等级保护新标准20解读

等保2.0新标准解读5月13日下午，国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开，网络安全等级保护制度2.0标准正式发布，包括网络安全等级保护的基本要求、测评要求、安全设计技术要求三个部分，实施时间为2019年12月1日。

《网络安全法》出台后，等级保护进入2.0时代，这意味着2007年四部门建立的“信息安全等级保护体系”已全面升级到“网络安全等级保护2.0体系”。

网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。

开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障，是网络安全保障工作中国家意志的提现。

网络安全等级保护虽然依旧按照定级、备案、建设整改、等级测评、监督检查等五个阶段进行，同时，等级保护的“五个等级”及“主体职责”没有变化。

但是，等保2.0已经从法规条例“国务院147号令”上升到《网络安全法》的法律层面；《网络安全法》第二十一条要求，国家实施网络安全等级保护制度；第二十五条要求，网络运营者应当制定网络安全事件应急预案；第三十一条则要求，关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护；第五十九条明确了，网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门给予处罚。

总而言之，等保2.0实施后，不开展等级保护等于违反《网络安全法》，可以根据法律规定进行处罚。

传统等级保护（暂时叫等保1.0）主要强调物理安全、主机安全、网络安全、应用安全、数据安全及备份恢复等通用要求，而等保2.0标准在对等保1.0标准基本要求进行优化的同时，针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。

也就是说，使用新技术的信息系统需要同时满足“通用要求安全扩展”的要求。

并且，针对新的安全形势提出了新的安全要求，标准覆盖度更加全面，安全防护能力有很大提升。

通用要求方面，等保2.0标准的核心是“优化”。

删除了过时的测评项，对测评项进行合理性改写，新增对新型网络攻击行为防护和个人信息保护等新要求，调整了标准结构、将安全管理中心从管理层面提升至技术层面。

任何事物都会随着时代的发展而不断地变化更新，在网络领域也是如此。

对于网络安全保护工作的等级也是如此，近年来随着网络通讯技术的不断深入发展，等级保护制度也发生了一些变化。

有关等保2.0的相关标准已经发布有一段时间，离标准正式实施还有几个月的时间，之前关于等保2.0中测评结论的判定目前也已经尘埃落定，等保测评结论将由1.0时代的符合、基本符合、不符合改为2.0时代的优、良、中、差四个等级。

那么等保2.0这个新版本的等级保护制度有哪些方面的变化呢？下面就从以下五个方面给大家分析一下。

1.对象的变化。

对象由原来的“信息系统”变为了“等级保护对象（网络和信息系统）”，除了等保1.0版本强调的物理主机、应用、数据与传输，等保2.0标准在此基础上注重全方位主动防御、全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等各类新技术应用的全覆盖。

2.安全要求的变化。

安全要求变为了安全通用要求和安全扩展要求两部分，安全通用要求是不管等级保护对象形态如何必须满足的要求，而安全扩展要求是针对云计算、移动互联网、物联网和工业控制系统等所提出的特殊要求。

其中，云计算安全扩展要求对云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。

3.流程的变化。

除了等保1.0中定级、备案、建设整改、等级测评和监督检查这五个规定动作外，风险评估、安全监测、通报预警、事件调查、应急演练、灾难备份、自主可控、供应链安全、效果评价、综治考核等重点措施均纳入等保流程内。

整体流程更为复杂，内容也更加细化。

4.定级原则的变化。

等保2.0放弃了原来“自主定级、自主保护”的原则，采取了以国家行政机关持续监督的“明确等级、增强保护、常态监督”方式。

更重要的是，除上基础信息网络、工业控制系统、云计算平台、物联网、采用移动互联技术的网络和大数据等相关系统外，还做出了对关键信息基础设施定级原则上不低于三级的规定。

等保2.0的主要变化概述说明以及解释1. 引言1.1 概述等保2.0是指国家互联网信息办公室发布的《信息系统安全等级保护管理规定》，也被称为“网络安全等级保护2.0”。

随着互联网技术的发展和网络威胁形势的不断演变，等保2.0作为对原有等级保护制度的一次重大改革，旨在解决现有制度存在的问题，并提供更加科学、灵活和有效的网络安全管理要求。

