等級保護是我國信息安全保障的基本制度，其全稱為“信息系統(tǒng)安全等級保護”，現(xiàn)改為“網(wǎng)絡安全等級保護”，是指對網(wǎng)絡和信息系統(tǒng)按照重要性等級分級別保護的一種制度。安全保護等級越高，要求安全保護能力就越強，既不能保護不足，也不能過度保護。

通過合理的等級保護，能夠遵循客觀規(guī)律，信息安全的等級是客觀存在的；有利于突出重點，加強安全建設(shè)和管理；有利于控制信息安全建設(shè)的成本，平衡投入產(chǎn)出比例。

從1994年國務院在《中華人民共和國計算機信息系統(tǒng)安全保護條例》（以下簡稱《計算機信息系統(tǒng)安全保護條例》）首次提出計算機信息系統(tǒng)實行安全等級保護，到2007年實施《信息安全等級保護管理辦法》（以下簡稱《管理辦法》），我國信息安全等級保護制度正式走上正軌。

《GB/T 22239-2008 信息系統(tǒng)安全等級保護基本要求》（以下簡稱“基本要求”或“基本要求（GB/T 22239）”）、《GB/T 22240-2008 信息系統(tǒng)安全等級保護定級指南》（以下簡稱“定級指南”或“定級指南（GB/T 22240）”）等標準的陸續(xù)頒布，標志著信息安全等級保護作為國家信息系統(tǒng)安全保障基本制度、基本策略、基本方法，有了落地的技術(shù)標準，在技術(shù)層面詮釋了開展網(wǎng)絡安全等級保護工作是保護信息化發(fā)展、維護國家網(wǎng)絡安全的根本保障，是網(wǎng)絡安全保障工作中國家意志的體現(xiàn)。

在接下來的5年，我國信息系統(tǒng)安全等級保護以《管理辦法》為核心，在邊實踐邊建設(shè)中得到快速發(fā)展，特別是《GB/T 28448-2012 信息系統(tǒng)安全等級保護測評要求》、《GB/T 28449-2012信息系統(tǒng)安全等級保護測評過程指南》等標準辦法的實施，標志著我國信息系統(tǒng)安全等級保護的定級、備案、建設(shè)、測評等流程在標準體系上逐步趨于完善。

為適應新技術(shù)發(fā)展，解決云計算、物聯(lián)網(wǎng)、移動互聯(lián)、工業(yè)控制、大數(shù)據(jù)等領(lǐng)域的信息系統(tǒng)等級保護工作需要，從2014年3月開始，由公安部牽頭組織開展了等級保護重點標準申報國家標準的工作，并從2015年開始陸續(xù)對外發(fā)布草稿、征集意見稿，網(wǎng)絡上開始有了等保2.0的叫法。

網(wǎng)絡上很多對“等保2.0標準”的解讀，往往把關(guān)注點集中在基本要求的技術(shù)變化上，而容易忽略等保2.0的本質(zhì)和結(jié)構(gòu)性變化。實際上，透過新舊兩版制度的引言部分，不難發(fā)現(xiàn)如下變化：

這就意味著，前后的兩版制度所參照的規(guī)范性文件完全不同，這才應該是等保2.0的核心內(nèi)涵，即：

1.  以國務院行政法規(guī)（《計算機信息系統(tǒng)安全保護條例》）為頂層設(shè)計，公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室共同發(fā)布的部門規(guī)范性文件（《管理辦法》）確立核心體系的“信息安全等級保護”為等保1.0時代；

2.  以《網(wǎng)絡安全法》、《保守國家秘密法》等法律為頂層設(shè)計的等保2.0，其核心體系將是《網(wǎng)絡安全等級保護條例》。（已于2018年6月發(fā)布征求意見稿） 

所以，無論是自身法律效力亦或法律依據(jù)的效力位階，等保2.0均高于等保1.0，等保1.0到2.0不僅僅是制度修訂，技術(shù)的升級，更是法律效力的提升。

總結(jié)對比如下：

由于等級保護的2.0時代，法律效力得到極大提高，國家監(jiān)管力度將會更強，監(jiān)管范圍也會變寬。因此，等級保護在流程上必然會帶來一系列的變化。定級備案流程往往是容易被忽略的重大變化。

