信息安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。本文以問答的形式解讀等保2.0，以便深入了解國家網絡安全等級保護的基本要求。

2007年，《信息安全等級保護管理辦法》（公通字[2007]43號）文件的正式發布，標志著等級保護1.0的正式啟動。等級保護1.0規定了等級保護需要完成的“規定動作”，即定級備案、建設整改、等級測評和監督檢查，為了指導用戶完成等級保護的“規定動作”，在2008年至2012年期間陸續發布了等級保護的一些主要標準，構成等級保護1.0的標準體系。
等級保護1.0時期的主要標準如下：


信息安全等級保護管理辦法（43號文件）（上位文件）

計算機信息系統安全保護等級劃分準則 GB17859-1999（上位標準）

信息系統安全等級保護實施指南 GB/T25058-2008

信息系統安全保護等級定級指南 GB/T22240-2008

信息系統安全等級保護基本要求 GB/T22239-2008

信息系統等級保護安全設計要求 GB/T25070-2010

信息系統安全等級保護測評要求 GB/T28448-2012

信息系統安全等級保護測評過程指南 GB/T28449-2012


等級保護2.0標準體系

2017年，《中華人民共和國網絡安全法》的正式實施，標志著等級保護2.0的正式啟動。網絡安全法明確“國家實行網絡安全等級保護制度?！保ǖ?1條）、“國家對一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護?！保ǖ?1條）。上述要求為網絡安全等級保護賦予了新的含義，重新調整和修訂等級保護1.0標準體系，配合網絡安全法的實施和落地，指導用戶按照網絡安全等級保護制度的新要求，履行網絡安全保護義務的意義重大。

隨著信息技術的發展，等級保護對象已經從狹義的信息系統，擴展到網絡基礎設施、云計算平臺/系統、大數據平臺/系統、物聯網、工業控制系統、采用移動互聯技術的系統等，基于新技術和新手段提出新的分等級的技術防護機制和完善的管理手段是等級保護2.0標準必須考慮的內容。關鍵信息基礎設施在網絡安全等級保護制度的基礎上，實行重點保護，基于等級保護提出的分等級的防護機制和管理手段提出關鍵信息基礎設施的加強保護措施，確保等級保護標準和關鍵信息基礎設施保護標準的順利銜接也是等級保護2.0標準體系需要考慮的內容。


等級保護2.0標準體系主要標準如下：

網絡安全等級保護條例（總要求/上位文件）

計算機信息系統安全保護等級劃分準則（GB 17859-1999）
（上位標準）

網絡安全等級保護實施指南（GB/T25058-2020）

網絡安全等級保護定級指南（GB/T22240-2020）

網絡安全等級保護基本要求（GB/T22239-2019）

網絡安全等級保護設計技術要求（GB/T25070-2019）

網絡安全等級保護測評要求（GB/T28448-2019）

網絡安全等級保護測評過程指南（GB/T28449-2018）

>>>關鍵信息基礎設施標準體系框架如下：

關鍵信息基礎設施保護條例（征求意見稿)（總要求/上位文件）

關鍵信息基礎設施安全保護要求（征求意見稿）

關鍵信息基礎設施安全控制要求（征求意見稿）

關鍵信息基礎設施安全控制評估方法（征求意見稿）


1、什么是等保2.0?

  等保，即信息安全技術網絡安全等級保護要求，是我國信息安全保障的一項基本制度，國家通過制定統一的信息安全等級保護管理規范和技術標準，組織公民、法人和其他組織對信息系統分等級實行安全保護。

  等保2.0：《中華人民共和國網絡安全法》第二十一條明確規定：“國家實行網絡安全等級保護制度。”為了貫徹落實《中華人民共和國網絡安全法》，適應云計算、移動互聯、物聯網、工業控制和大數據等新技術、新應用情況下網絡安全等級保護工作，2019年5月正式發布《信息安全技術網絡安全等級保護基本要求》，正式開啟了等保2.0的時代。一般認為等保2.0是指《信息安全技術網絡安全等級保護基本要求》及其配套標準。

2、等保2.0的變化

  標準的名稱由“信息安全技術 信息系統安全等級保護基本要求”變更為“信息安全技術 網絡安全等級保護基本要求”。

  調整分類為安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

  調整各個級別的安全要求為安全通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求和工業控制系統安全擴展要求。

