等級(jí)保護(hù)2.0自2019年12月1日正式實(shí)施起，到現(xiàn)在已經(jīng)有兩個(gè)多月的時(shí)間，但是仍然有剛剛進(jìn)入等保領(lǐng)域的“萌新”反饋，需要小編再做一個(gè)簡(jiǎn)單的介紹，那么今天的干貨內(nèi)容，我們就來一起了解什么是等保2.0，最新實(shí)施的2.0又和之前的1.0有哪些區(qū)別，新增了什么？

等保2.0的概念

等保2.0全稱網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度，是我國(guó)網(wǎng)絡(luò)安全領(lǐng)域的基本國(guó)策、基本制度。等級(jí)保護(hù)標(biāo)準(zhǔn)在1.0時(shí)代標(biāo)準(zhǔn)的基礎(chǔ)上，注重主動(dòng)防御，從被動(dòng)防御到事前、事中、事后全流程的安全可信、動(dòng)態(tài)感知和全面審計(jì)，實(shí)現(xiàn)了對(duì)傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)和工業(yè)控制信息系統(tǒng)等級(jí)保護(hù)對(duì)象的全覆蓋。

實(shí)施原則

根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》精神，明確了以下基本原則：

自主保護(hù)原則：信息系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門按照國(guó)家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全保護(hù)等級(jí)，自行組織實(shí)施安全保護(hù)。

重點(diǎn)保護(hù)原則：根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過劃分不同安全保護(hù)等級(jí)的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。

同步建設(shè)原則：信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。

動(dòng)態(tài)調(diào)整原則：要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。由于信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全保護(hù)等級(jí)需要變更的，應(yīng)當(dāng)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全保護(hù)等級(jí)，根據(jù)信息系統(tǒng)安全保護(hù)等級(jí)的調(diào)整情況，重新實(shí)施安全保護(hù)。

等保2.0不變之處

1、五個(gè)級(jí)別不變

從第一級(jí)到第五級(jí)依次是：用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、訪問驗(yàn)證保護(hù)級(jí)。

2、規(guī)定動(dòng)作不變

規(guī)定動(dòng)作分別為：定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查。

3、主體職責(zé)不變

等級(jí)保護(hù)的主體職責(zé)為：網(wǎng)安對(duì)定級(jí)對(duì)象的備案受理及監(jiān)督檢查職責(zé)、第三方測(cè)評(píng)機(jī)構(gòu)對(duì)定級(jí)對(duì)象的安全評(píng)估職責(zé)、上級(jí)主管單位對(duì)所屬單位的安全管理職責(zé)、運(yùn)營(yíng)使用單位對(duì)定級(jí)對(duì)象的等級(jí)保護(hù)職責(zé)。

2.0與1.0的不同

1、名稱變化

《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 改為：《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，與《網(wǎng)絡(luò)安全法》保持一致。

2、定級(jí)對(duì)象變化

等保進(jìn)入2.0時(shí)代，保護(hù)對(duì)象從傳統(tǒng)的網(wǎng)絡(luò)和信息系統(tǒng)，向“云移物工大”上擴(kuò)展，基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)、互聯(lián)網(wǎng)、大數(shù)據(jù)中心、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)系統(tǒng)、移動(dòng)互聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、公眾服務(wù)平臺(tái)等都納入了等級(jí)保護(hù)的范圍。

3、安全要求變化

等保2.0由一個(gè)單獨(dú)的基本要求演變?yōu)橥ㄓ冒踩?新技術(shù)安全擴(kuò)展要求，其中安全通用要求是不管等級(jí)保護(hù)對(duì)象形態(tài)如何都必須滿足的要求，針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)提出了特殊要求，稱為安全擴(kuò)展要求。

其中，云計(jì)算安全擴(kuò)展要求包括“基礎(chǔ)設(shè)施的位置”、“虛擬化安全保護(hù)”、“鏡像和快照保護(hù)”、“云服務(wù)商選擇”和“云計(jì)算環(huán)境管理”等方面。移動(dòng)互聯(lián)安全擴(kuò)展要求包括“無線接入點(diǎn)的地理位置”、“移動(dòng)終端管控”、“移動(dòng)應(yīng)用管控”、“移動(dòng)應(yīng)用軟件采購(gòu)”和“移動(dòng)應(yīng)用軟件開發(fā)”等方面。物聯(lián)網(wǎng)安全擴(kuò)展要求包括“感知節(jié)點(diǎn)的物理保護(hù)”、“感知節(jié)點(diǎn)設(shè)備安全”、“感知網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全”、“感知節(jié)點(diǎn)的管理”和“數(shù)據(jù)融合處理”等方面。工業(yè)控制系統(tǒng)安全擴(kuò)展要求包括“室外控制設(shè)備防護(hù)”、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”、“撥號(hào)使用控制”、“無線使用控制”和“控制設(shè)備安全”等方面。

4、控制措施分類結(jié)構(gòu)變化

等保2.0控制措施的分類結(jié)構(gòu)調(diào)整，充分體現(xiàn)“一個(gè)中心、三重防護(hù)”的思想。其中技術(shù)部分調(diào)整為：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心。管理部分調(diào)整為：安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理

