象、測評判定規(guī)則等內(nèi)容。該標(biāo)準(zhǔn)為安全測評服務(wù)機(jī)構(gòu)、等級保護(hù)對象的主管部門及運營使用單位對等級保護(hù)對象的安全狀況進(jìn)行安全測評提供指南。信息安全監(jiān)管職能部門進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)監(jiān)督檢查時參考使用。
 
5.《GBT 22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》
 
2020年4月28日，國家市場監(jiān)督管理總局和國家標(biāo)準(zhǔn)化管理委員會發(fā)布了《GBT 22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》，且該指南將于2020年11月1日正式實施。該指南主要是對信息系統(tǒng)的定級指引，包含內(nèi)容有：等級保護(hù)對象介紹、定級要素與安全保護(hù)等級的關(guān)系、定級流程、不同保護(hù)對象的定級說明等。