信息安全技术网络安全等级保护

* 根据等级保护对象在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五个安全保护等级。 
  * 五个级别 
* 第一级：自主保护级

* 第二级：系统审计保护

* 第三级：安全标记保护级

* 第四级：结构化保护级

* 第五级：访问验证保护级

  * 涉密等级 
* 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

* 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

* 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

* 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

* 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

  * 保护等级 
* 一级：企业自我保护

* 二级：国家政策指导保护

* 三级：国家监督保护，定期监督检查

* 四级：国家强制保护，专人监督

* 五级：国家专控保护，直接管理

* 信息系统定级

* 备案

* 安全建设整改

* 等级测评

* 监督检查

* 高危风险在等保测评中拥有一票否决权，一旦出现高危风险，则测评结果直接从不符合（差）开始。 

* 依据——《网络安全等级保护测评高风险判定指引》

* 技术要求 
  * 安全物理环境

  * 安全通信网络

  * 安全区域边界

  * 安全计算环境

  * 安全管理中心

* 管理要求 
  * 安全管理制度

  * 安全管理机构

  * 安全管理人员

  * 安全建设管理

  * 安全运维管理

* 名称的变化：信息安全技术信息系统安全等级保护——信息安全技术网络安全等级保护

* 定级的变化： 
  * 定级对象：信息系统——基础信息网络、移动互联网技术平台、云计算、物联网、工业控制、大数据应用等

  * 等级： 

* 安全体系的变化：防御体系发生了变化，变被动防护为主动防护，变静态防护为动态防护，变单点防护为整体防控，变粗放防护为精准防护，强调事前预防、事中响应、事后审计。

* 标准要求的变化：首次加入可信计算，并且分级逐级提出可采用可信验证的要求。新增个人信息保护。

* 测评的变化： 
  * 测评周期：三级系统每年一次，四级系统每半年一次——三级以上系统每年一次

  * 测评结果：60分以上基本符合——70分以上基本符合