網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)是什么

信息安全等級(jí)保護(hù)是指對(duì)國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。本文以問答的形式解讀等保2.0，以便深入了解國家網(wǎng)絡(luò)安全等級(jí)保護(hù)的基本要求。

2007年，《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）文件的正式發(fā)布，標(biāo)志著等級(jí)保護(hù)1.0的正式啟動(dòng)。等級(jí)保護(hù)1.0規(guī)定了等級(jí)保護(hù)需要完成的“規(guī)定動(dòng)作”，即定級(jí)備案、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查，為了指導(dǎo)用戶完成等級(jí)保護(hù)的“規(guī)定動(dòng)作”，在2008年至2012年期間陸續(xù)發(fā)布了等級(jí)保護(hù)的一些主要標(biāo)準(zhǔn)，構(gòu)成等級(jí)保護(hù)1.0的標(biāo)準(zhǔn)體系。
等級(jí)保護(hù)1.0時(shí)期的主要標(biāo)準(zhǔn)如下：


信息安全等級(jí)保護(hù)管理辦法（43號(hào)文件）（上位文件）

計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 GB17859-1999（上位標(biāo)準(zhǔn)）

信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 GB/T25058-2008

信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 GB/T22240-2008

信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB/T22239-2008

信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)要求 GB/T25070-2010

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 GB/T28448-2012

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南 GB/T28449-2012


等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系

2017年，《中華人民共和國網(wǎng)絡(luò)安全法》的正式實(shí)施，標(biāo)志著等級(jí)保護(hù)2.0的正式啟動(dòng)。網(wǎng)絡(luò)安全法明確“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。”（第21條）、“國家對(duì)一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)?！保ǖ?1條）。上述要求為網(wǎng)絡(luò)安全等級(jí)保護(hù)賦予了新的含義，重新調(diào)整和修訂等級(jí)保護(hù)1.0標(biāo)準(zhǔn)體系，配合網(wǎng)絡(luò)安全法的實(shí)施和落地，指導(dǎo)用戶按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的新要求，履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的意義重大。

隨著信息技術(shù)的發(fā)展，等級(jí)保護(hù)對(duì)象已經(jīng)從狹義的信息系統(tǒng)，擴(kuò)展到網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)平臺(tái)/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等，基于新技術(shù)和新手段提出新的分等級(jí)的技術(shù)防護(hù)機(jī)制和完善的管理手段是等級(jí)保護(hù)2.0標(biāo)準(zhǔn)必須考慮的內(nèi)容。關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)，基于等級(jí)保護(hù)提出的分等級(jí)的防護(hù)機(jī)制和管理手段提出關(guān)鍵信息基礎(chǔ)設(shè)施的加強(qiáng)保護(hù)措施，確保等級(jí)保護(hù)標(biāo)準(zhǔn)和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)的順利銜接也是等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系需要考慮的內(nèi)容。


等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系主要標(biāo)準(zhǔn)如下：

網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（總要求/上位文件）

計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB 17859-1999）
（上位標(biāo)準(zhǔn)）

網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南（GB/T25058-2020）

網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南（GB/T22240-2020）

網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T22239-2019）

網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求（GB/T25070-2019）

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求（GB/T28448-2019）

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過程指南（GB/T28449-2018）

>>>關(guān)鍵信息基礎(chǔ)設(shè)施標(biāo)準(zhǔn)體系框架如下：

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例（征求意見稿)（總要求/上位文件）

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求（征求意見稿）

關(guān)鍵信息基礎(chǔ)設(shè)施安全控制要求（征求意見稿）

關(guān)鍵信息基礎(chǔ)設(shè)施安全控制評(píng)估方法（征求意見稿）


1、什么是等保2.0?

