从1994年的保护条例中提出实行安全等级保护概念，到2017年在安全法中明确规定国家实行等级保护制度，。随着安全形势的演进和网络技术的发展，2019年发布并实施了新的等级保护要求，也标志着等级保护进入2.0时代。

　　这其中的发展集聚了很多重点的政策、规范和要求发出，也伴随着网络安全界大量的有趣的、重要的事件发生，在这里就先从等保发展相关的发文进行概括性回顾：

　　1994年，国务院147号令发布：《中华人民共和国计算机信息系统安全保护条例》，正式提出计算机信息系统实行安全等级保护概念。

　　1999年，国家发布关于计算机信息系统安全保护等级划分准则强制性标准：《计算机信息系统 安全等级保护划分准则》（GB17859）。

　　2008年，明确对各等级信息系统的安全保护基本要求：《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）。

　　2017年，《中华人民共和国网络安全法》第二十一条，明确国家实行等级保护制度，落实等级保护制度已经上升到法律层面。

　　2019年，《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护测评要求》等核心标准正式发布。

　　（以上仅仅是部分重点发文，不包含多部委、多行业对等级保护的要求和规范发文。）

　　2019年12月1日，等级保护正式进入2.0时代，已上升到法律层面，也就是说未落实好等级保护制度是违法行为。随着网络技术的发展，网络空间安全上升到国家安全的战略高度，等级保护将进入到云计算、大数据、物联网、移动互联网、工控网络、安可及信创的各个领域，在以上各个领域也逐步有不同的法律法规要求，其中对于等级保护都做了明确的说明。

　　第二十一条规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

　　第三十一条规定：对于国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

　　第六条规定：运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。

　　第二十七条规定：商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

　　第二十七条规定：开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

　　2022年9月，网信办发出关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》意见的通知，该征求意见稿中最主要的内容就是对处罚措施的修改，其中有一条由：“处五万元以上五十万元以下罚款”修改为：“处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款”。其余还涉及到多个处罚条款的修改，变得更加规范、更加严格，实现与《中华人民共和国行政处罚法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》更好的衔接。

　　近几年，网络安全领域的法律法规密集颁布实施，检查和处罚力度也更加严格，而我们能做的不仅要有法必依、守法谋“同”，更要应势而动、创新而为。小西牛合规则作为网络安全合规生态长期运营者，深耕网络安全政策法律相关解读，推出合规管理、服务、测评等相关系统为新一代网络安全合规生态提供技术解决方案。