《網絡安全法》第二十一條規定“國家實行網絡安全等級保護制度。”將網絡安全等級保護制度上升為網絡安全的一項基本國策，但是很多人對網絡安全等級保護(以下簡稱“等保”)制度還是比較陌生，所以來談談幾個網絡安全等級保護工作的情況。

網絡安全等級保護制度的發展歷程

網絡安全等級保護制度是2003年公安部開始探索和實踐計算機保護的一項工作，叫信息安全等級保護工作。2007年，在實踐基礎上公安部會同國家保密局、國家密碼管理局、國務院信息化工作辦公室等四部委發布了《信息安全等級保護管理辦法》，將信息安全等級保護工作寫入法規中。同年，浙江省發布了《浙江省信息安全等級保護管理辦法》，細化信息安全等級保護工作要求。2017年隨著《網絡安全法》的實施，信息安全等級保護制度改為網絡安全等級保護制度。2018年6月，公安部向社會發布了《網絡安全等級保護條例(征求意見稿)》公開征求意見。網絡安全等級保護的法律法規體系正在逐步完善。

網絡安全等級保護的工作內容

很多人對網絡安全等級保護的工作存在誤解，以為網絡安全等級保護的工作就是等保備案和等保測評。這種認識完全本末倒置，網絡安全等級保護的工作是根據信息系統遭到破壞后帶來對客體的侵害程度分成五個保護等級，每個保護等級落實相應的安全工作要求，等保備案和等保測評僅僅是監督這項工作的落實的法定程序。網絡安全等級保護制度要求信息系統責任主體落實信息系統的安全策略和管理制度、安全管理機構和人員、物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全、安全建設管理、安全運維管理等系統安全各個維度的工作要求。等保測評并不是落實這些維度的安全措施，而是一個醫生給病人把脈診斷的過程，同時給出治療建議。至于病人吃什么藥，做什么改進，是信息系統責任主體權衡多方因素后進行整改和安全加固。

網絡安全等級保護制度的適應性

網絡安全等級保護制度從2007年實施到現在，已經走過十一年，它具有強大的適應性，依然能夠跟上日新月異的技術發展。首先，它的等保定級是以被破壞后對國家安全、社會穩定和公共利益侵害程度為導向，無論以后出現多少新技術、新應用都不影響等保定級工作。其次，是等保測評的評分機制，達到60分就能基本符合，并不要求信息系統所有子項目都達標，畢竟信息系統在現實應用中各種環境和需求各不相同，受各種因素干擾，避免不計成本的安全投入。再次，測評的技術標準可以根據時代發展和需求進行修改，等保2.0的測評體系在擴展要求部分增加云機關安全、移動互聯安全、物聯網安全、工業控制系統安全等新技術新應用的需求。

網絡安全等級保護制度的現實意義

網絡安全等級保護制度的實施為信息系統安全工作開辟了一條可落地可操作的道路。從國家層面看，對所有信息系統都要落實安全措施，但沒有絕對安全，不計成本的投入，追求絕對安全是錯誤的。網絡安全等級保護制度恰恰體系化的指導各信息系統根據各自責任落實相應技術措施，避免安全工作的不作為、或亂作為。從信息系統責任主體單位看，為落實信息系統安全工作提供方向和依據，一般單位的信息系統安全工作分兩步，先是落實合法合規的安全工作要求，再落實業務特殊的安全需求。網絡安全等級保護制度就是明確法律法規要求，讓安全工作有法可依。從公民個人層面來看，網絡安全等級保護制度落實是個人安居樂業的必要保障，保障那些生活深度依賴的信息系統服務不斷，保障水電交通等基礎設施平穩運行，保障個人信息、資金等安全保管。

網絡安全等級保護制度的幾個認識誤區

最后來談談對網絡安全等級保護制度的幾個認識誤區。一是信息系統物理隔離就不用落實等保工作。這是最常見的誤區，所有信息系統都要落實，即使物理隔離的信息系統也要落實等保工作。一般物理隔離的信息系統，都是因為重要才隔離，定級會比較高，反而是等保工作的重點。二是企業信息系統癱瘓只影響企業利益，等保定級可以比較低。等保定級一般分系統服務安全和業務信息安全兩個維度，企業大多數系統服務受破壞只影響企業業務，定級要求不高。但是涉及公民個人信息的企業，業務信息安全就相對較高，特別是近幾年來數據價值被越來越重視，各企業收集數據的行為越來越多，意味著企業手中數據價值越來越大，帶來的安全責任當然也是越來越大，一些企業等保定級甚至可以達到4級。三是信息系統上云就安全了。很多單位認為網站和信息系統上云后就安全了，等保不用做了。信息系統是否上云，安全責任主體都不會變。各類云平臺只提供平臺和簡單的安全措施，安全責任主體單位還是要按等保要求落實相應的安全工作，只是物理和環境安全等部分安全工作由云平臺承擔。