  等保，即信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求，是我國信息安全保障的一項(xiàng)基本制度，國家通過制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)。

  等保2.0：《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定：“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。”為了貫徹落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》，適應(yīng)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)、新應(yīng)用情況下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作，2019年5月正式發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，正式開啟了等保2.0的時(shí)代。一般認(rèn)為等保2.0是指《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》及其配套標(biāo)準(zhǔn)。

2、等保2.0的變化

  標(biāo)準(zhǔn)的名稱由“信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求”變更為“信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求”。

  調(diào)整分類為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理。

  調(diào)整各個(gè)級(jí)別的安全要求為安全通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求。

  取消了原來安全控制點(diǎn)的S、A、G標(biāo)注，增加一個(gè)附錄A描述等級(jí)保護(hù)對(duì)象的定級(jí)結(jié)果和安全要求之間的關(guān)系，說明如何根據(jù)定級(jí)結(jié)果選擇安全要求。

3、等保的對(duì)象

  由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)，被稱為等級(jí)保護(hù)的對(duì)象，這些系統(tǒng)都要遵守等保2.0的相關(guān)標(biāo)準(zhǔn)。

  等級(jí)保護(hù)對(duì)象，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺(tái)/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等。

4、誰要遵守等級(jí)保護(hù)2.0標(biāo)準(zhǔn)

  根據(jù)“誰主管、誰運(yùn)營，誰負(fù)責(zé)”的原則，網(wǎng)絡(luò)運(yùn)營者成為等級(jí)保護(hù)的責(zé)任主體。

  企業(yè)需要對(duì)其建設(shè)、掌管、運(yùn)營的各類系統(tǒng)的等保負(fù)責(zé)。

  Q：我單位有對(duì)外門戶網(wǎng)站，該門戶網(wǎng)站部署于從云服務(wù)商處租賃的虛擬云服務(wù)器之上，云服務(wù)商對(duì)其云服務(wù)器已經(jīng)完成等保定級(jí)及測(cè)評(píng)等，那我單位是否還需要進(jìn)行等保等工作?

  A：是需要的，云服務(wù)所在的數(shù)據(jù)中心的業(yè)務(wù)系統(tǒng)由云服務(wù)商運(yùn)營，云服務(wù)商須負(fù)責(zé)其建設(shè)、運(yùn)營系統(tǒng)的等保工作，而對(duì)外門戶網(wǎng)站是貴單位建設(shè)、運(yùn)營的，仍需按規(guī)定進(jìn)行等保工作。云服務(wù)商可以配合客戶開展等級(jí)測(cè)評(píng)工作，提供云服務(wù)商側(cè)的等級(jí)保護(hù)測(cè)評(píng)材料。


5、等保2.0中的安全通用要求和擴(kuò)展要求都應(yīng)適用嗎?

  安全通用要求針對(duì)共性化保護(hù)需求提出，等級(jí)保護(hù)對(duì)象無論以何種形式出現(xiàn)，必須根據(jù)安全保護(hù)等級(jí)實(shí)現(xiàn)相應(yīng)級(jí)別的安全通用要求;安全擴(kuò)展要求針對(duì)個(gè)性化保護(hù)需求提出，需要根據(jù)安全保護(hù)等級(jí)和使用的特定技術(shù)或特定的應(yīng)用場(chǎng)景選擇性實(shí)現(xiàn)安全擴(kuò)展要求。

  標(biāo)準(zhǔn)針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)提出了安全擴(kuò)展要求，除應(yīng)符合安全通用要求外，還應(yīng)符合對(duì)應(yīng)的安全擴(kuò)展要求。

  對(duì)于采用其他特殊技術(shù)或處于特殊應(yīng)用場(chǎng)景的等級(jí)保護(hù)對(duì)象，應(yīng)在安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，針對(duì)安全風(fēng)險(xiǎn)采取特殊的安全措施作為補(bǔ)充。


6、如何做等級(jí)保護(hù)工作?

