1.1994年:《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)首次在国家层面确立了“计算机信息系统实行安全等级保护”的制度框架,明确公安部主管全国计算机信息系统安全保护工作,并提出由公安部会同有关部门制定安全等级划分标准与具体办法,为制度落地奠定了法规基础。
2.2003年:《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号)作为顶层设计文件,进一步明确了等级保护的核心目标——重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统,同时提出“抓紧建立信息安全等级保护制度,制定管理办法和技术指南”,推动制度从“原则性要求”向“实操性部署”过渡。
3.2004年:《关于信息安全等级保护工作的实施意见》(公通字【2004】66号)正式明确“信息安全等级保护制度是国家的一项基本制度”,清晰界定了制度的国家战略地位,为后续工作开展提供了根本遵循。
4.2007年:公安部、国家保密局、国家密码管理局、原国务院信息化工作办公室联合印发《信息安全等级保护管理办法》(公通字【2007】43号),标志着等保制度进入正式实施阶段。该文件系统规定了国家相关部门的分工、等级划分与保护要求、实施管理流程及法律责任,构建了等保1.0时代的完整管理体系。
5.2010年:《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安303号)部署等保测评工作在全国正式展开,通过建立专业测评机制,为制度落地提供了技术核查与风险评估的支撑。
6.2017年:《中华人民共和国网络安全法》正式实施,其第二十一条以法律形式明确“国家实行网络安全等级保护制度”,要求网络运营者必须履行等级保护安全义务(如制定制度、采取技术防护、日志留存、数据备份加密等);第三十一条进一步提出对关键信息基础设施实行“重点保护”,标志着等保制度从“部门规章层面”上升为“法律层面”,正式开启等保2.0时代。
7.2018-2020年:等保2.0核心标准体系陆续发布实施,包括《网络安全等级保护基本要求》(GB/T22239-2019)、《网络安全等级保护测评要求》(GB/T28448-2019)、《网络安全等级保护定级指南》(GB/T22240-2020)等。与1.0时代相比,2.0标准实现了三大关键升级:一是保护对象从“信息系统”扩展至网络基础设施、云计算、大数据、物联网、工业控制系统等新领域;二是构建“安全通用要求+新应用安全扩展要求”的框架;三是强化“一个中心、三重防护”的纵深防御理念,全面适配数字化时代的安全需求。
