2019年5月10日，《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护测评要求》《信息安全技术 网络安全等级保护安全设计技术要求》（以下称等保2.0）正式发布，于2019年12月1日正式实施。

等保2.0的发布，是对除传统信息系统之外的新型网络系统安全防护能力提升的有效补充，是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的基础。

相关标准文件见附件。

一、等级保护基本原则

安全等级保护的核心是将等级保护对象划分等级，按标准进行建设、管理和监督。安全等级保护实施过程中应遵循以下基本原则：

1）自主保护原则

等级保护对象运营、使用单位及其主管部门按照国家相关法规和标准，自主确定等级保护对象的安全保护等级，自行组织实施安全保护。

2）重点保护原则

根据等级保护对象的重要程度、业务特点，通过划分不同安全保护等级的等级保护对象，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的等级保护对象。

3）同步建设原则

等级保护对象在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设网络安全设施，保障网络安全与信息化建设相适应。

4）动态调整原则

要跟踪定级对象的变化情况，调整安全保护措施。由于定级对象的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定定级对象的安全保护等级，根据其安全保护等级的调整情况，重新实施安全保护。

二、等级划分

目前定级指南尚未发布，等级划分仍参照GBT 22240-2008《信息安全技术 信息系统安全保护等级定级指南》执行。

第一级（自主保护级）

信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级（指导保护级）

信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级（监督保护级）

信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级（强制保护级）

信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级（专控保护级）

信息系统受到破坏后，会对国家安全造成特别严重损害。

三、等级保护对象定级与备案

1）确定安全保护定级形成定级结果报告

按照国家有关管理规范和定级标准，确定定级对象的安全保护等级，并对定级结果进行评审、审核和审查，保证定级结果的准确性。在定级过程中形成等级保护对象的定级结果报告。

2）定级结果备案

根据等级保护管理部门的要求办理定级备案手续，提交备案材料（定级报告，主管部门审核意见，等级保护对象安全总体方案，安全详细设计方案，安全等级测评报告（第三级及以上等级系统需要提供，新建等级保护对象可在等级测评实施完毕补充提交等级测评报告）；等级保护管理部门接收备案材料，出具备案证明。

四、等级保护测评

《信息安全等级保护管理办法》指出：“信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。”