5、工作內(nèi)涵變化

等保2.0不僅進(jìn)一步明確定級(jí)、備案、安全建設(shè)、等級(jí)測(cè)評(píng)、監(jiān)督檢查等1.0時(shí)代的規(guī)定動(dòng)作，最主要的是把安全檢測(cè)、通報(bào)預(yù)警、案事件調(diào)查等措施都將全部納入等級(jí)保護(hù)制度并加以實(shí)施。

實(shí)施等保2.0原因

因?yàn)榈缺?.0不僅缺乏對(duì)一些新技術(shù)和新應(yīng)用的等級(jí)保護(hù)規(guī)范，比如大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)等；而且在風(fēng)險(xiǎn)評(píng)估、安全監(jiān)測(cè)和通報(bào)預(yù)警等工作和政策、標(biāo)準(zhǔn)、測(cè)評(píng)、技術(shù)和服務(wù)等體系方面不完善。為適應(yīng)新技術(shù)的發(fā)展，解決云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工控領(lǐng)域信息系統(tǒng)的等級(jí)保護(hù)工作的需要，由公安部組織牽頭開展了信息技術(shù)新領(lǐng)域等級(jí)保護(hù)重點(diǎn)標(biāo)準(zhǔn)申報(bào)國(guó)家標(biāo)準(zhǔn)的工作，等級(jí)保護(hù)正式進(jìn)入2.0時(shí)代。

等保2.0的發(fā)布，是對(duì)除傳統(tǒng)信息系統(tǒng)之外的新型網(wǎng)絡(luò)系統(tǒng)安全防護(hù)能力提升的有效補(bǔ)充，是貫徹落實(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、實(shí)現(xiàn)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略目標(biāo)的基礎(chǔ)。

網(wǎng)絡(luò)安全等級(jí)保護(hù)注意事項(xiàng)

1、等級(jí)測(cè)評(píng)并非安全認(rèn)證

很多人認(rèn)為等保測(cè)評(píng)相當(dāng)于網(wǎng)絡(luò)安全認(rèn)證，但目前等級(jí)保護(hù)測(cè)評(píng)是由公安部授權(quán)委托的全國(guó)一百多家測(cè)評(píng)機(jī)構(gòu)，對(duì)信息系統(tǒng)進(jìn)行安全測(cè)評(píng)，測(cè)評(píng)通過后出具《等級(jí)保護(hù)測(cè)評(píng)報(bào)告》，拿到了符合等保安全要求的測(cè)評(píng)報(bào)告就證明該信息系統(tǒng)符合了等級(jí)保護(hù)的安全要求。

2、過等保不能一勞永逸

等保制度只是基線的要求，通過測(cè)評(píng)、整改，落實(shí)等級(jí)保護(hù)制度，確實(shí)可以規(guī)避大部分的安全風(fēng)險(xiǎn)。但就目前的測(cè)評(píng)結(jié)果來看，幾乎沒有任何一個(gè)被測(cè)系統(tǒng)能全部滿足等保要求。一般情況下，目前等級(jí)保護(hù)測(cè)評(píng)過程中，只要沒發(fā)現(xiàn)高危安全風(fēng)險(xiǎn)，都可以通過測(cè)評(píng)。但是，安全是一個(gè)動(dòng)態(tài)而非靜止的過程，而不是通過一次測(cè)評(píng)，就可以一勞永逸的。 企業(yè)通過落實(shí)等保安全要求，并嚴(yán)格執(zhí)行各項(xiàng)安全管理的規(guī)章制度，基本能做到系統(tǒng)的安全穩(wěn)定運(yùn)行。但依然不能百分百保證系統(tǒng)的安全性。

3、內(nèi)網(wǎng)系統(tǒng)也需要做等級(jí)測(cè)評(píng)

首先，所有非涉密系統(tǒng)都屬于等級(jí)保護(hù)范疇，和系統(tǒng)在外網(wǎng)還是內(nèi)網(wǎng)沒有關(guān)系；《網(wǎng)絡(luò)安全法》規(guī)定，等級(jí)保護(hù)的對(duì)象是在中華人民共和國(guó)境內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)和使用的網(wǎng)絡(luò)與信息系統(tǒng)。因此，不管是內(nèi)網(wǎng)還是外網(wǎng)系統(tǒng)，都需要符合等級(jí)保護(hù)安全的要求。

其次，在內(nèi)網(wǎng)的系統(tǒng)往往其網(wǎng)絡(luò)安全技術(shù)措施做的并不好，甚至不少系統(tǒng)已經(jīng)中毒不淺。2017年肆虐全球的永恒之藍(lán)勒索病毒攻擊，導(dǎo)致了大量?jī)?nèi)網(wǎng)系統(tǒng)癱瘓，這提醒我們內(nèi)網(wǎng)系統(tǒng)的安全防護(hù)同樣不能馬虎。所以不論系統(tǒng)在內(nèi)網(wǎng)還是外網(wǎng)都得及時(shí)開展等保工作。

