通付盾为您解读等保2.0时代该如何应对

　　等保1.0主要针对的是传统信息系统，有一定的局限性，尤其是云计算、大数据等新技术的应用得当广泛运用后，等保1.0显然已经落伍了。近日，网络安全等级保护技术2.0版本（简称等保2.0）正式公开发布，等保的业务范围从信息安全扩大到网络安全，为落实信息系统安全工作提供了方向和依据。下面我们就来了解一下何为等保2.0。

　　一、什么是等级保护

　　网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构，依据《信息安全技术网络安全等级保护基本要求》等技术标准，定期对信息系统开展测评工作。

　　二、为何要做等级保护

　　（一）法律规章要求

　　《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求，履行安全保护义务，如果拒不履行，将会受到相应处罚。

　　第二十一条规定：

第三十八条规定：

第五十九条规定：

（二）行业要求

　　在金融、电力、广电、医疗、教育等行业，主管单位明确要求从业机构的信息系统要开展等级保护工作。

　　（三）企业系统安全的需求

　　信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处，可通过安全整改提升系统的安全防护能力，降低被攻击的风险。

　　三、等级保护的发展历程

　　1994年，《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”，等级保护制度正式被提出。

　　2016年10月，公安部网络安全保卫局对原有国家标准《信息安全技术信息系统安全等级保护基本要求（GB/T 22239-2008）》等系列标准进行修订。2017年6月，《网络安全法》正式出台，信息安全等级保护过渡到网络安全等级保护，法规明确要求国家实施等保制度。2019年5月，随着《信息安全技术网络安全等级保护基本要求（GB/T 22239-2019）》《信息安全技术网络安全等级保护测评要求（GB/T 28448-2019）》等标准的正式发布，标志着等保2.0全面启动。

四、等保2.0较等保1.0的变化

　　结构的变化

要求项的变化

　　扩展要求的变化

　　从等保1.0到等保2.0，变化差异主要体现如下：

　　安全通用要求；

　　云计算扩展要求；

　　移动互联安全扩展要求；

　　物联网安全扩展要求；

　　工业控制系统安全扩展要求。

　　等保1.0只针对网络和信息系统，等保2.0则把云计算、大数据、物联网等新业态也纳入了监管，将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，与《中华人民共和国网络安全法》中的相关法律条文保持一致。无论是自身法律效力亦或法律依据的效力位阶，等保2.0均高于等保1.0，等保1.0到2.0不仅仅是制度修订，技术的升级，更是法律效力的提升。