寫在前面的話

GB/T 22239-2019《信息安全技術網(wǎng)絡安全等級保護要求》（以下簡稱“等保2.0”）已經(jīng)于2019年12月1日正式實施，對我們的安全等保工作提出了新要求，因此我們以十問的形式解讀等保2.0，以便深入了解國家網(wǎng)絡安全等級保護的基本要求。

等保，即信息安全技術網(wǎng)絡安全等級保護要求，是我國信息安全保障的一項基本制度，國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護。

等保1.0：2007年和2008年頒布實施的 《信息安全等級保護管理辦法》和《信息安全等級保護基本要求》，這是我們通常認為的等保1.0。

等保2.0：《中華人民共和國網(wǎng)絡安全法》第二十一條明確規(guī)定：“國家實行網(wǎng)絡安全等級保護制度。”為了貫徹落實《中華人民共和國網(wǎng)絡安全法》，適應云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術、新應用情況下網(wǎng)絡安全等級保護工作，2019年5月正式發(fā)布《信息安全技術網(wǎng)絡安全等級保護基本要求》，正式開啟了等保2.0的時代。一般認為等保2.0是指《信息安全技術網(wǎng)絡安全等級保護基本要求》及其配套標準。

《信息安全技術網(wǎng)絡安全等級保護基本要求》代替GB/T 22239—2008《信息安全技術信息系統(tǒng)安全等級保護基本要求》，與GB/T 22239—2008相比，主要變化如下：

標準的名稱由“信息安全技術  信息系統(tǒng)安全等級保護基本要求”變更為“信息安全技術  網(wǎng)絡安全等級保護基本要求”。

調(diào)整分類為安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

調(diào)整各個級別的安全要求為安全通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求。

取消了原來安全控制點的S、A、G標注，增加一個附錄A描述等級保護對象的定級結果和安全要求之間的關系，說明如何根據(jù)定級結果選擇安全要求。

什么系統(tǒng)需要遵守等保2.0標準？

由計算機或者其他信息終端及相關設備組成的按照一定的規(guī)則和程序對信息進行收集、存儲、傳輸、交換、處理的系統(tǒng)，被稱為等級保護的對象，這些系統(tǒng)都要遵守等保2.0的相關標準。

等級保護對象，主要包括基礎信息網(wǎng)絡、云計算平臺/系統(tǒng)、大數(shù)據(jù)應用/平臺/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術的系統(tǒng)等。

什么系統(tǒng)不適用等保2.0標準？

同時請注意，等保2.0的標準并不適用如下：

涉密對象的安全建設和監(jiān)督管理，涉密對象將另行規(guī)定和管理；

第五級等級保護對象，等保2.0即《信息安全技術網(wǎng)絡安全等級保護基本要求》僅規(guī)定了網(wǎng)絡安全等級保護的第一級到第四級等級保護對象的安全通用要求和安全擴展要求。

誰需要遵守等保2.0標準？

根據(jù)“誰主管、誰運營，誰負責”的原則，網(wǎng)絡運營者成為等級保護的責任主體。

企業(yè)需要對其建設、掌管、運營的各類系統(tǒng)的等保負責。

是需要的，云服務所在的數(shù)據(jù)中心的業(yè)務系統(tǒng)由云服務商運營，云服務商須負責其建設、運營系統(tǒng)的等保工作，而對外門戶網(wǎng)站是貴單位建設、運營的，仍需按規(guī)定進行等保工作。

云服務商可以配合客戶開展等級測評工作，提供云服務商側的等級保護測評材料。

對于等保2.0中的安全通用要求和安全擴展要求都應適用嗎？

是的，安全通用要求針對共性化保護需求提出，等級保護對象無論以何種形式出現(xiàn)，必須根據(jù)安全保護等級實現(xiàn)相應級別的安全通用要求；安全擴展要求針對個性化保護需求提出，需要根據(jù)安全保護等級和使用的特定技術或特定的應用場景選擇性實現(xiàn)安全擴展要求。

標準針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)提出了安全擴展要求，除應符合安全通用要求外，還應符合對應的安全擴展要求。

對于采用其他特殊技術或處于特殊應用場景的等級保護對象，應在安全風險評估的基礎上，針對安全風險采取特殊的安全措施作為補充。

如何做等級保護工作？

等保2.0一般有如下5個步驟，定級、備案、建設和整改、等級測評和檢查。

定級，為等級保護對象定級，按照信息的重要程度由低到高分為5個等級，1級為最低、5級為最高級別。如果定了1級，不需要做等級測評，自助進行保護即可；網(wǎng)絡運營者通過自主+專家評審+主管部門環(huán)節(jié)定級。

備案，網(wǎng)絡運營者需要去運營地區(qū)的網(wǎng)安部門辦理備案手續(xù)。等級測評，主要是有公安部授權委托的全國100多家測評機構，對信息系統(tǒng)進行安全測評，測評通過后初級《等級保護測試報告》。

企業(yè)是否可以不做等級保護的相關工作？

除非另有規(guī)定，企業(yè)應當執(zhí)行網(wǎng)絡安全等級保護的相關工作。根據(jù)《中華人民共和國網(wǎng)絡安全法》相關規(guī)定，如不履行網(wǎng)絡安全等級保護的要求，主管機關將給予警告，對單位處以一萬以上十萬以下罰款，以及直接負責的主管人員五千元以上五萬元以下的罰款。

《中華人民共和國網(wǎng)絡安全法》

第二十一條 國家實行網(wǎng)絡安全等級保護制度?！?。

第五十九條網(wǎng)絡運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡安全保護義務的，由有關主管部門責令改正，給予警告;拒不改正或者導致危害網(wǎng)絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

大數(shù)據(jù)的的平臺和系統(tǒng)也需要符合等保2.0的標準嗎？

是的。標準中將采用了大數(shù)據(jù)技術的信息系統(tǒng)，稱為大數(shù)據(jù)系統(tǒng)。大數(shù)據(jù)系統(tǒng)通常由大數(shù)據(jù)平臺、大數(shù)據(jù)應用以及處理的數(shù)據(jù)集合構成，大數(shù)據(jù)系統(tǒng)的特征是數(shù)據(jù)體量大、種類多、聚合快、價值高，受到破壞、泄露或篡改會對國家安全、社會秩序或公共利益造成影響，大數(shù)據(jù)安全涉及大數(shù)據(jù)平臺的安全和大數(shù)據(jù)應用的安全。

大數(shù)據(jù)平臺是為大數(shù)據(jù)應用提供資源和服務的支撐集成環(huán)境，包括基礎設施層、數(shù)據(jù)平臺層和計算分析層。大數(shù)據(jù)應用是基于大數(shù)據(jù)平臺對數(shù)據(jù)的處理過程，通常包括數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)應用、數(shù)據(jù)交換和數(shù)據(jù)銷毀等環(huán)節(jié)，上述各個環(huán)節(jié)均需要對數(shù)據(jù)進行保護，大數(shù)據(jù)系統(tǒng)除按照等保2.0的標準要求進行保護外，還需要考慮其特點，參照標準附錄補充和完善安全控制措施。

等保2.0和關鍵基礎設施的保護是什么關系？

關鍵基礎設施，是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施。

國家在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

即如果您的業(yè)務系統(tǒng)屬于關鍵基礎設施，除需符合等級保護的要求外，還應按照關鍵基礎設備的具體安全保護辦法來保護。