等級保護(hù)是我國信息安全保障的基本制度，其全稱為“信息系統(tǒng)安全等級保護(hù)”，現(xiàn)改為“網(wǎng)絡(luò)安全等級保護(hù)”，是指對網(wǎng)絡(luò)和信息系統(tǒng)按照重要性等級分級別保護(hù)的一種制度。安全保護(hù)等級越高，要求安全保護(hù)能力就越強(qiáng)，既不能保護(hù)不足，也不能過度保護(hù)。

通過合理的等級保護(hù)，能夠遵循客觀規(guī)律，信息安全的等級是客觀存在的；有利于突出重點，加強(qiáng)安全建設(shè)和管理；有利于控制信息安全建設(shè)的成本，平衡投入產(chǎn)出比例。

從1994年國務(wù)院在《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》（以下簡稱《計算機(jī)信息系統(tǒng)安全保護(hù)條例》）首次提出計算機(jī)信息系統(tǒng)實行安全等級保護(hù)，到2007年實施《信息安全等級保護(hù)管理辦法》（以下簡稱《管理辦法》），我國信息安全等級保護(hù)制度正式走上正軌。

《GB/T 22239-2008 信息系統(tǒng)安全等級保護(hù)基本要求》（以下簡稱“基本要求”或“基本要求（GB/T 22239）”）、《GB/T 22240-2008 信息系統(tǒng)安全等級保護(hù)定級指南》（以下簡稱“定級指南”或“定級指南（GB/T 22240）”）等標(biāo)準(zhǔn)的陸續(xù)頒布，標(biāo)志著信息安全等級保護(hù)作為國家信息系統(tǒng)安全保障基本制度、基本策略、基本方法，有了落地的技術(shù)標(biāo)準(zhǔn)，在技術(shù)層面詮釋了開展網(wǎng)絡(luò)安全等級保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國家網(wǎng)絡(luò)安全的根本保障，是網(wǎng)絡(luò)安全保障工作中國家意志的體現(xiàn)。

在接下來的5年，我國信息系統(tǒng)安全等級保護(hù)以《管理辦法》為核心，在邊實踐邊建設(shè)中得到快速發(fā)展，特別是《GB/T 28448-2012 信息系統(tǒng)安全等級保護(hù)測評要求》、《GB/T 28449-2012信息系統(tǒng)安全等級保護(hù)測評過程指南》等標(biāo)準(zhǔn)辦法的實施，標(biāo)志著我國信息系統(tǒng)安全等級保護(hù)的定級、備案、建設(shè)、測評等流程在標(biāo)準(zhǔn)體系上逐步趨于完善。

為適應(yīng)新技術(shù)發(fā)展，解決云計算、物聯(lián)網(wǎng)、移動互聯(lián)、工業(yè)控制、大數(shù)據(jù)等領(lǐng)域的信息系統(tǒng)等級保護(hù)工作需要，從2014年3月開始，由公安部牽頭組織開展了等級保護(hù)重點標(biāo)準(zhǔn)申報國家標(biāo)準(zhǔn)的工作，并從2015年開始陸續(xù)對外發(fā)布草稿、征集意見稿，網(wǎng)絡(luò)上開始有了等保2.0的叫法。

網(wǎng)絡(luò)上很多對“等保2.0標(biāo)準(zhǔn)”的解讀，往往把關(guān)注點集中在基本要求的技術(shù)變化上，而容易忽略等保2.0的本質(zhì)和結(jié)構(gòu)性變化。實際上，透過新舊兩版制度的引言部分，不難發(fā)現(xiàn)如下變化：

這就意味著，前后的兩版制度所參照的規(guī)范性文件完全不同，這才應(yīng)該是等保2.0的核心內(nèi)涵，即：

1.  以國務(wù)院行政法規(guī)（《計算機(jī)信息系統(tǒng)安全保護(hù)條例》）為頂層設(shè)計，公安部、國家保密局、國家密碼管理局、國務(wù)院信息工作辦公室共同發(fā)布的部門規(guī)范性文件（《管理辦法》）確立核心體系的“信息安全等級保護(hù)”為等保1.0時代；

2.  以《網(wǎng)絡(luò)安全法》、《保守國家秘密法》等法律為頂層設(shè)計的等保2.0，其核心體系將是《網(wǎng)絡(luò)安全等級保護(hù)條例》。（已于2018年6月發(fā)布征求意見稿） 

