等級保護2.0時代正式到來！！

網(wǎng)絡(luò)安全等級保護2.0時代，將于2019年12月1日正式開始。

網(wǎng)絡(luò)安全等級保護制度是我國網(wǎng)絡(luò)安全領(lǐng)域的基本國策、基本制度，等級保護標(biāo)準(zhǔn)在1.0時代標(biāo)準(zhǔn)的基礎(chǔ)上，注重主動防御，從被動防御到事前、事中、事后全流程的安全可信、動態(tài)感知和全面審計，實現(xiàn)了對傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)和工業(yè)控制信息系統(tǒng)等級保護對象的全覆蓋。

等保1.0和2.0標(biāo)準(zhǔn)的共同點

等級保護的概念自1994年提出后，經(jīng)過20多年的發(fā)展和演進，已取得較大成功，網(wǎng)絡(luò)安全法未發(fā)布之前可稱為等保1.0，網(wǎng)絡(luò)安全法發(fā)布之后成為等保2.0，在2.0時代發(fā)生了較大變化。但萬變不離其宗，等保五個等級不變、五項工作不變、主體責(zé)任不變。

? 等級保護“五個級別”不變；

? 等級保護“規(guī)定動作”不變，定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查；

? 等級保護“主體職責(zé)”不變。

等保1.0和2.0標(biāo)準(zhǔn)之間的變化

近年來，隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)安全形勢的變化，等保1.0要求已無法有效應(yīng)對新的安全風(fēng)險和新技術(shù)應(yīng)用所帶來的新威脅，等保1.0被動防御為主的防御無法滿足當(dāng)前發(fā)展要求，因此急需建立一套主動防御體系。等保2.0適時而出，從法律法規(guī)、標(biāo)準(zhǔn)要求、安全體系、實施環(huán)節(jié)等方面都有了變化。

1、標(biāo)準(zhǔn)依據(jù)的變化

從條例法規(guī)提升到法律層面。等保1.0的最高國家政策是國務(wù)院147號令，而等保2.0標(biāo)準(zhǔn)的最高國家政策是網(wǎng)絡(luò)安全法，其中《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條要求，國家實施網(wǎng)絡(luò)安全等級保護制度；第二十五條要求，網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案；第三十一條則要求，關(guān)鍵基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護；第五十九條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的，由有關(guān)主管部門給予處罰。因此不開展等級保護等于違法。

2、標(biāo)準(zhǔn)要求變化

等級2.0在1.0基本上進行了優(yōu)化，同時對云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)新技術(shù)提出了新的安全擴展要求。在使用新技術(shù)的信息系統(tǒng)需要同時滿足“通用要求+擴展要求”。且針對新的安全形勢提出了新的安全要求，標(biāo)準(zhǔn)覆蓋度更加全面，安全防護能力有很大提升。

通用要求方面，等保2.0標(biāo)準(zhǔn)的核心是優(yōu)化。刪除了過時的測評項，對測評項進行合理改寫，新增對新型網(wǎng)絡(luò)攻擊行為防護和個人信息保護等新要求，調(diào)整了標(biāo)準(zhǔn)結(jié)構(gòu)、將安全管理中心從管理層面提升至技術(shù)層面。

擴展要求擴展了云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)。

3、安全體系變化

等保2.0相關(guān)標(biāo)準(zhǔn)依然采用“一個中心、三重防護”的理念，從等保1.0被動防御的安全體系向事前防御、事中相應(yīng)、事后審計的動態(tài)保障體系轉(zhuǎn)變。建立安全技術(shù)體系和安全管理體系，構(gòu)建具備相應(yīng)等級安全保護能力的網(wǎng)絡(luò)安全綜合防御體系，開展組織管理、機制建設(shè)、安全規(guī)劃、通報預(yù)警、應(yīng)急處置、態(tài)勢感知、能力建設(shè)、監(jiān)督檢查、技術(shù)檢測、隊伍建設(shè)、教育培訓(xùn)和經(jīng)費保障等工作。

4、等級規(guī)定動作

保護定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查的實施過程中，等保2.0進行了優(yōu)化和調(diào)整。

（1）定級對象的變化。

等保1.0定級的對象是信息系統(tǒng)，等保2.0的定級對象擴展至基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、使用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)、其他網(wǎng)絡(luò)以及大數(shù)據(jù)等多個系統(tǒng)平臺，覆蓋面更廣。

（2）定級級別的變化。

公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重損害時，相應(yīng)系統(tǒng)的等級保護級別從1.0的第二級調(diào)整到了第三級（根據(jù)GA/T1389）。

（3）定級流程的變化。

等保2.0標(biāo)準(zhǔn)不再自主定級，二級及以上系統(tǒng)定級必須經(jīng)過專家評審和主管部門審核，才能到公安機關(guān)備案，整體定級更加嚴(yán)格。

（4）測評合格要求提高

相較于等保1.0，等保2.0測評達的標(biāo)準(zhǔn)發(fā)生了變化，2.0中測評結(jié)論分為：優(yōu)（90分及以上）、良（80分及以上）、中（70分及以上）、差（低于70分），70分以上才算基本符合要求，基本分調(diào)高了，測評要求更加嚴(yán)格。

等保2.0只是開始

根據(jù)網(wǎng)絡(luò)安全法及等級保護相關(guān)要求，企業(yè)或單位應(yīng)該按照網(wǎng)絡(luò)安全法要求嚴(yán)格落實等級保護制度、履行網(wǎng)絡(luò)安全責(zé)任、加強網(wǎng)絡(luò)安全防護、不斷提高網(wǎng)絡(luò)抗攻擊能力，因此還應(yīng)定期開展網(wǎng)絡(luò)的等級測評、風(fēng)險評估、滲透測試、安全培訓(xùn)、安全運維、重要時期的安全保障、日常的應(yīng)急響應(yīng)和安全通報等工作。通過這些工作夯實網(wǎng)絡(luò)安全工作的各個層面，提高安全水平和防御能力，保障企業(yè)或單位的網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運行。