verified_user
Standardful
首页chevron_right标准chevron_right网络安全等级保护2.0
有效国际标准update 标准更新:2019年12月fact_check 事实核查:2026年6月28日

网络安全等级保护2.0

网络安全等级保护制度 — GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求

apartment发布组织:中华人民共和国公安部

标准简介

网络安全等级保护2.0 是由 中华人民共和国公安部 发布的有效标准,常用于科技、金融银行、电信通讯、政府、医疗健康、能源等行业,并适用于中国等市场。

本页汇总了 网络安全等级保护2.0 的官方文档、当前状态以及常见相关认证或评估机构,便于快速理解要求与落地路径。

实施路线图

1
阶段 1schedule 预计周期: 3-6 周

定义中国网络安全等级保护范围

识别 MLPS 2.0 覆盖的产品、服务、系统、实体、司法辖区、团队、供应商、数据流和相关方。确认责任人、边界、适用义务、文件和证据期望,范围包括系统定级、等级确定、公安备案、基线控制、云、移动、物联网、工业控制、大数据扩展、组织控制、技术控制、测评、整改和持续监督。

2
阶段 2schedule 预计周期: 4-10 周

评估义务和差距

将当前实践与预期的中国网络安全等级保护方法进行比较。审查资产和系统清单、等级确定、备案流程、安全区域划分、身份和访问控制、审计日志、边界防护、入侵防范、数据保护、备份、事件响应、供应商控制、测评和整改,并按法律暴露、安全或安保影响、客户承诺、运营依赖、报告期限和保证准备度排列差距优先级。

3
阶段 3schedule 预计周期: 8-24 周

实施控制和证据

部署所需程序、技术控制、评审关口、培训、供应商流程、报告路径和运行记录。维护定级记录、备案材料、系统图、资产清单、访问记录、审计日志、测试结果、测评报告、整改计划、培训记录、事件日志、供应商文件和监管沟通作为可追溯证据。

4
阶段 4schedule 预计周期: 持续进行

评审、报告并改进

开展管理评审、内部检查、适用情况下的测试或独立评估、纠正措施和变更评审。当产品、供应商、法律、事件、报告周期或相关方期望变化时刷新项目。

合规检查清单

0 / 12

checklist 范围与问责

checklist 控制与记录

checklist 监控与保证

常见问题解答

谁需要 MLPS 2.0?

expand_more

MLPS 2.0 最适用于在中国运营信息系统的网络运营者、关键信息基础设施运营者、云平台、工业系统和组织。具体范围取决于产品、服务、司法辖区、报告义务、客户承诺、技术要求,以及组织在相关生态中的角色。

MLPS 2.0 是否可认证?

expand_more

MLPS 2.0 是中国网络安全等级保护制度,不是自愿认证。系统必须按等级进行定级、备案、保护、测评和整改。

实施时应先关注什么?

expand_more

先定义范围、义务、责任人,以及监管机构、客户、审计师、保证提供方、认证机构或治理机构期望的证据。然后对照当前控制开展差距评估,并按风险和期限确定整改优先级。

MLPS 2.0 需要哪些证据?

expand_more

有用证据包括定级记录、备案材料、系统图、资产清单、访问记录、审计日志、测试结果、测评报告、整改计划、培训记录、事件日志、供应商文件和监管沟通。证据应进行版本控制,能够追溯到责任人,关联义务和控制,并按所需评审或审核期间保留。

项目应多久评审一次?

expand_more

应按计划周期评审,并在法律、标准、产品、供应商、事件、报告周期、客户承诺、技术要求或保证期望变化时评审。

官方文档

查看全部

相关分类