安全資訊

等級保護2.0核心國家標準于5月13日正式發(fā)布。老板們需要對等保2.0的核心所有掌握，方能正確認識等保2.0，管控好網(wǎng)絡(luò )安全保障工作和履行好網(wǎng)絡(luò )安全保護義務(wù)，核心內容包括等保2.0的地位、實(shí)施時(shí)間、適用范圍、與CII關(guān)系、基本要求、結果導向、保護體系、定級備案、測評周期、測評結果等。

2019年5月13日，國家市場(chǎng)監督管理總局、國家標準化管理委員會(huì )召開(kāi)新聞發(fā)布會(huì )，正式發(fā)布等級保護2.0核心國家標準，包括《GB/T 22239-2019 信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》、《GB/T 25070-2019 信息安全技術(shù)網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求》和《GB/T 28448-2019 信息安全技術(shù)網(wǎng)絡(luò )安全等級保護測評要求》。

關(guān)于等保2.0，有10個(gè)核心需要老板知曉

1地位

等保2.0是“網(wǎng)絡(luò )安全等級保護制度”的別稱(chēng)，《網(wǎng)絡(luò )安全法》賦予等保2.0法律地位?！毒W(wǎng)絡(luò )安全法》第21條規定”國家實(shí)行網(wǎng)絡(luò )安全等級保護制度”，第59條規定“網(wǎng)絡(luò )運營(yíng)者不履行本法第21條規定的網(wǎng)絡(luò )安全保護義務(wù)的，由有關(guān)主管部門(mén)責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對直接負責的主管人員處五千元以上五萬(wàn)元以下罰款”。

2實(shí)施時(shí)間
2019年12月1日。

3適用范圍
從信息系統，擴充到基礎信息網(wǎng)絡(luò )、云計算、大數據、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工業(yè)控制系統等保護對象。

4與CII關(guān)系

《網(wǎng)絡(luò )安全法》第31條規定“關(guān)鍵信息基礎設施（簡(jiǎn)稱(chēng)CII），在網(wǎng)絡(luò )安全等級保護制度的基礎上，實(shí)行重點(diǎn)保護”；等保2.0對關(guān)鍵信息基礎設施的定級做了“定級原則上不低于三級”的指導（換個(gè)角度理解，在第三級（含）以上系統中確定關(guān)鍵信息基礎設施）。

5

基本要求
升級為“通用要求+安全擴展”的形式，具體內容由1套安全通用要求和云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統等4套擴展要求組成，另外在附錄H中給出了供大數據系統參考可補充的安全控制措施。

6結果導向
從基本要求維度來(lái)說(shuō)，等保1.0站在安全控制項的角度提安全要求，等保2.0站在安全能力的角度提安全要求；從測評維度來(lái)說(shuō)，等保1.0的測評更注重關(guān)鍵要素的滿(mǎn)足，等保2.0的測評從評測流程和評測標準上做了規范性說(shuō)明，更關(guān)注實(shí)際的安全效果，而非老標準下安全制度和產(chǎn)品的簡(jiǎn)單堆疊。

7保護體系
等保2.0依然采用“一個(gè)中心、三重防護”的體系理念，但對體系的能力做了大升級。一個(gè)中心指“安全管理中心”，三重防護指“安全計算環(huán)境、安全區域邊界、安全通信網(wǎng)絡(luò )”。等保2.0把“安全管理中心”從管理層面提升到技術(shù)層面，專(zhuān)門(mén)進(jìn)行要求，包括“系統管理、審計管理、安全管理、集中管控“等，這是為了滿(mǎn)足等保2.0的核心變化（從被動(dòng)防御轉變?yōu)橹鲃?dòng)防御、動(dòng)態(tài)防御）。完善的網(wǎng)絡(luò )安全分析能力、未知威脅的檢測能力、安全工作的執行能力將成為等保2.0的關(guān)鍵需求。

8定級備案
“確定定級對象—>初步確定等級—>專(zhuān)家評審—>主管部門(mén)審核—>公安機關(guān)備案審查—>最終確定等級”，系統定級必須經(jīng)過(guò)專(zhuān)家評審和主管部門(mén)審核，才能到公安機關(guān)備案（等保1.0時(shí)代“自主定級、自主保護”升級為以國家行政機關(guān)持續監督的“明確等級、增強保護、常態(tài)監督”）。

9測評周期
三級和四級系統都是一年測評一次（等保1.0時(shí)代，要求四級系統每半年測評一次，即一年測評兩次）。

10測評結果
測評達到75分以上才算基本符合（過(guò)等保不再容易，等保工作需要扎扎實(shí)實(shí)做好）。