1994年2月18日，国务院发布的《中华人民共和国计算机信息系统安全保护条例》（李鹏总理签署的国务院第147号令）是我国信息安全方面的第一部法规。法规第一条就表明制定的目的是保护计算机信息系统安全，促进计算机的应用和发展，保障社会主义现代化建设的顺利进行。1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

1999年，中华人民共和国国家标准《计算机信息系统安全保护等级划分准则》（GB17859-1999）（简称划分准则）颁布，GB17859-1999提出从整体上、根本上解决等级保护问题，将计算机信息系统安全保护能力划分为5个等级，随着等级的升高安全保护能力逐步提升。

2003年9月17日，中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

2004年9月15日，公安部联合国家保密局、国家密码管理局、国家保密委员会和国务院信息化工作办公室发布《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），对信息安全等级保护的基本制度框架进行了规划。

2005年，公安部和国务院信息化工作办公室联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》（公信安[2005]1431号）。

2006年6月，公安部联合国家保密局、国家密码管理局和国务院信息化工作办公室发布《关于开展信息安全等级保护试点工作的通知》（公信安[2006]573号），在13个省区市和3个部委联合开展信息安全等级保护试点工作。

2007年6月22日，公安部发布《信息安全等级保护管理办法》（公通字[2007]43号），标志着等级保护制度的全面建立和信息安全管理的基本制度初步建立，中国信息安全等级保护建设进入一个新阶段。

2007年7月16日，《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[200]861号）

2008年，《信息安全技术 信息系统安全等级保护基本要求》（GB/T22239-2008)发布，为信息安全等级测评提供了具体的等级测试标尺。

2017年6月1日，《网络安全法》正式实施，其中第21条明确规定了网络安全等级保护制度。把网络安全等级保护制度从原来的行政法规上升到法律层面。其主要内容分为：技术类安全要求和管理类安全要求。对此，网络运营者们在工作中，不仅应落实好网络安全技术保护措施，还应落实好网络安全保护管理制度，两架马车，缺一不可。

二、信息安全等级保护制度的原则

　　信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。信息安全等级保护制度遵循以下基本原则：

　　（一）明确责任，共同保护。通过等级保护，组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作；各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。

　　（二）依照标准，自行保护。国家运用强制性的规范及标准，要求信息和信息系统按照相应的建设和管理要求，自行定级、自行保护。

　　（三）同步建设，动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。

　　（四）指导监督，重点保护。国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式，对重要信息和信息系统的信息安全保护工作进行指导监督。国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统，主要包括：国家事务处理信息系统（党政机关办公系统）；财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统；教育、国家科研等单位的信息系统；公用通信、广播电视传输等基础信息网络中的信息系统；网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。

    国家对信息安全产品的使用实行分等级管理。

　　信息安全事件实行分等级响应、处置的制度。依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围，确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案，确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后，分等级按照预案响应和处置。

公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

2017年开始实施的《中华人民共和国网络安全法》将信息安全等级保护制度修改为网络安全等级保护制度，进一步从法律层面确立了它的地位。

近年来网络安全形势越来越严峻，网络安全事件（案件）频发，面临境内外的网络攻击威胁也越来越大。从公安机关开展网络安全事件处置，以及打击黑客攻击类网络违法犯罪案件的情况看，有超过80%的网络安全事件（案件）都是因为网络运营者自身安全保护重视不够，基本安全保护措施不落实等原因造成。

国家实行网络安全等级保护制度，对网络实施分等级保护、分等级监管，

《网络安全等级保护条例》第三章中规定了网络安全等级保护制度体系的基本框架、具体内容、要求和相关主体的责任义务。

一是明确了网络运营者依法落实网络安全等级保护制度。按照《条例》规定开展网络定级、备案、测评、整改、自查工作，公安机关对网络分级监督管理的职责及其在备案审核、服务机构管理、事件调查、执法检查中的职责。《条例》中的内容与《关键信息基础设施保护条例（征求意见稿）》有关内容进行了协调衔接。

二是规定了网络的定级和备案要求。根据网络在国家安全、经济建设、社会生活中的重要程度，以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素，网络分为五个安全保护等级（如表）。

网络运营者或主管部门应参考GA/T 1389-2017《信息安全技术 网络安全等级保护定级指南》的要求，梳理出定级对象并合理确定其所属网络的安全保护等级、确定其安全责任单位和具体责任人。定级时应当注意以下几个方面：一是网络运营者应当在规划设计阶段确定网络的安全保护等级；当网络功能、服务范围、服务对象和处理的数据等发生重大变化时，网络运营者应当依法变更网络的安全保护等级；网络定级应按照网络运营者拟定网络等级、专家评审、主管部门核准、公安机关审核的流程进行。对于基础网络、云计算平台和大数据平台等起支撑作用的网络系统，应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级，原则上应不低于其承载的等级保护对象的安全保护等级。原则上大数据的安全等级不低于第三级。

《网络安全法》第21条明确规定了网络安全等级保护制度。主要内容分为：技术类安全要求和管理类安全要求。对此，网络运营者们在工作中，不仅应落实好网络安全技术保护措施，还应落实好网络安全保护管理制度，两架马车，缺一不可。

2019年10月26日，《中华人民共和国密码法》发布，并于2020年1月1日开始实施。2023年4月27日，新《商用密码管理条例》（行政法规）发布，并于2023年7月1日开始施行。

2023年11月1日起，《商用密码应用安全性评估管理办法》（国家密码管理局令第 3 号）（以下简称《办法》）正式施行，旨在规范商用密码应用安全性评估（简称密评）工作，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。

第一阶段（1994-2007 网络安全等级保护起步与探索）：

1994年2月18日《中华人民共和国计算机信息系统安全保护条例》 （国务院第147号令）

2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）

2004年9月15日《关于信息安全等级保护工作的实施意见》

2007年6月22日《信息安全等级保护管理办法》（公通字［2007］43 号）

2007年7月16日《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）

第二阶段（2007-2016 网络安全等级保护标准化与发展）

GB/T 22239—2008 基本要求；22240、25070、28448、28449等保国标系列标准。

第三阶段（2016-2019 网络安全等级保护行业深耕落地）

2017年6月1日《中华人民共和国网络安全法》

2018年6月27日《网络安全等级保护管理条例（征求意见稿）》

第四阶段（2019——进入网络安全等级保护2.0时代）

2019年5月13日《信息安全技术网络安全等级保护基本要求》

2020年7月22日《贯彻落实网络安全等保制度和关保制度的指导意见》（公安部1960号）

2020年11月1日《信息安全技术 网络安全等级保护定级指南 GB/T22240-2020》正式实施