  等保2.0一般有如下5個(gè)步驟，定級(jí)、備案、建設(shè)和整改、等級(jí)測(cè)評(píng)和檢查。

  定級(jí)，為等級(jí)保護(hù)對(duì)象定級(jí)，按照信息的重要程度由低到高分為5個(gè)等級(jí)，1級(jí)為最低、5級(jí)為最高級(jí)別。如果定了1級(jí)，不需要做等級(jí)測(cè)評(píng)，自助進(jìn)行保護(hù)即可;網(wǎng)絡(luò)運(yùn)營者通過自主+專家評(píng)審+主管部門環(huán)節(jié)定級(jí)。

  備案，網(wǎng)絡(luò)運(yùn)營者需要去運(yùn)營地區(qū)的網(wǎng)安部門辦理備案手續(xù)。等級(jí)測(cè)評(píng)：測(cè)試師對(duì)信息系統(tǒng)進(jìn)行安全測(cè)評(píng)，測(cè)評(píng)通過后出具《等級(jí)保護(hù)測(cè)試報(bào)告》。


7、企業(yè)不做等保的相關(guān)處罰


  除非另有規(guī)定，企業(yè)應(yīng)當(dāng)執(zhí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)的相關(guān)工作。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，如不履行網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求，主管機(jī)關(guān)將給予警告，對(duì)單位處以一萬以上十萬以下罰款，以及直接負(fù)責(zé)的主管人員五千元以上五萬元以下的罰款。

  《中華人民共和國網(wǎng)絡(luò)安全法》

  第二十一條國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。

  第五十九條網(wǎng)絡(luò)運(yùn)營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。

8、大數(shù)據(jù)的平臺(tái)和系統(tǒng)也需要符合等保2.0的標(biāo)準(zhǔn)嗎?


  標(biāo)準(zhǔn)中將采用了大數(shù)據(jù)技術(shù)的信息系統(tǒng)，稱為大數(shù)據(jù)系統(tǒng)。大數(shù)據(jù)系統(tǒng)通常由大數(shù)據(jù)平臺(tái)、大數(shù)據(jù)應(yīng)用以及處理的數(shù)據(jù)集合構(gòu)成，大數(shù)據(jù)系統(tǒng)的特征是數(shù)據(jù)體量大、種類多、聚合快、價(jià)值高，受到破壞、泄露或篡改會(huì)對(duì)國家安全、社會(huì)秩序或公共利益造成影響，大數(shù)據(jù)安全涉及大數(shù)據(jù)平臺(tái)的安全和大數(shù)據(jù)應(yīng)用的安全。

  大數(shù)據(jù)平臺(tái)是為大數(shù)據(jù)應(yīng)用提供資源和服務(wù)的支撐集成環(huán)境，包括基礎(chǔ)設(shè)施層、數(shù)據(jù)平臺(tái)層和計(jì)算分析層。大數(shù)據(jù)應(yīng)用是基于大數(shù)據(jù)平臺(tái)對(duì)數(shù)據(jù)的處理過程，通常包括數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)應(yīng)用、數(shù)據(jù)交換和數(shù)據(jù)銷毀等環(huán)節(jié)，上述各個(gè)環(huán)節(jié)均需要對(duì)數(shù)據(jù)進(jìn)行保護(hù)，大數(shù)據(jù)系統(tǒng)除按照等保2.0的標(biāo)準(zhǔn)要求進(jìn)行保護(hù)外，還需要考慮其特點(diǎn)，參照標(biāo)準(zhǔn)附錄補(bǔ)充和完善安全控制措施。



9、等保2.0和關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)是什么關(guān)系?


  關(guān)鍵基礎(chǔ)設(shè)施，是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施。

  國家在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定。

  即如果您的業(yè)務(wù)系統(tǒng)屬于關(guān)鍵基礎(chǔ)設(shè)施，除需符合等級(jí)保護(hù)的要求外，還應(yīng)按照關(guān)鍵基礎(chǔ)設(shè)備的具體安全保護(hù)辦法來保護(hù)。