5.14 等保1.0与等保2.0

等保2.0主要标准-概述说明以及解释1.引言1.1 概述概述随着信息技术的不断发展和日益普及，网络空间安全问题已经成为了一个全球性难题。

为了提高国家网络安全水平，我国推出了一系列的信息安全等级保护（等保）标准。

等保标准旨在规范和指导各类网络系统、设备和服务的安全建设与管理，以保护国家的核心信息基础设施和重要信息资源的安全。

在等保标准的演进过程中，等保2.0标准应运而生。

等保2.0标准是在等保1.0标准的基础上进一步完善和提升的，以适应网络安全形势的发展和应对新的威胁挑战。

本文将从等保2.0标准的角度，对其主要内容、应用与实施以及重要性进行深入探讨。

另外，还将对等保2.0标准存在的局限性进行分析，并展望其未来的发展方向。

通过阅读本文，读者可对等保2.0标准有一个全面的了解，从而更好地理解和应用这一标准，提升网络安全保障水平，推动我国网络安全事业的健康发展。

1.2 文章结构文章结构部分的内容可以包括以下几个方面：首先，简要介绍本文的组织结构。

本文主要分为三个部分，分别是引言、正文和结论。

每个部分都涵盖了等保2.0主要标准相关的内容，通过逐步展开的方式，从整体和细节两个层面深入探讨等保2.0主要标准的方方面面。

其次，详细说明引言部分的内容。

引言部分将提供该篇文章的背景信息以及对等保2.0主要标准的整体概述。

包括等保2.0标准的定义、由来和发展背景等内容，以便读者能够对本文所述的主题有一个基本的了解。

接着，阐述正文部分的内容和结构。

正文部分是本文的核心，将对等保2.0主要标准进行详细介绍。

主要分为两个子节：等保2.0标准的介绍和等保2.0标准的主要内容。

等保2.0标准的介绍将给出更具体的详细信息，包括标准的制定机构、标准的适用范围和目标等。

而等保2.0标准的主要内容将对标准的具体要求和指导进行详细解读，包括网络安全风险评估与等级划分、网络安全保护等级与技术要求等方面。

最后，简要说明结论部分的内容和意义。

等保2.0是相对于等保1.0而言的新一代网络安全等级保护制度。

它按照网络重要性及其受破坏后结果的严重性，实施分级、分类、分阶段保护的制度。

等保2.0全称网络安全等级保护2.0制度，是我国网络安全领域的基本国策、基本制度。

等级保护标准在1.0时代标准的基础上，注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

等保2.0的最高国家政策是《中华人民共和国网络安全法》，其中规定国家实施网络安全等级保护制度。

不开展等级保护等于违法。

网络安全等级保护制度2.0详解及标准2019年5月13日，国家市场监督管理总局、国家标准化管理委员会召开新闻发布会，等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布，将于2019年12月1日开始实施。

相较于2007年实施的《信息安全等级保护管理办法》所确立的等级保护1.0体系，为了适应现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求，2018年公安部正式发布《网络安全等级保护条例（征求意见稿）》，国家对信息安全技术与网络安全保护迈入2.0时代。

什么是等保根据2017 年6 月 1 日起施行《中华人民共和国网络安全法》的规定，等级保护是我国信息安全保障的基本制度。

《中华人民共和国网络安全法》第二十一条规定，国家实行网络安全等级保护制度。

网络运营者应当按照网络安全等级保护制度的要求，履行下列全保护义务：保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

等保1.0指的是2007年的《信息安全等级保护管理办法》和2008年的《信息安全技术信息系统安全等级保护基本要求》。

等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，并对旧有内容进行调整等保2.0由来过程等保2.0对定级指南、基本要求、实施指南、测评过程指南、测评要求、设计技术要求等标准进行修订和完善，以满足新形势下等级保护工作的需要，其中《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全安全等级保护基本要求》、《信息安全技术网络安全等级保护安全设计要求》已于2019年5月10日发布，并将在2019年12月1日实施。

重点解读相较于等保1.0，等保2.0发生了以下主要变化：第一，名称变化。

等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，与《网络安全法》保持一致。

等保2.0解读等保2.0解读信息安全等级保护 1.0：以GB17859-1999《计算机信息系统安全保护等级划分准则》为根标准；以GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》为基础标准；习惯将《基本要求》的2008版本及其配套规范标准称为等保1.0。