4、系統(tǒng)上云或者托管在其他地方也需做等級(jí)測(cè)評(píng)

目前，比較多的小型企業(yè)客戶偏向于把系統(tǒng)部署在云平臺(tái)與IDC機(jī)房。這些云平臺(tái)、IDC機(jī)房一般都通過了等級(jí)測(cè)評(píng)。不過，根據(jù)“誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)，誰(shuí)主管誰(shuí)負(fù)責(zé)”的原則，系統(tǒng)責(zé)任主體仍然還是屬于網(wǎng)絡(luò)運(yùn)營(yíng)者自己，所以，還是得承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任，該進(jìn)行系統(tǒng)定級(jí)的還是得定級(jí)，該做等保的還是得做等保。

5、謹(jǐn)慎定級(jí)

目前等級(jí)保護(hù)對(duì)象（信息系統(tǒng)）的安全級(jí)別分為五個(gè)等級(jí)：1級(jí)為最低級(jí)別，5級(jí)為最高級(jí)別（5級(jí)為預(yù)留級(jí)別，市面上已定級(jí)的系統(tǒng)最高為4級(jí)）。如果定了1級(jí)，不需要做等級(jí)測(cè)評(píng)，自主進(jìn)行保護(hù)即可。定2級(jí)以上就需要進(jìn)行等級(jí)測(cè)評(píng)。系統(tǒng)級(jí)別的確定需要根據(jù)系統(tǒng)的重要性進(jìn)行決定。如果定高了，有可能造成投資的浪費(fèi)；定低了則有可能造成重要信息系統(tǒng)得不到應(yīng)有的保護(hù)，應(yīng)該謹(jǐn)慎定級(jí)。

等保1.0的要求是自主定級(jí)，有主管部門的需要主管部門審核，最終報(bào)送公安機(jī)關(guān)進(jìn)行審核。等保2.0之后定級(jí)流程新增了“專家評(píng)審”和“主管部門審核”兩個(gè)環(huán)節(jié)，這樣定級(jí)過程將會(huì)變得更加規(guī)范，定級(jí)也會(huì)更加準(zhǔn)確。

6、系統(tǒng)備案場(chǎng)所

《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，等級(jí)保護(hù)的主體單位為信息系統(tǒng)的運(yùn)營(yíng)、使用單位。備案主體一般不會(huì)是開發(fā)商、系統(tǒng)集成商，而是最終的用戶方。目前有些單位的注冊(cè)地跟運(yùn)營(yíng)地不一致，正常情況下需要去運(yùn)營(yíng)地區(qū)的網(wǎng)安部門辦理備案手續(xù)。

有些單位的系統(tǒng)部署在云平臺(tái)，云平臺(tái)的實(shí)際物理地址往往和云系統(tǒng)網(wǎng)絡(luò)運(yùn)營(yíng)者不在同一地址。而且，有些單位的運(yùn)維團(tuán)隊(duì)和注冊(cè)經(jīng)營(yíng)地址也不一致。這種情況下，云系統(tǒng)應(yīng)當(dāng)在系統(tǒng)實(shí)際運(yùn)維團(tuán)隊(duì)所在地市網(wǎng)安部門進(jìn)行系統(tǒng)備案，因?yàn)檫@樣會(huì)方便屬地公安對(duì)系統(tǒng)進(jìn)行監(jiān)管。

所以，大部分情況下，還是需要到系統(tǒng)的運(yùn)維人員實(shí)際所在地進(jìn)行定級(jí)備案。當(dāng)然也有一些特殊行業(yè)的要求，比如一些涉及到金融安全的行業(yè)，比如互聯(lián)網(wǎng)金融系統(tǒng)、支付系統(tǒng)需要屬地化管理，這些系統(tǒng)需要在注冊(cè)地辦理定級(jí)備案手續(xù)，以滿足本地的監(jiān)管要求。

7、等保測(cè)評(píng)按需選擇

整改花多少錢取決于你的信息系統(tǒng)等級(jí)、系統(tǒng)現(xiàn)有的安全防護(hù)措施狀況以及網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)測(cè)評(píng)分?jǐn)?shù)的期望值，不一定要花很多錢甚至不花錢。

整改的內(nèi)容大體分為：安全制度完善、安全加固等安全服務(wù)以及安全設(shè)備的添置。在安全制度及安全加固上網(wǎng)絡(luò)運(yùn)營(yíng)者自己可以做很多整改工作或者委托系統(tǒng)集成方進(jìn)行加固，往往這是不需要額外付費(fèi)的或者是包含在你和系統(tǒng)集成方合同約定中的，這兩塊內(nèi)容整改好，加上你有一定的安全技術(shù)措施，基本上是可以達(dá)到基本符合的結(jié)論的。所以花多少錢看你怎么去做或者你的期望值是多少。文章來源地址http://www.zghlxwxcb.cn/news/detail-614417.html

到了這里，關(guān)于等保2.0丨5分鐘速覽：小白也能看懂的等保2.0介紹的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！