等保测评(网络安全等级保护测评)的法律法规体系是一个多层次、多维度的框架，涵盖法律、行政法规、国家标准、部门规章及规范性文件等。以下是其核心法律法规体系的梳理：

一、法律层

《中华人民共和国网络安全法》(2017年6月1日生效)

核心内容：明确国家实行网络安全等级保护制度，要求网络运营者按照等级保护制度履行安全保护义务(第21条、第31条)。

作用：为等保制度的法律基础，赋予等级保护强制实施的法律效力。

《中华人民共和国数据安全法》(2021年9月1日生效)

关联性：要求数据处理活动履行安全义务，与等保制度结合保障数据安全。

《中华人民共和国个人信息保护法》(2021年11月1日生效)

关联性：在个人信息处理场景中，通过等保测评确保个人信息处理活动的安全性。

二、行政法规层

《关键信息基础设施安全保护条例》(2021年9月1日生效)

关联性：将关键信息基础设施(CII)纳入等保三级及以上要求，强化定期测评和监管。

三、国家标准层(GB/T系列)

定级标准

指导如何科学确定信息系统的安全保护等级(一至五级)。

《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》

基本要求

规定各等级系统的安全技术要求和安全管理要求(等保2.0核心标准)。

《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》

测评要求

提供测评方法、流程和判定标准，指导测评机构开展测评工作。

《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》

扩展标准

补充技术设计、测评实施等细节。

《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》

《GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》

四、部门规章与规范性文件

《网络安全等级保护测评机构管理办法》

规范测评机构的资质认定、业务范围及监督管理。

《关于开展网络安全等级保护定级工作的通知》(公通字〔2021〕12号)

明确定级备案的具体流程和职责分工。

公安部发布的《网络安全等级保护测评要求》实施指引

提供测评工作的操作细则和常见问题解答。

五、行业标准与地方性规范

行业标准

《金融行业网络安全等级保护实施指引》

《电力行业信息系统安全等级保护基本要求》。

各行业(如金融、电力、医疗等)结合国家标准制定行业实施细则，例如：

地方性规范

部分省市根据本地实际制定配套文件，如《北京市网络安全等级保护管理办法》。

六、体系特点

层级分明：从法律到标准，形成“法律→行政法规→国家标准→行业规范”的金字塔结构。

覆盖全面：涵盖定级、建设、测评、整改、监督全生命周期。

动态更新：随着技术发展(如云计算、物联网、工业互联网)不断补充扩展标准(如等保2.0新增“安全扩展要求”)。

总结

等保测评的法律法规体系以《网络安全法》为顶层依据，以《网络安全等级保护条例》及国家标准(GB/T 22239、GB/T 28448等)为核心操作框架，结合行业和地方规范，构建了覆盖全领域、全流程的网络安全合规体系。实际执行中需根据系统定级结果，选择对应标准开展测评与整改。