本文将介绍等保2.0主要变化以及对企业和组织带来的影响。

1.2 文章结构本文共分为五个部分。

第一部分是引言，简要介绍了等保2.0的概述、文章结构和目的。

第二部分将详细讨论等保2.0主要变化，包括背景介绍、主要变化概述以及解释这些变化的意义。

第三部分将深入探讨等保2.0所采取的具体改进措施，包括政策法规的更新、安全等级核定标准的调整以及技术要求的升级与完善。

第四部分将重点讨论等保2.0对企业和组织带来的影响与挑战，包括对企业安全管理体系的要求提升、对IT基础设施建设的影响以及对人员培训和意识提升的要求。

最后一部分是结论，总结本文内容。

1.3 目的本文旨在全面介绍等保2.0的主要变化，并解释这些变化对企业和组织产生的影响和挑战。

通过深入了解等保2.0的改革内容，读者可以更好地理解新制度背后的原因和意义，并为相应的安全管理工作做好准备。

同时，本文也为相关领域从业人员提供了一份详尽清晰的参考资料，在实践中能够更加有效地推进等保2.0标准的落地实施。

2. 等保2.0主要变化2.1 背景介绍等保2.0是中国国家网络安全宣传周的重要内容之一，旨在进一步提升我国信息系统安全保护水平，适应新形势下信息化发展对网络安全的新挑战和新需求。

随着互联网技术的迅猛发展及信息化水平的不断提高，我国网络空间面临着日益复杂多变的威胁与风险，原有的等级保护制度已经无法满足现代网络环境下的安全需求。

因此，等保2.0作为更新版的等级保护制度，在政策法规、核定标准以及技术要求方面都进行了重大调整和改进。

2.2 主要变化概述等保2.0相对于原有的等级保护制度，在以下方面进行了主要变化：首先，在政策法规层面上，等保2.0进行了修订和更新。

网络安全等级保护20通用要求版随着信息技术的飞速发展，网络安全等级保护已成为国家信息安全的重要组成部分。

网络安全等级保护20通用要求版，旨在确保政府机构、企事业单位和其他组织在处理敏感信息时，实现信息安全等级保护，保障信息系统的安全稳定运行。

网络安全等级保护20通用要求版主要包括以下几个方面的内容：1、信息安全等级保护：组织应根据自身实际情况，将信息安全划分为不同的等级，并采取相应的保护措施。

其中，等级划分应依据信息的重要性和受到破坏后的危害程度进行。

2、风险管理：组织应建立完善的风险管理体系，对可能影响信息系统安全的各种因素进行全面分析，制定相应的风险应对策略。

3、物理安全：组织应确保物理环境的安全，包括机房、设备、电源、消防等方面的安全措施。

4、身份认证与访问控制：组织应建立完善的身份认证和访问控制机制，确保只有经过授权的人员才能访问敏感信息。

5、数据安全与隐私保护：组织应采取一系列措施，确保数据的完整性和保密性，防止未经授权的数据泄露和滥用。

6、应急响应与恢复：组织应制定完善的应急响应预案，确保在发生网络安全事件时，能够迅速响应并恢复系统的正常运行。

在实际应用中，网络安全等级保护20通用要求版具有以下重要意义：1、提高信息安全性：通过实施网络安全等级保护20通用要求版，组织能够加强对敏感信息的保护，减少网络安全事件的发生，提高信息安全性。