所以，無論是自身法律效力亦或法律依據(jù)的效力位階，等保2.0均高于等保1.0，等保1.0到2.0不僅僅是制度修訂，技術(shù)的升級，更是法律效力的提升。

總結(jié)對比如下：

由于等級保護(hù)的2.0時代，法律效力得到極大提高，國家監(jiān)管力度將會更強(qiáng)，監(jiān)管范圍也會變寬。因此，等級保護(hù)在流程上必然會帶來一系列的變化。定級備案流程往往是容易被忽略的重大變化。

等級保護(hù)定級指南2.0標(biāo)準(zhǔn)（GB/T22240）細(xì)化了網(wǎng)絡(luò)安全等級保護(hù)制度定級對象的具體范圍，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、使用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)、其他網(wǎng)絡(luò)以及大數(shù)據(jù)等多個系統(tǒng)平臺。

新制度中修改定級對象三大基本特征為：a）具有確定的主要安全責(zé)任主體；b）承載相對獨立的業(yè)務(wù)應(yīng)用；c）包含相互關(guān)聯(lián)的多個資源?；A(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、采用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)和大數(shù)據(jù)在滿足以上三個基本特征的基礎(chǔ)上，還遵循如下要求：

基礎(chǔ)信息網(wǎng)絡(luò)：對于電信網(wǎng)、廣播電視傳輸網(wǎng)、互聯(lián)網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，應(yīng)分別依據(jù)服務(wù)類型、服務(wù)地域和安全責(zé)任主體等因素將其劃分為不同的定級對象，而跨省業(yè)務(wù)專網(wǎng)既可以作為一個整體定級，也可根據(jù)區(qū)域劃分為若干對象定級。

工業(yè)控制系統(tǒng)：應(yīng)將現(xiàn)場采集/執(zhí)行、現(xiàn)場控制和過程控制等要素應(yīng)作為一個整體對象定級，而生產(chǎn)管理要素可以單獨定級；對于大型工業(yè)控制系統(tǒng)，可以根據(jù)系統(tǒng)功能、責(zé)任主體、控制對象和生產(chǎn)廠商等因素劃分為多個定級對象。

云計算平臺：應(yīng)區(qū)分為服務(wù)提供方與租戶方，各自分別作為定級對象；對于大型云計算平臺，應(yīng)將云計算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級對象。

物聯(lián)網(wǎng)：雖然包括感知、網(wǎng)絡(luò)傳輸和處理應(yīng)用等多種特征因素，但仍應(yīng)將以上要素作為一個整體的定級對象，各要素并不單獨定級。

采用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)：應(yīng)將移動終端、移動應(yīng)用、無線網(wǎng)絡(luò)等要素與相關(guān)有線網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)作為整體對象定級。

大數(shù)據(jù)：除安全責(zé)任主體相同的平臺和應(yīng)用可以整體定級外，應(yīng)單獨定級。

在定級原則上，《等保條例》放棄了《管理辦法》中的“自主定級、自主保護(hù)”原則，采取了以國家行政機(jī)關(guān)持續(xù)監(jiān)督的“明確等級、增強(qiáng)保護(hù)、常態(tài)監(jiān)督”方式。更重要是，除上述系統(tǒng)，還做了對關(guān)鍵信息基礎(chǔ)設(shè)施，定級原則上不低于三級的規(guī)定。

在備案環(huán)節(jié)中，將原有的30天內(nèi)備案，縮短為10個工作日，并明確了定級流程分為：確定定級對象、初步確定等級、專家評審、主管部門審核、公安機(jī)關(guān)備案審查，填補了1.0時代只有按照定級要素進(jìn)行過程，沒有嚴(yán)格流程的不足。

整理對比如下：

作為等保1.0時代的核心體系文件，《管理辦法》并未在主文中規(guī)定當(dāng)遭受破壞后對公民、法人和其他組織合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害的信息系統(tǒng)應(yīng)當(dāng)如何定級，只是在GB/T 22240-2008中，將其定義為二級；在2.0時代，在《等保條例》與新GB/T 22240中，都明確定義為三級。

等保1.0中定級要素與安全保護(hù)等級的關(guān)系

等保2.0體系定級要素與安全保護(hù)等級的關(guān)系

等級保護(hù)2.0制度中，基本技術(shù)要求將會帶來怎樣的變化？又將經(jīng)歷怎樣的變化歷程？后續(xù)文章中，靈狐科技將以核心體系文件的變化為依據(jù)，在架構(gòu)、控制措施、新增內(nèi)容等方面詮釋等保2.0的變化。