一、等保背景

2019年5月13日，国家市场监督管理总局召开新闻发布会，正式发布《信息安全技术网络安全等级保护基本要求》2.0版本，等保2.0在2019年12月1日正式实施。（后台回复“等保2.0”获取标准报批稿）。

什么是等保？

等保，即网络安全等级保护标准。2007年我国信息安全等级保护制度正式实施，通过十余年的时间的发展与实践，成为了我国非涉密信息系统网络安全建设的重要标准。

等保标准具有很强的实用性：它是监管部门合规执法检查的依据，是我国诸多网络信息安全标准制度的重要参考体系架构，是行业主管部门对于下级部门网络安全建设的指引标准的重要依据和参考体系，由此标准衍生了诸多行业标准：例如人社行业等保标准、金融行业等保标准、能源行业（电力）等保标准、教育行业等保标准等行业标准。总的来说，等保制度是网络安全从业者开展网络安全工作的重要指导体系和制度。

什么是等保1.0？

2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这部法规被称为等保1.0。经过10余年的实践，等保1.0为保障我国信息安全打下了坚实的基础。

什么是等保2.0？

等保2.0相关国家标准于2019年5月10日正式发布。2019年12月1日开始实施。这是我国实行网络安全等级保护制度过程中的一件大事，具有里程碑意义。

二、为什么要颁布实施等保2.0？

因为“等保1.0”不仅缺乏对一些新技术和新应用的等级保护规范，比如云计算、大数据和物联网等，而且风险评估、安全监测和通报预警等工作以及政策、标准、测评、技术和服务等体系不完善。

为适应新技术的发展，解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要，由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作，等级保护正式进入2.0时代。

等保2.0的发布，是对除传统信息系统之外的新型网络系统安全防护能力提升的有效补充，是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的基础。

等保2.0的实施对企业有哪些影响？

根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则，网络运营者成为等级保护的责任主体，如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。

等保2.0有5个运行步骤：定级、备案、建设和整改、等级测评、检查。同时，也分5个等级，即信息系统按重要程度由低到高分为5个等级，并分别实施不同的保护策略。

三、等保2.0相比等保1.0有哪些不变？

1.五个级别不变

从第一级到第五级依次是：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。

2.规定动作不变

规定动作分别为：定级、备案、建设整改、等级测评、监督检查。

3.主体职责不变

等级保护的主体职责为：网安对定级对象的备案受理及监督检查职责、第三方测评机构对定级对象的安全评估职责、上级主管单位对所属单位的安全管理职责、运营使用单位对定级对象的等级保护职责。

四、等保2.0相比等保1.0有哪些区别？

等保1.0主要强调物理主机、应用、数据、传输，而2.0版本增加了对云计算、移动互联、物联网、工业控制和大数据等新技术新应用的全覆盖。相较于等保1.0，等保2.0发生了以下主要变化：

第一，名称变化。等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，与《网络安全法》保持一致。

第二，定级对象变化。等保1.0的定级对象是信息系统，现在2.0更为广泛，包含：信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。

第三，安全要求变化。基本要求的内容，由安全要求变革为安全通用要求与安全扩展要求(含云计算、移动互联、物联网、工业控制)。

针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新的网络安全等级保护基本要求标准。调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

第四，控制措施分类结构变化。等保2.0依旧保留技术和管理两个维度。等保2.0由旧标准的10个分类调整为8个分类，分别为：技术部分：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全；管理部分：安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。在技术上，由物理安全、网络安全、主机安全、应用安全、数据安全，变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心；在管理上，结构上没有太大的变化，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理，调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

第五，标准控制点和要求项的变化。等保2.0在控制点要求上并没有明显增加，通过合并整合后相对旧标准略有缩减。


第五，内容变化。从等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作，变更为五个规定动作+新的安全要求(风险评估、安全监测、通报预警、态势感知等)。

等保2.0将进一步提升关键信息基础设施安全。根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则，网络运营者成为等级保护的责任主体，如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。

等保2.0的发布，是对除传统信息系统之外的新型网络系统安全防护能力提升的有效补充，是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的基础。未来，效率源将进一步贯彻网络安全等级保护工作精神，加强大数据、人工智能、物联网设备等方向的取证技术、产品、解决方案合规化研发，以先进的电子数据取证技术为手段，更高效、更合理地协助行业用户的等级保护建设工作，从点到面，为我国网络安全建设工作贡献力量。

五、网络安全等级保护2.0的要求及所需设备的清单

等级保护2.0的工作流程包括定级、备案、建设整改、等级测评，核心思想在于建立“可信、可控、可管”的安全防护体系，使得系统能够按照预期运行，免受信息安全攻击和破坏。

5.1 等级保护工作的主要内容和流程

测评准备活动

测评准备活动的主要任务包括：项目启动、信息收集和分析、工具和表单准备。这三项任务之间存在工作的先后次序，项目启动任务完成之后才能开始信息收集和分析任务。可采用如图所示的工作流程：

方案编制活动

方案编制活动的主要任务包括：测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制。其中，测评对象确定与测评指标确定两项任务可以并行实施，其他四项任务之间存在工作的先后次序，测评内容确定任务完成之后才能开始后续任务。这六项任务可采用如图所示的工作流程：

现场测评活动

现场测评活动的主要任务包括：现场测评准备、现场测评和结果记录、结果确认和资料归还。这三项任务之间存在工作的先后次序，现场测评准备任务完成之后才能开始后续任务。可采用如图所示的工作流程：

等级保护的工作流程包括定级、备案、建设整改、等级测评，核心思想在于建立“可信、可控、可管”的安全防护体系，使得系统能够按照预期运行，免受信息安全攻击和破坏。那么，等级保护需要哪些设备呢？本文整理了以下信息，以供参考。（部分）

5.2 等保2.0要求及所需设备

参考：
[网络安全等级保护2.0的要求及所需设备的清单(http://www.bj3gweb.com/anbao2.html)‘
等级保护2.0标准最全解读，三分钟读懂！