2、降低风险：通过风险管理措施的制定和实施，组织能够及时发现并解决潜在的安全隐患，降低信息安全风险。

3、提高工作效率：通过合理的等级划分和相应的保护措施，组织能够优化信息安全管理体系，提高工作效率。

总之，网络安全等级保护20通用要求版对于保障信息系统的安全稳定运行具有重要意义。

组织应认真贯彻落实相关要求，加强信息安全保护，确保国家信息安全。

信息系统网络安全等级保护建设方案信息系统网络安全等级保护建设方案随着信息技术的飞速发展，保障网络和信息系统的安全已经成为各行各业的重要任务。

信息安全等保2.0技术方案信息安全等保 20 技术方案在当今数字化时代，信息安全已成为企业和组织发展的关键因素。

随着网络攻击手段的日益复杂和多样化，信息安全等级保护 20（以下简称等保 20）标准的出台为保障信息系统的安全提供了更为全面和严格的规范。

本文将详细探讨一套符合等保 20 要求的技术方案，帮助企业和组织提升信息安全防护能力。

一、等保 20 概述等保 20 是在等保 10 的基础上进行的升级和完善，它涵盖了更广的范围和更细的要求。

等保 20 强调了“一个中心，三重防护”的理念，即以安全管理中心为核心，从安全计算环境、安全区域边界和安全通信网络三个方面进行防护。

同时，等保 20 增加了对云计算、移动互联、物联网、工业控制等新场景的安全要求。

二、技术方案框架（一）安全物理环境确保机房的物理安全是信息安全的基础。

这包括机房的选址、防火、防水、防静电、温湿度控制等方面。

例如，机房应位于不易遭受自然灾害和人为破坏的地点，安装有效的消防设备和防水设施，铺设防静电地板，并配备空调系统以保持合适的温湿度。

（二）安全通信网络1、网络架构优化采用分层、分区的网络架构，划分不同的安全区域，并通过防火墙、入侵检测系统等设备进行隔离和防护。

2、网络访问控制实施访问控制策略，限制网络访问权限，只允许授权的设备和用户接入网络。

3、数据传输加密对敏感数据的传输进行加密，如使用 SSL/TLS 协议，确保数据在传输过程中的保密性和完整性。

（三）安全区域边界1、边界防护在网络边界部署防火墙、入侵防御系统等设备，防止外部攻击和非法访问。

2、访问控制设置访问控制规则，对进出网络的流量进行严格的过滤和控制。

3、安全审计对网络边界的访问行为进行审计和监测，及时发现异常活动。

（四）安全计算环境1、操作系统安全及时更新操作系统补丁，关闭不必要的服务和端口，设置强密码策略。

2、应用系统安全对应用系统进行安全开发和测试，防止出现漏洞和安全隐患。

等保2.0引言等保2.0是指信息系统安全等级保护的第二代标准，是我国针对信息系统安全等级保护的一项重要规范。

随着信息化技术的快速发展，网络安全问题日益突出，为了保护国家信息系统的安全，等保2.0标准应运而生。

等保2.0的背景在信息化时代，网络安全问题日益严重。

黑客攻击、病毒传播、数据泄露等问题频频发生，给个人、企业甚至国家的信息系统带来了巨大的风险。

为了规范信息系统安全保护的实施，我国于2012年发布了《信息安全技术中国保密技术信息系统安全等级保护》标准，即等保1.0。

然而，随着网络安全形势的不断演变和技术的不断发展，等保1.0已经无法满足现代信息系统安全保护的需要。

因此，国家信息安全等级保护标准工作组在等保1.0的基础上制定了等保2.0标准。

等保2.0的特点1. 强调风险管理等保2.0相比于等保1.0更加重视风险管理。

它要求对信息系统的风险进行全面、系统的分析和评估，并采取相应的措施进行风险治理。

通过对信息系统的风险进行有效的管理，可以最大程度地保护信息系统的安全。

2. 强调持续监测等保2.0要求信息系统的安全保护应具备持续监测的能力。

通过监测安全事件、网络流量、系统性能等指标，及时发现并处理信息系统的异常行为。

持续监测可以帮助发现潜在威胁，及时采取措施防范风险的发生。

3. 强调技术创新等保2.0鼓励技术创新，要求在信息系统安全保护中积极应用新兴技术。

例如，人工智能、区块链、云计算等新技术可以在等保2.0的实施中发挥重要作用，提高信息系统的安全性和效率。

等保2.0的实施步骤1. 信息系统分类根据等保2.0的要求，首先需要对信息系统进行分类。

等保2.0将信息系统分为多个等级，根据信息系统的重要性和使用环境进行划分。

2. 风险评估根据信息系统的等级，进行相应的风险评估。

通过对信息系统的风险进行评估，可以确定信息系统的安全保护需求，为后续的安全保护措施提供依据。

3. 安全策略制定根据风险评估结果，制定相应的安全策略。

干货网络安全等级保护2.0标准解读等级保护标准体系01等级保护1.0标准体系2007年，《信息安全等级保护管理办法》（公通字[2007]43号）文件的正式发布，标志着等级保护1.0的正式启动。

等级保护1.0规定了等级保护需要完成的“规定动作”，即定级备案、建设整改、等级测评和监督检查，为了指导用户完成等级保护的“规定动作”，在2008年至2012年期间陆续发布了等级保护的一些主要标准，构成等级保护1.0的标准体系。

>>>等级保护1.0时期的主要标准如下：•信息安全等级保护管理办法（43号文件）（上位文件）•计算机信息系统安全保护等级划分准则GB17859-1999（上位标准）•信息系统安全等级保护实施指南 GB/T25058-2008•信息系统安全保护等级定级指南 GB/T22240-2008•信息系统安全等级保护基本要求 GB/T22239-2008•信息系统等级保护安全设计要求 GB/T25070-2010•信息系统安全等级保护测评要求 GB/T28448-2012•信息系统安全等级保护测评过程指南 GB/T28449-201202等级保护2.0标准体系2017年，《中华人民共和国网络安全法》的正式实施，标志着等级保护2.0的正式启动。

网络安全法明确“国家实行网络安全等级保护制度。

”（第21条）、“国家对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

”（第31条）。

上述要求为网络安全等级保护赋予了新的含义，重新调整和修订等级保护1.0标准体系，配合网络安全法的实施和落地，指导用户按照网络安全等级保护制度的新要求，履行网络安全保护义务的意义重大。

