2020年9月2日，网络安全等级保护和关键信息基础设施安全保护工作宣贯大会在京召开，大会对公网安〔2020〕1960号《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（以下简称“《指导意见》”）进行了宣贯。[i]《指导意见》以贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度为基础，以保护关键信息基础设施、重要网络和数据安全为重点，是引领重要行业及全社会落实“网络安全等级保护制度和关键信息基础设施保护制度”的纲领性文件。

那么网络安全等级保护制度和关键信息基础设施保护制度到底是什么，两者有何联系与区别呢?下文将对这一话题进行简要介绍。

一、保护范围

根据《网络安全法》第二十一条，网络安全等级保护制度是一项普适性制度，适用于所有网络运营者，而关键信息基础设施保护制度则仅适用于被认定关键信息基础设施的运营者，但国家同时鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

网络安全等级保护制度强调分等级保护，等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高被划分为五个安全保护等级。定级备案是网络安全等级保护制度开展的首要环节，具体定级方法和定级流程可参照《信息安全技术网络安全等级保护定级指南》（GB/T 22240-2020）。

关键信息基础设施亦属于等级保护对象，需落实定级备案工作。关键信息基础设施是指支撑国家关键基础设施的信息系统，其一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益，这一定义对应着安全保护等级第三级的要求。因此，一般而言，关键信息基础设施的网络安全保护等级应不低于三级。

二、安全保护能力

《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）将各个级别的安全要求分为安全通用要求和安全扩展要求。安全通用要求是不管等级保护对象形态如何必须满足的基本要求，而针对云计算、移动互联、物联网和工业控制系统的特性，则分别提出不同的特殊要求，此即安全扩展要求。同时，该标准通过附录D-H，对云计算应用场景、移动互联应用场景、物联网应用场景、工业控制系统应用场景及大数据应用场景等具体场景进一步细化了相应网络运营者所应具备的安全保护能力。

《信息安全技术关键信息基础设施安全防护能力评价方法》（征求意见稿）提出运营者在关键信息基础设施安全防护所需具备的能力，包括识别认定、安全防护、检测评估、监测预警、事件处置5个方面，依据5个能力域完成程度的高低进行分级评估，可分为3个能力等级。关键信息基础设施安全防护能力评价包括能力域级别评价、等级保护测评和密码测评三部分。关键信息基础设施安全防护能力评价前，关键信息基础设施应首先通过相应等级的等级保护测评和相关密码测评。关键信息基础设施安全防护能力的最终评价结果应综合考虑5个能力域级别与等级保护测评结果。

同时，等级保护对象需定期进行网络安全等级测评，第三级网络运营者每年至少进行一次网络安全等级测评，第四级则要求每半年至少一次。关键信息基础设施运营者亦需根据其对应的网络安全等级定期展开测评活动。

如下表所示，要达到相应的安全保护能力，网络运营者需依据《网络安全法》等法律法规和国家标准采取相应的安全保障措施。关键信息基础设施运营者在满足网络安全等级保护制度的要求外，还需履行额外的安全保护义务。

三、保护工作流程

《信息安全技术网络安全等级保护实施指南》（GB/T 25058-2019）明确了等级保护对象安全等级保护实施的基本流程。各阶段的主要过程、活动、输入和输出可以参考该国家标准附录A的内容。网络安全保护等级存在动态变化，当等级保护对象因需求变化等原因导致局部调整而安全保护等级未改变时，应从上表中的安全运行与维护阶段返回安全设计与实施阶段，重新设计、调整和实施安全措施，以确保满足等级保护的要求；当等级保护对象发生重大变更导致安全保护等级变化时，则需返回定级与备案环节，重新开始新一轮的网络安全等级保护的实施过程。

《信息安全技术关键信息基础设施网络安全保护基本要求》（征求意见稿）在此基础上，对关键信息基础设施网络安全保护提出进一步要求，主要包括识别认定、安全防护、检测评估、监测预警、应急处置五个环节。关键信息基础设施运营者应根据检测评估、监测预警中发现的安全问题及处置结果开展综合评估，重新开展风险识别，并更新安全策略。

结 语

简而言之，网络安全等级保护制度是关键信息基础设施保护的基础，而关键信息基础设施是网络安全等级保护的重点保护对象。随着对网络安全等级保护制度的定级指南、基本要求、实施指南、测评过程指南、测评要求、设计技术要求等标准的修订和完善，我国“等保2.0”体系已逐渐确立。《指导意见》指出，公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门应制定本行业、本领域关键信息基础设施认定规则并报公安部备案，关键信息基础设施保护制度的构建也在不断地推进之中。网络安全等级保护制度与关键信息基础设施安全保护制度相辅相成，共同构成国家网络安全综合防控体系的坚实基础。

[i]等级保护测评：《落实“两个制度”，合力保卫网络安全》[2020-09-03](2020-09-17).https://mp.weixin.qq.com/s/oQuXVxOQG7CAf9CFvnXwHg?scene=25#wechat_redirect.

作者：吴丹君律师 张振君律师助理

来源：微信公众号“大数据法律研究”