网络安全等级保护相关依据汇编（法律政策&标准规范）

等保百科

网络安全等级保护制度是我国网络空间领域基础制度，经过多年实践和发展，等级保护不断丰富制度内涵、拓展保护范围、完善监管措施，健全网络安全等级保护制度政策、标准和支撑体系，已形成以法律为根基、政策为支撑、国标为主体、行业规范为延伸、团标为补充的依据体系，对各行业领域网络安全建设具有重要的指导作用。本期《等保百科》系列第6期，聚焦等级保护依据体系，助您厘清网络安全合规的核心脉络与关键要求。

1 .等级保护的法律政策

 01 法律

《网络安全法》（2017年6月1日施行）

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。第三十一条 关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护。

《数据安全法》（2021年9月1日施行）

第二十七条 开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

 02 法规

《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）

第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

《关键信息基础设施安全保护条例》（国务院令第745号）

第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。

《商用密码管理条例》（国务院令第760号）

第四十一条 网络运营者应当按照国家网络安全等级保护制度要求，使用商用密码保护网络安全。

《网络安全等级保护条例（征求意见稿）》

第六条 网络运营者应当依法开展网络定级备案、安全建设整改、等级测评和自查等工作，采取管理和技术措施，保障网络基础设施安全、网络运行安全、数据安全和信息安全，有效应对网络安全事件，防范网络违法犯罪活动。

《网络数据安全管理条例》（国务院令第790号）

第九条 网络数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求，在网络安全等级保护的基础上，加强网络数据安全防护。 

03 规范性政策文件

国家信息化领导小组关于加强信息安全保障工作的意见（中办发〔2003〕27号）

明确提出“实行信息安全等级保护，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号）

明确了根据信息和信息系统的安全保护等级共分五级，公安机关负责信息安全等级保护工作的监督、检查、指导，信息和信息系统的主管部门及运营、使用单位按照等级保护的管理规范和技术标准进行信息安全建设和管理。

《信息安全等级保护管理办法》（公通字〔2007〕43号）

规定了信息安全等级保护的五个动作：定级、备案、系统整改、等级测评、监督检查，明确了各部门各环节的职责义务。

《信息安全等级保护备案实施细则》（公信安〔2007〕1360号）

提出在实施信息安全等级保护的过程中，相关单位需进行备案，以确保信息系统的安全等级得到有效管理与监督。

《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号）

提出开展信息安全等级保护安全管理制度建设，提高信息系统安全管理水平。开展信息安全等级保护安全技术措施建设，提高信息系统安全保护能力。开展信息系统安全等级测评，使信息系统安全保护状况逐步达到等级保护要求。

《公安机关互联网安全监督检查规定》（公安部令第151号）

进一步明确了公安机关互联网安全监督检查的工作重点，强化了各级公安机关互联网安全监督检查的工作机制和执法规范。

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安2020〔1960〕号）

指出重点行业、部门应全面网络安全工作统筹规划，以贯彻落实等级保护制度和关基安全保护制度为基础，以保护关基、重要网络和数据安全为重点，加强网络安全防范管理、监测预警、应急处置、侦查打击、情报信息等，及时监测、处置网络安全风险、威胁和安全突发事件，切实提高网络安全保护能力。

《关于落实网络安全保护重点措施 深入实施网络安全等级保护制度的指导意见》（公网安〔2022〕1058号）

提出了落实网络安全保护的总体要求、工作目标和34项重点措施，指导各单位各部门深入实施网络安全等级保护制度。

《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)

明确网络安全等级保护工作新要求，强调深入开展系统备案更新、数据资源摸底、风险隐患排查以及问题隐患整改等工作，全力夯实网络安全等级保护制度基础，坚决维护国家网络和数据安全。

《关于对网络安全等级保护有关工作事项进一步说明的函》(公网安〔2025〕1846号)

网安〔2025〕1846号关于对网络安全等级保护有关工作事项和问题释疑

对公网安〔2025〕1001号文部署的网络安全等级保护工作进一步说明，要求各级单位深化系统备案更新、数据资源摸底及风险整改，并对部分关键问题进行了指导说明。

《网络安全等级保护测评高风险判定实施指引(试行)》（公网安〔2025〕2391号）2025网络安全等级保护测评高风险判定实施指引(试行)发布《指引》列明了5大板块共81项高风险判例，规范和统一了全国网络安全等级测评活动中关于网络安全高风险问题的判定准则，同时支撑各地公安机关开展日常网络安全重大风险隐患督办整改等工作。