随着信息技术的发展，等级保护对象已经从狭义的信息系统，扩展到网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等，基于新技术和新手段提出新的分等级的技术防护机制和完善的管理手段是等级保护2.0标准必须考虑的内容。

2020「网络安全等级保护定级指南」最新解读，这些重点必须注意！新版《GBT 22240-2020 信息安全技术网络安全等级保护定级指南》正式发布，新的国标将于2020年11月1日正式实施。

腾讯安全平台部天幕团队联合腾讯安全专家咨询中心、云鼎实验室、安全管理部标准团队，针对新版定级指南的一些变化划重点解读，供广大企业参考。

01定级原理及流程1、安全保护等级如何划分？本部分变化较小，依旧是五个等级，从一级到五级由低到高。

现在对于定级系统的称呼统一改为等级保护对象（旧标准中称为信息系统），这也与等保2.0其他系列标准保持一致。

2、等保定级要素都有哪些？要素可以说基本没有变化，依旧沿用之前的定义。

•等级保护对象要素的两个方面：1）受侵害的客体；2）对客体的侵害程度。

•等级保护对象受侵害客体的三个方面：1）公民、法人和其他组织的合法权益；2）社会秩序、公共利益；3）国家安全。

•等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：1）造成一般损害；2）造成严重损害；3）造成特别严重损害。

•定级要素与安全保护等级的关系之前行业内关于等保2.0基本要求的解读中，曾经提过对于公民、法人和其他组织和合法权益受到特别严重损害会定为第三级，但是从新版《指南》的官方结论，依旧按照旧版定为第二级，这里明确说明一下。

3、定级流程是怎样的？第二级及以上等级保护对象定级流程新增专家评审环节，不再自主定级，需要聘请专家认定等级保护对象的级别。

02确定定级对象1、哪些企业和机构需要定级备案？定级对象的范围相比旧标准变化较多，本次《指南》包含了云计算、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施以及数据资源，我们来具体看下。

通用定级对象基本特征明确，共计三点：•具有确定的主要安全责任体；•承载相对独立的业务应用；•包含相互关联的多个资源。

从这几个特征来看，基本互联网上的系统差不多都要定级备案。

《指南》给出了有关安全责任主体的解释：包括但不限于企业、机关和事业单位等法人，以及不具备法人资格的社会团体等其他组织。

等级保护新标准(2.0)介绍等级保护新标准(2.0)介绍一、引言1.1 编写目的旨在介绍等级保护新标准(2.0)的内容、原则和应用范围，为相关人员提供参考依据。

1.2 背景随着信息技术的发展，现有的等级保护标准逐渐不能满足对信息安全的要求。

为适应新的安全环境和技术发展，需要制定新的等级保护标准。

二、等级保护新标准(2.0)概述2.1 定义等级保护新标准(2.0)是针对信息系统、网络和数据等级分类，并提供相应的保护措施的标准。

2.2 内容2.2.1 等级分类：将信息系统、网络和数据划分为不同的等级，包括高级、中级和低级等级。

2.2.2 保护要求：对不同等级的信息系统、网络和数据提出相应的保护要求，包括物理安全、网络安全、数据安全等方面。

2.2.3 保护措施：根据保护要求，采取相应的技术和管理措施来保护信息系统、网络和数据的安全。

2.2.4 评估和认证：对符合等级保护新标准的信息系统、网络和数据进行评估和认证。

三、等级保护新标准(2.0)详细说明3.1 等级分类3.1.1 高级等级：适用于国家级涉密信息系统、网络和数据，要求最严格的保护措施。

3.1.2 中级等级：适用于省级涉密信息系统、网络和数据，要求较高的保护措施。

3.1.3 低级等级：适用于市级涉密信息系统、网络和数据，要求一般的保护措施。

3.2 保护要求3.2.1 物理安全要求：包括设备存放、防火防灾、门禁控制等方面的要求。

3.2.2 网络安全要求：包括网络隔离、入侵检测、安全传输等方面的要求。

3.2.3 数据安全要求：包括数据备份、加密传输、权限控制等方面的要求。

3.3 保护措施3.3.1 技术措施：采用防火墙、入侵检测系统、加密技术等技术手段来实现保护要求。

3.3.2 管理措施：制定安全管理制度、进行安全培训、定期演练等管理手段来实现保护要求。

3.4 评估和认证3.4.1 评估要求：对符合等级保护新标准的信息系统、网络和数据进行评估，评估包括安全性能测试、漏洞扫描等。