等級保護定級指南2.0標準（GB/T22240）細化了網(wǎng)絡安全等級保護制度定級對象的具體范圍，主要包括基礎(chǔ)信息網(wǎng)絡、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、使用移動互聯(lián)技術(shù)的網(wǎng)絡、其他網(wǎng)絡以及大數(shù)據(jù)等多個系統(tǒng)平臺。

新制度中修改定級對象三大基本特征為：a）具有確定的主要安全責任主體；b）承載相對獨立的業(yè)務應用；c）包含相互關(guān)聯(lián)的多個資源?；A(chǔ)信息網(wǎng)絡、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、采用移動互聯(lián)技術(shù)的網(wǎng)絡和大數(shù)據(jù)在滿足以上三個基本特征的基礎(chǔ)上，還遵循如下要求：

基礎(chǔ)信息網(wǎng)絡：對于電信網(wǎng)、廣播電視傳輸網(wǎng)、互聯(lián)網(wǎng)等基礎(chǔ)信息網(wǎng)絡，應分別依據(jù)服務類型、服務地域和安全責任主體等因素將其劃分為不同的定級對象，而跨省業(yè)務專網(wǎng)既可以作為一個整體定級，也可根據(jù)區(qū)域劃分為若干對象定級。

工業(yè)控制系統(tǒng)：應將現(xiàn)場采集/執(zhí)行、現(xiàn)場控制和過程控制等要素應作為一個整體對象定級，而生產(chǎn)管理要素可以單獨定級；對于大型工業(yè)控制系統(tǒng)，可以根據(jù)系統(tǒng)功能、責任主體、控制對象和生產(chǎn)廠商等因素劃分為多個定級對象。

云計算平臺：應區(qū)分為服務提供方與租戶方，各自分別作為定級對象；對于大型云計算平臺，應將云計算基礎(chǔ)設(shè)施和有關(guān)輔助服務系統(tǒng)劃分為不同的定級對象。

物聯(lián)網(wǎng)：雖然包括感知、網(wǎng)絡傳輸和處理應用等多種特征因素，但仍應將以上要素作為一個整體的定級對象，各要素并不單獨定級。

采用移動互聯(lián)技術(shù)的網(wǎng)絡：應將移動終端、移動應用、無線網(wǎng)絡等要素與相關(guān)有線網(wǎng)絡業(yè)務系統(tǒng)作為整體對象定級。

大數(shù)據(jù)：除安全責任主體相同的平臺和應用可以整體定級外，應單獨定級。

在定級原則上，《等保條例》放棄了《管理辦法》中的“自主定級、自主保護”原則，采取了以國家行政機關(guān)持續(xù)監(jiān)督的“明確等級、增強保護、常態(tài)監(jiān)督”方式。更重要是，除上述系統(tǒng)，還做了對關(guān)鍵信息基礎(chǔ)設(shè)施，定級原則上不低于三級的規(guī)定。

在備案環(huán)節(jié)中，將原有的30天內(nèi)備案，縮短為10個工作日，并明確了定級流程分為：確定定級對象、初步確定等級、專家評審、主管部門審核、公安機關(guān)備案審查，填補了1.0時代只有按照定級要素進行過程，沒有嚴格流程的不足。

整理對比如下：

作為等保1.0時代的核心體系文件，《管理辦法》并未在主文中規(guī)定當遭受破壞后對公民、法人和其他組織合法權(quán)益產(chǎn)生特別嚴重損害的信息系統(tǒng)應當如何定級，只是在GB/T 22240-2008中，將其定義為二級；在2.0時代，在《等保條例》與新GB/T 22240中，都明確定義為三級。

等保1.0中定級要素與安全保護等級的關(guān)系

等保2.0體系定級要素與安全保護等級的關(guān)系

等級保護2.0制度中，基本技術(shù)要求將會帶來怎樣的變化？又將經(jīng)歷怎樣的變化歷程？后續(xù)文章中，靈狐科技將以核心體系文件的變化為依據(jù)，在架構(gòu)、控制措施、新增內(nèi)容等方面詮釋等保2.0的變化。