第2章
網絡安全等級保護2.0中的應急響應

2.1　網絡安全等級保護概述

網絡安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應和處置。

網絡安全等級保護制度是我國網絡安全領域的一項重要制度。1994年，國務院制定的《計算機信息系統安全保護條例》規定：計算機信息系統實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法由公安部會同有關部門制定。2003年7月，國家信息化領導小組審議通過了《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27號），明確指出將等級保護制度作為我國信息安全領域的一項基本制度，同時提出了需要加強信息保護和網絡信任體系建設、信息安全監控體系建設、信息安全應急處理、信息安全技術研究開發、產業發展、法制和標準化建設、人才培養等一系列工作要求。2007年公安部等部門制定的《信息安全等級保護管理辦法》規定，信息系統的安全保護等級根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。

2016年11月，第十二屆全國人大常委會第二十四次會議通過了《網絡安全法》并于2017年6月正式施行，標志著網絡安全等級保護上升到法律層面。以此為標志，啟動了等級保護2.0的進程。《網絡安全法》第二十一條確定：國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行相應義務。同時《網絡安全法》第三十一條規定：“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。國家鼓勵關鍵信息基礎設施以外的網絡運營者自愿參與關鍵信息基礎設施保護體系?！?/p>

等級保護2.0的正式形成，以網絡安全等級保護的3個標準的正式實施為標志，分別是《GB/T 22239-2019　信息安全技術　網絡安全等級保護基本要求》《GB/T 25070-2019　信息安全技術　網絡安全等級保護安全設計技術要求》《GB/T 28448-2019　信息安全技術　網絡安全等級保護測評要求》，均從2019年12月1日起實施，一般認為這是等級保護2.0正式生效的時間。