⽹络安全等级保护 2.0：2014年开始制定2.0标准，修订了通⽤安全要求，增加了云计算、移动互联、⼯控、物联⽹等安全扩展要求。

2019年5⽉13⽇发布；2019年12⽉1⽇开始实施。

名称变化：原来：《信息系统安全等级保护基本要求》改为：《信息安全等级保护基本要求》再改为：（与《⽹络安全法》保持⼀致）《⽹络安全等级保护基本要求》主要标准⽂件：⽹络安全等级保护条例（总要求/上位⽂件）计算机信息系统安全保护等级划分准则（GB 17859-1999）（上位标准）⽹络安全等级保护实施指南（GB/T25058）（正在修订）⽹络安全等级保护定级指南（GB/T22240）（正在修订）★⽹络安全等级保护基本要求（GB/T22239-2019）★⽹络安全等级保护设计技术要求（GB/T25070-2019）★⽹络安全等级保护测评要求（GB/T28448-2019）★⽹络安全等级保护测评过程指南（GB/T28449-2018）等保2.0的“变与不变”：“不变”：等级保护“五个级别”不变：1⾃主保护级；2 指导保护级；3 监督保护级；4 强制保护级；5 转控保护级等级保护“五个阶段”不变：1定级；2备案；3安全建设和整改；4信息安全等级测评；5信息安全检查等级保护“主体职责”不变：公安机关；国家保密⼯作部门；国家密码管理部门；⼯业和信息化部门为职能部门“变”：法律法规变化：不开展等级保护等于违法！并要承担相应的法律后果标准要求变化：使⽤新技术的信息系统需要同时满⾜“通⽤要求+安全扩展”的要求“优化”通⽤要求，删除了过时的测评项（增加云计算、⼯控、移动互联、物联⽹安全要求）安全体系变化：从被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变实施环节变化：系统定级必须经过专家评审和主管部门审核测评达到75分以上才算基本符合要求对象变化：原来：信息系统改为：等级保护对象（⽹络和信息系统）安全等级保护的对象包括⽹络基础设施（⼴电⽹、电信⽹、专⽤通信⽹络等）、云计算平台/系统、⼤数据平台/系统、物联⽹、⼯业控制系统、采⽤移动互联技术的系统等.安全要求变化：原来：安全要求改为：安全通⽤要求和安全扩展要求安全通⽤要求是不管等级保护对象形态如何必须满⾜的要求，针对云计算、移动互联、物联⽹和⼯业控制系统提出了特殊要求，称为安全扩展要求.章节结构的变化：8 第三级安全要求8.1 安全通⽤要求8.2 云计算安全扩展要求8.3 移动互联安全扩展要求8.4 物联⽹安全扩展要求8.5 ⼯业控制系统安全扩展要求分类结构变化：结构和分类调整为：（2017试⽤稿）技术部分：物理和环境安全、⽹络和通信安全、设备和计算安全、应⽤和数据安全；管理部分：安全策略和管理制度、安全管理机构和⼈员、安全建设管理、安全运维管理技术部分：(正式发布稿)安全物理环境、安全通信⽹络、安全区域边界、安全计算环境、安全管理中⼼管理部分：安全管理制度、安全管理机构、安全管理⼈员、安全建设管理、安全运维管理新等级保护的特点：1.基本要求、测评要求和技术要求框架统⼀，安全管理中⼼⽀持下的三重防护结构框架2.通⽤安全要求+新型应⽤安全扩展要求，将云计算、移动互联、物联⽹、⼯业控制等列⼊标准规范3.把基于可信根的可信验证列⼊各级别和各环节的主要功能要求新等级保护建设的核⼼思想：信息系统的安全设计应基于业务流程⾃⾝特点，建⽴“可信、可控、可管”的安全防护体系，使得系统能够按照预期运⾏，免受信息安全攻击和破坏。

⽹络安全等级保护2.0具有哪些特点？ 伴随着等保2.0的发布，也标志着我国⽹络安全等级保护将进⼊⼀个全新的阶段。

那么什么是等保?⽹络安全等级保护2.0具有哪些特点?等保2.0和等保1.0有什么区别?针对这些问题，⼩编为⼤家详细讲解⼀下。

什么是等保? 等级保护是我们国家的基本⽹络安全制度、基本国策，也是⼀套完整和完善的⽹络安全管理体系。

遵循等级保护相关标准开始安全建设是⽬前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。

⽹络安全等级保护2.0具有哪些特点? ①等级保护的基本要求、测评要求和安全设计技术要求框架统计，即：安全管理中⼼⽀持下的三重防护结构框架; ②通⽤安全要求+新型应⽤安全扩展要求，将云计算、移动互联、物联⽹、⼯业控制系统等列⼊标准规范; ③将可信验证列⼊各级别和各环节的主要功能要求。

等保2.0和等保1.0有什么区别? 第⼀：名称变化 《信息系统安全等级保护基本要求》改为：《⽹络安全等级保护基本要求》，与《⽹络安全法》保持⼀致。

第⼆：定级对象变化 等保1.0的定级对象是信息系统，现在2.0更为⼴泛，包括：信息系统、基础信息⽹络、云计算平台、⼤数据平台、物联⽹系统、⼯业控制系统、采⽤移动互联技术的⽹络等。