2 .等级保护国家标准

网络安全等级保护国家标准体系以防护能力分级为核心，构建了覆盖“基础框架—安全要求—设计实施—测评验证—运维管理”全生命周期的技术标准规范集合。等级保护国家标准体系不仅明确了定级、备案、建设整改、等级测评和监督检查五大关键环节的要求，更通过划分信息系统保护等级、厘清覆盖环节、规范标准类型三个维度，形成了支撑等保制度落地的三维立体标准矩阵，为各类信息系统的安全防护提供科学、统一、可操作的标准化指引。

《计算机信息系统 安全等级保护划分准则》GB 17859-1999

《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019

《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020

《信息安全技术 网络安全等级保护实施指南》GB/T 25058-2019

《信息安全技术 网络安全等级保护安全设计技术要求》GB/T 25070-2019

《信息安全技术 网络安全等级保护测评要求》GB/T 28448-2019

《信息安全技术 网络安全等级保护测评过程指南》GB/T 28449-2018

《信息安全技术 网络安全等级保护测试评估技术指南》GB/T 36627-2018

《信息安全技术 网络安全等级保护安全管理中心技术要求》GB/T 36958-2018

《信息安全技术 信息安全风险评估方法》GB/T 20984-2022

《信息安全技术 信息安全事件管理指南》GB/T 20985-2017

《信息安全技术 网络安全事件分类分级指南》GB/T 20986-2023

《信息安全技术 信息安全应急响应计划规范》GB/T 24363-2009

《信息安全技术 信息安全漏洞管理规范》GB/T 30276-2013

《信息技术 安全技术 信息技术安全性评估准则》GB/T 18336-2015

《信息安全技术 信息安全风险处理实施指南》GB/T 33132-2016

《信息安全技术 网络安全漏洞分类分级指南》GB/T 30279-2020

《信息安全技术 关键信息基础设施安全保护要求》GB/T 39204-2022

3 .等级保护行业标准

网络安全等级保护制度已形成覆盖多行业的细分标准体系，各行业在遵循国家标准的基础上，结合自身特点制定了行业专属规范，构建了“通用要求+扩展要求+行业细则”的立体框架。

 01  金融行业

《金融行业信息安全等级保护测评服务安全指引》JR/T 0073-2012

《金融行业网络安全等级保护测评指南》JR/T 0072-2020

《金融行业网络安全等级保护实施指引》JR/T 0071-2020

 02  电力行业

《电力信息系统安全等级保护实施指南》GB/T 37138-2018

《电力行业网络安全等级保护基本要求》DL/T 2614-2023

《电力行业网络安全等级保护测评指南》DL/T 2613-2023

 03  交通运输行业

《交通运输行业网络安全等级保护基本要求》JT/T 1417-2022

《交通运输行业网络安全等级保护定级指南》JT/T 904-2023

 04  通信行业

《电信网和互联网管理安全等级保护检测要求》YD/T 1757-2008

《电信网和互联网物理环境安全等级保护要求》YD/T 1754-2008

《电信网和互联网管理安全等级保护要求》YD/T 1756-2008

《电信网和互联网物理环境安全等级保护检测要求》YD/T 1755-2008

《电信网和互联网安全等级保护实施指南》YD/T 1729-2024

 05  广播电视

《广播电视网络安全等级保护定级指南》GY/T 337-2020

《广播电视网络安全等级保护基本要求》GY/T 352-2021

 06  民用航空

《民用航空信息系统安全等级保护实施指南》MH/T 0051-2015

《民用航空网络安全等级保护定级指南》MH/T 0069-2018

《民用航空网络安全等级保护基本要求》MH/T 0076-2020

 07  邮政

《邮政业信息系统安全等级保护定级指南》YZ/T 0142-2015

《邮政业信息系统安全等级保护基本要求》YZ/T 0152-2016

《邮政业信息系统安全等级保护实施指南》YZ/T 0163-2018

 08  烟草

《烟草行业信息系统安全等级保护实施规范》YC/T 495-2014

4 .等级保护团体标准

网络安全等级保护团体标准作为国家标准的动态延伸，在严格遵循国标的基础上，聚焦新技术场景与协同实践，形成“基础框架+领域细则+服务规程”的敏捷实施体系。

《信息安全技术 网络安全等级保护大数据基本要求》T/ISEAA 002-2021

《信息安全技术 网络安全等级保护区块链安全扩展要求》T/ISEAA 003-2023

《网络安全等级保护容器安全要求》T/ISEAA 004-2023

《大模型系统安全保护要求》T/ISEAA 005-2024

《大模型系统安全测评要求》T/ISEAA 006-2024

《信息安全技术 网络安全等级保护大数据安全测评扩展要求》T/ISEAA 007-2024

《信息安全技术 网络安全等级保护应用软件开发安全管理规范》T/ISEAA 008-2024