和Deepseek一起共同探讨《关于信息安全等级保护工作的实施意见》

周末，再次让Deepseek和我一起分析了等级保护重要文件《关于信息安全等级保护工作的实施意见》（公通字【2004】66号），以前在对外培训时，我常常说这个文件是一个里程碑的文件，这个观点与Deepseek是一致的，Deepseek就该文件是我国网络安全领域具有里程碑意义的政策文件，做了几点分析，黑色部分是Deepseek给出的文字，蓝色部分是我个人的一点点理解与漫谈：

一、承上启下的关键作用

继承前期法规基础：
文件以1994年《计算机信息系统安全保护条例》和2003年《国家信息化领导小组关于加强信息安全保障工作的意见》为基础，首次系统提出“信息安全等级保护制度”，将此前分散的安全要求整合为标准化、分级的保护框架，填补了制度空白。
其实，Deepseek作为人工智能，能够总结到首次系统提出“信息安全等级保护制度”确实很厉害，很多人做了好多年等级保护工作，其实并不真正知道等级保护的概念性定义，来自这个文件。而等级保护的概念，从信息系统、安全产品、安全事件三个维度，将相关方纳入了等级保护制度之下，由此概念不断完善形成较完备的等级保护制度体系。
奠定后续法律框架：
文件提出的“分等级保护、责任明确、动态调整、重点监管”等原则，为2017年《网络安全法》的等级保护制度（等保2.0）提供了直接依据，形成了“等保1.0→等保2.0”的演进脉络，推动了我国网络安全法律体系的完善。
该文件是对147号令与27号文的呼应，147号令作为行政法规有其局限性。随着我国法律法规的健全完善，从业者都比较清楚从2017年《网络安全法》正式施行，从法理上形成等保1.0和等保2.0的分界线；而等保制度演进过程，下位文件要遵循上位文件的原则下，等级保护2.0标准体系化相对滞后两年左右，到2019年底等级保护有关标准，由GA行业标准上升为国家标准，伴随着《网络安全等级保护基本要求》等网络安全等级保护基础性国家标准相继出台，等级保护迈入等级保护2.0时代。所以，66号文是我国网络安全工作一以贯之方针下的一个重要组成不分，也为2006年的7号文及2007年的43号文的出台奠定了坚实的基础。
衔接技术与实践：
文件明确了信息安全等级划分标准（五级保护）、职责分工（公安、保密、密码管理部门协同）和实施路径（三年三阶段），为后续技术标准（如《信息安全技术网络安全等级保护基本要求》等）的制定和落地提供了政策支撑。
前面说，66号文为43号文奠定了几次。在66号文的规划中，我们再看43号出台时间以及等级保护试点工作的开展以及定级备案要求相继提出后，各项工作时间点也就正好卡在了三年三阶段这个规划之下。当然，当年有很多单位是跟不上政策节奏的，就是发展到今天很多单位也是存在很大的滞后。但是，国家的发展不会受这些思想掉队、行动迟缓的单位影响，各项工作有条不紊的推进中，政策超前拉着整个社会前进。

二、对今日网络安全的影响

体系化安全建设的开端：
文件首次将“分级保护”理念制度化，要求根据系统重要性实施差异化防护，这一思想至今仍是网络安全防护的核心逻辑。例如，关键信息基础设施（CII）保护制度即脱胎于此。
66号文作为网络安全建设体系化的开端，已经存在20多年了。但是很多单位在实际网络安全建设过程中并没有能够开展体系化建设，依然存在大量的“重建设，轻安全”“先信息化，后安全”的问题，对“三同步”的理解仅仅出现在汇报工作的文件中，或者攒方案的凑字中。习总书记强调说“网络安全和信息化是一体之两翼驱动之双轮”，所以一只鸟如果只有一只翅膀，或者先长好一只翅膀，再长另一只翅膀，那么这种鸟大概率会灭绝。
推动行业标准化：
文件要求制定管理规范和技术标准，直接催生了等级保护测评、备案、整改等标准化流程，促使各行业建立统一的安全基线，提升了整体防护水平。
网络安全工作在后面的43号文中，明确了定级、备案、建设整改、等级测评以及监督检查五个规定动作，伴随着等级保护作为我国网络安全领域基础性的政策，提供了基础性的安全防护。好多人说等级保护是网络安全领域的九年义务教育，做好九年义务教育是高等教育的前置条件。同样，可以将等级保护视作战场上的工事，有工事不能代表安全或者能够战胜敌人，但是没有工事我们就暴露在敌人的攻击之下。
强化主体责任与协同治理：
文件提出“谁主管谁负责、谁运营谁负责”的原则，明确了政府、企业和个人的安全责任，为当前“多方共治”的网络安全治理模式奠定了基础。
“谁主管谁负责，谁运营谁负责”这个原则下，奠定了我们现在的责任制。很多单位会引用这个原则，但是在66号文的意思，是针对责任单位来探讨的。比如行业主管部门，在落实网络安全工作中有主管责任，那么作为上级主管部门有主管整个行业则责任，一旦出现行业或大面积网络安全事件，作为上级主管部门需要负一定责任；谁运营谁负责，是作为责任单位履职尽责，依法依规建设运维，比如落实依据标准“三同步”等，发生网络安全事件开展应急，采购产品依法依规满足要求等等。
动态适应安全挑战：
文件强调“同步建设、动态调整”，要求安全措施与信息化发展同步迭代。这一理念在应对云计算、物联网等新技术带来的安全风险时仍具指导意义。
在网络安全建设过程中强调“同步建设、动态调整”，所以建设者以及为责任单位提供建设的第三方，需要熟练掌握等级保护政策和知识，信息化建设的同时，随时对标对应级别安全要求，发现不达标的地方，及时调整技术方案直至满足对应等级保护级别的安全要求。网络安全等级保护是需要全生命周期考虑安全的，不应该寄希望一次测评，而是在建设运维每个节点都需要满足要求。作为测评是对信息化过程中落实等级保护工作的一个核验，是对过去一年的总结。

三、历史与现实意义

该文件是我国首个系统性部署网络安全等级保护的纲领性文件，标志着我国从被动应对安全事件转向主动构建制度化的防护体系。其核心思想——“分级保护、重点防护、责任落实”——至今仍是网络安全政策的基石。通过等级保护制度的持续推进，我国逐步形成了覆盖法律、标准、技术、管理的立体化防护体系，为数字化转型中的国家安全、社会稳定和经济发展提供了重要保障。

在等级保护1.0时代，我们的重点是“重要信息系统”，2.0时代的出现了重中之重“关键信息基础设施”，等级保护制度在《网络安全法》进一步明确，是国家实行网络安全等级保护制度，所以在以公安机关作为工作主导，各行各业作为主管的大形势下，应当清晰认知。而等级保护制度之下又分为三个大方向的工作，结合《保守国家秘密法》《密码法》我们会发现，其表述并没有“分级保护制度”只有“实行分级保护”。

—