  取消了原來安全控制點的S、A、G標注，增加一個附錄A描述等級保護對象的定級結果和安全要求之間的關系，說明如何根據定級結果選擇安全要求。

3、等保的對象

  由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統，被稱為等級保護的對象，這些系統都要遵守等保2.0的相關標準。

  等級保護對象，主要包括基礎信息網絡、云計算平臺/系統、大數據應用/平臺/資源、物聯網、工業控制系統和采用移動互聯技術的系統等。

4、誰要遵守等級保護2.0標準

  根據“誰主管、誰運營，誰負責”的原則，網絡運營者成為等級保護的責任主體。

  企業需要對其建設、掌管、運營的各類系統的等保負責。

  Q：我單位有對外門戶網站，該門戶網站部署于從云服務商處租賃的虛擬云服務器之上，云服務商對其云服務器已經完成等保定級及測評等，那我單位是否還需要進行等保等工作?

  A：是需要的，云服務所在的數據中心的業務系統由云服務商運營，云服務商須負責其建設、運營系統的等保工作，而對外門戶網站是貴單位建設、運營的，仍需按規定進行等保工作。云服務商可以配合客戶開展等級測評工作，提供云服務商側的等級保護測評材料。


5、等保2.0中的安全通用要求和擴展要求都應適用嗎?

  安全通用要求針對共性化保護需求提出，等級保護對象無論以何種形式出現，必須根據安全保護等級實現相應級別的安全通用要求;安全擴展要求針對個性化保護需求提出，需要根據安全保護等級和使用的特定技術或特定的應用場景選擇性實現安全擴展要求。

  標準針對云計算、移動互聯、物聯網、工業控制系統提出了安全擴展要求，除應符合安全通用要求外，還應符合對應的安全擴展要求。

  對于采用其他特殊技術或處于特殊應用場景的等級保護對象，應在安全風險評估的基礎上，針對安全風險采取特殊的安全措施作為補充。


6、如何做等級保護工作?

  等保2.0一般有如下5個步驟，定級、備案、建設和整改、等級測評和檢查。

  定級，為等級保護對象定級，按照信息的重要程度由低到高分為5個等級，1級為最低、5級為最高級別。如果定了1級，不需要做等級測評，自助進行保護即可;網絡運營者通過自主+專家評審+主管部門環節定級。

  備案，網絡運營者需要去運營地區的網安部門辦理備案手續。等級測評：測試師對信息系統進行安全測評，測評通過后出具《等級保護測試報告》。


7、企業不做等保的相關處罰


  除非另有規定，企業應當執行網絡安全等級保護的相關工作。根據《中華人民共和國網絡安全法》相關規定，如不履行網絡安全等級保護的要求，主管機關將給予警告，對單位處以一萬以上十萬以下罰款，以及直接負責的主管人員五千元以上五萬元以下的罰款。

  《中華人民共和國網絡安全法》

  第二十一條國家實行網絡安全等級保護制度。

  第五十九條網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的，由有關主管部門責令改正，給予警告;拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

8、大數據的平臺和系統也需要符合等保2.0的標準嗎?


  標準中將采用了大數據技術的信息系統，稱為大數據系統。大數據系統通常由大數據平臺、大數據應用以及處理的數據集合構成，大數據系統的特征是數據體量大、種類多、聚合快、價值高，受到破壞、泄露或篡改會對國家安全、社會秩序或公共利益造成影響，大數據安全涉及大數據平臺的安全和大數據應用的安全。

  大數據平臺是為大數據應用提供資源和服務的支撐集成環境，包括基礎設施層、數據平臺層和計算分析層。大數據應用是基于大數據平臺對數據的處理過程，通常包括數據采集、數據存儲、數據應用、數據交換和數據銷毀等環節，上述各個環節均需要對數據進行保護，大數據系統除按照等保2.0的標準要求進行保護外，還需要考慮其特點，參照標準附錄補充和完善安全控制措施。



9、等保2.0和關鍵基礎設施的保護是什么關系?


  關鍵基礎設施，是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施。

  國家在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

  即如果您的業務系統屬于關鍵基礎設施，除需符合等級保護的要求外，還應按照關鍵基礎設備的具體安全保護辦法來保護。