2018年6月27日，公安部正式發布《網絡安全等級保護條例（征求意見稿）》（以下稱“《等保條例》”），標志著《網絡安全法》（以下稱“《網安法》”）第二十一條所確立的網絡安全等級保護制度有了具體的實施依據與有力抓手。《等保條例》共八章七十三條，包括總則、支持與保障、網絡的安全保護、涉密網絡的安全保護、密碼管理、監督管理、法律責任和附則。相較于2007年實施的《信息安全等級保護管理辦法》（以下稱“《管理辦法》”）所確立的等級保護1.0體系，《等保條例》在國家支持、定級備案、密碼管理等多個方面進行了更新與完善，適應了現階段網絡安全的新形勢、新變化以及新技術、新應用發展的要求，標志著等級保護正式邁入2.0時代。

《等保條例》的具體規定

《管理辦法》由公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室共同發布，作為等保1.0體系的核心規定，其法律效力為部門規范性文件。另根據《管理辦法》第一條規定，其制定依據為國務院行政法規《計算機信息系統安全保護條例》。

《等保條例》雖尚在征求意見稿階段，根據《行政法規制定程序條例》第五條，行政法規的名稱一般稱“條例”，國務院各部門和地方人民政府制定的規章不得稱“條例”，因此，《等保條例》應當屬于行政法規范疇。此外，《等保條例》第一條規定了其制定依據為《網安法》與《保守國家秘密法》。

綜上可知，《管理辦法》為依據行政法規制定的部門規范性文件，而《等保條例》則屬于依據國家法律制定的行政法規，顯然，無論是自身法律效力亦或法律依據的效力位階，等保2.0均優于等保1.0。

等級保護的適用范圍

對于適用范圍，《等保條例》概括性地規定為適用于網絡運營者在我國境內建設、運營、維護、使用網絡，開展網絡安全等級保護以及監督管理工作，而個人及家庭自建自用的網絡除外，站群服務器，內容較為簡略。2018年1月19日，全國信息安全標準化技術委員會發布了《信息安全技術網絡安全等級保護定級指南2.0（征求意見稿）》（以下稱“《定級指南2.0》”），為等保的具體適用提供了指引。 

等保1.0體系中，《管理辦法》在第十條明確提到信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》（以下稱“《定級指南1.0》”）確定信息系統的安全保護等級。因此，《定級指南2.0》的出臺很大程度上得益于《定級指南1.0》的已有規定。

相比《定級指南1.0》將等級保護的對象籠統地定義為信息安全等級保護工作直接作用的具體的信息和信息系統，《定級指南2.0》細化了網絡安全等級保護制度定級對象的具體范圍，主要包括基礎信息網絡、工業控制系統、云計算平臺、物聯網、使用移動互聯技術的網絡、其他網絡以及大數據等多個系統平臺。另外，作為定級對象的網絡還應當滿足三個基本特征：第一，具有確定的主要安全責任主體；第二，承載相對獨立的業務應用；第三，包含相互關聯的多個資源

根據《定級指南2.0》，定級對象在滿足上述基本特征后仍需遵循相關要求。對于電信網、廣播電視傳輸網、互聯網等基礎信息網絡，應分別依據服務類型、服務地域和安全責任主體等因素將其劃分為不同的定級對象，而跨省業務專網既可以作為一個整體定級，也可根據區域劃分為若干對象定級。對于工業控制系統，應將現場采集/執行、現場控制和過程控制等要素應作為一個整體對象定級，而生產管理要素可以單獨定級。對于云計算平臺，則應區分為服務提供方與租戶方，各自分別作為定級對象。對于物聯網，雖然其包括感知、網絡傳輸和處理應用等多種特征因素，但仍應將以上要素作為一個整體的定級對象，各要素并不單獨定級。采用移動互聯技術的網絡與物聯網類似，應將移動終端、移動應用、無線網絡等要素與相關有線網絡業務系統作為整體對象定級。對于大數據，除安全責任主體相同的平臺和應用可以整體定級外，應單獨定級。

網絡等級

《等保條例》繼受了《管理辦法》所確立的五級安全保護等級體系，但進一步強化了對公民、法人和其他組織合法權益的保護。《管理辦法》并未在主文中規定當遭受破壞后會對公民、法人和其他組織合法權益產生特別嚴重損害的信息系統應當如何定級，《定級指南1.0》僅在之后定級要素與安保等級關系的表格中顯示上述信息系統應列為第二級，而《等保條例》則進行了相應修改，當等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產生特別嚴重損害時，相應系統應當定為第三級保護對象。具體等級劃分請參照以下表格：

網絡安全保護義務