第1章 概述

1994 年，《中华人民共和国计算机信息系统安全保护条例》（国务院令第 147 号）第一次提出“计算机信息系统实行安全等级保护”的概念，此后一直到 2007 年，网络安全等级保护制度在起步和探索阶段。2008 年，GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》明确了对于各级信息系统的安全保护基本要求，标志着等级保护制度的标准化，等级保护 1.0（以下简称等保 1.0）时代正式到来。

2016 年 11 月 7 日，第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》，其中，第二十一条规定国家实行网络安全等级保护制度，明确网络安全等级保护制度的法律地位。2019 年 5 月，网络安全等级保护核心标准《信息安全技术 网络安全等级保护测评要求》《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护安全设计技术要求》正式发布，并于 2019 年 12 月 1 日正式实施，标志着中国等级保护制度进入 2.0（以下简称等保 2.0）时代。

建立和落实网络安全等级保护制度是形势所迫、国情所需。随着中国信息化进程的全面加快，全社会特别是重要行业、重要领域对基础信息网络和重要信息系统的依赖程度越来越高，基础信息网络和重要信息系统的安全性直接关系到国家安全、公共安全、社会公众利益。网络安全等级保护是党中央、国务院在网络安全领域实施的基本国策，作为中国非涉密领域的网络安全基本防护框架，在应对新形势、满足新要求、针对新风险、扩大新内容方面，从政策、标准体系层面都迈入了 2.0 时代。

网络安全等级保护是当今发达国家保护关键信息基础设施、保障网络安全的通行做法，也是中国多年来网络安全工作经验的总结。通过开展网络安全等级保护工作，有限的财力、物力、人力投入到国家关键信息基础设施安全保护中，可有效地保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。等保 2.0的适时推出，体现了国家积极应对新技术引发的新风险，变被动防御为主动保障，解决了中国网络安全存在的主要问题。