第三：安全要求变化 等保2.0由⼀个单独的基本要求演变为通⽤安全要求+新技术安全扩展要求，其中安全通⽤要求是不管等级保护对象形态如何都必须满⾜的要求，针对云计算、移动互联、物联⽹和⼯业控制系统提出了特殊要求，称为安全扩展要求。

①云计算安全扩展要求包括基础设施的位置、虚拟化安全保护、镜像和快照保护、云服务商选择和云计算环境管理等⽅⾯。

②移动互联安全扩展要求包括⽆线接⼊点的地理位置、移动终端管控、移动应⽤管控、移动应⽤软件采购和移动应⽤软件开发等⽅⾯。

③物联⽹安全扩展要求包括感知节点的物理保护、感知节点设备安全、感知⽹关节点设备安全、感知节点的管理和数据融合处理等⽅⾯。

等保2.0引言等保2.0是指信息系统安全等级保护的第二代标准，是我国针对信息系统安全等级保护的一项重要规范。

随着信息化技术的快速发展，网络安全问题日益突出，为了保护国家信息系统的安全，等保2.0标准应运而生。

等保2.0的背景在信息化时代，网络安全问题日益严重。

黑客攻击、病毒传播、数据泄露等问题频频发生，给个人、企业甚至国家的信息系统带来了巨大的风险。

为了规范信息系统安全保护的实施，我国于2012年发布了《信息安全技术中国保密技术信息系统安全等级保护》标准，即等保1.0。

然而，随着网络安全形势的不断演变和技术的不断发展，等保1.0已经无法满足现代信息系统安全保护的需要。

因此，国家信息安全等级保护标准工作组在等保1.0的基础上制定了等保2.0标准。

等保2.0的特点1. 强调风险管理等保2.0相比于等保1.0更加重视风险管理。

它要求对信息系统的风险进行全面、系统的分析和评估，并采取相应的措施进行风险治理。

通过对信息系统的风险进行有效的管理，可以最大程度地保护信息系统的安全。

2. 强调持续监测等保2.0要求信息系统的安全保护应具备持续监测的能力。

通过监测安全事件、网络流量、系统性能等指标，及时发现并处理信息系统的异常行为。

持续监测可以帮助发现潜在威胁，及时采取措施防范风险的发生。

3. 强调技术创新等保2.0鼓励技术创新，要求在信息系统安全保护中积极应用新兴技术。

例如，人工智能、区块链、云计算等新技术可以在等保2.0的实施中发挥重要作用，提高信息系统的安全性和效率。

等保2.0的实施步骤1. 信息系统分类根据等保2.0的要求，首先需要对信息系统进行分类。

等保2.0将信息系统分为多个等级，根据信息系统的重要性和使用环境进行划分。

2. 风险评估根据信息系统的等级，进行相应的风险评估。

通过对信息系统的风险进行评估，可以确定信息系统的安全保护需求，为后续的安全保护措施提供依据。

3. 安全策略制定根据风险评估结果，制定相应的安全策略。

等保2.0标准介绍等保2.0标准介绍一、等保2.0标准概述等保2.0标准是中国国家信息安全等级保护推进委员会发布的新一代信息安全等级保护标准。

该标准主要针对网络安全领域的风险评估、安全等级评定和安全保障措施制定，提出了严格的要求和标准，是信息安全技术管理领域的重要规范。

二、等保2.0标准内容概述等保2.0标准共分为17个安全等级，分别涵盖了国家级、重要部门、重点领域和一般领域等四个等级。

同时，该标准还针对基础设施、应用系统和云计算三大类进行了详细的安全要求和控制措施规定，包括信息安全安全评估、安全管理、风险管理、安全技术、保密管理、安全事件管理等方面。

三、等保2.0标准实施意义等保2.0标准的发布，将有效提高我国网络安全的整体水平和保护能力，推动我国信息安全从单一技术手段防护向全方位综合防护转变。

对于增强我国信息安全防护能力，促进信息化发展和中国数字经济的高质量发展都具有重大的意义。

四、本文档涉及注释1. 等保：信息安全等级保护，是国家信息安全保护的一项重要制度。

该制度分为四个等级，包括国家级、重要部门、重点领域和一般领域。

2. 安全等级：根据风险评估的结果，对信息系统的安全等级进行划分，包括一级安全、二级安全、三级安全、四级安全。

五、本文档涉及的法律名词及注释1.《中华人民共和国网络安全法》：是中国于2016年颁布的网络安全法律法规，主要涉及网络安全的基本法律制度、网络安全保护的组织体系、网络安全的技术措施和安全事件的应急处理等方面。

2.《信息安全技术个人信息安全规范》：是国家信息安全标准化技术委员会发布的个人信息安全标准，主要涉及个人信息的标识、采集、使用、存储、共享、转移和销毁等方面。