2019年5月13日，國家市場監(jiān)督管理總局召開新聞發(fā)布會，正式發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》2.0版本，等保2.0在2019年12月1日正式實施。

隨著等保2.0的發(fā)布實施以及不斷深化，在宣告我國網(wǎng)絡(luò)等級保護制度進入了一個全新時代的同時，也讓“過等?！背蔀橛脩艟W(wǎng)絡(luò)安全合規(guī)建設(shè)的關(guān)鍵詞。

網(wǎng)絡(luò)安全等級保護2.0

一、什么是等級保護

等保即網(wǎng)絡(luò)安全等級保護，等級保護制度是我國網(wǎng)絡(luò)安全的基本制度。等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。

二、為什么要做等級保護

1.國家法律要求：國家法律法規(guī)及行業(yè)監(jiān)管政策都要求開展等級保護工作。如《網(wǎng)絡(luò)安全法》和《信息安全等級保護管理辦法》明確規(guī)定信息系統(tǒng)運營、使用單位應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度要求，履行安全保護義務(wù)，如果拒不履行，將會受到相應(yīng)處罰。

2.行業(yè)客戶服務(wù)要求：信息系統(tǒng)運營單位在向外部客戶提供業(yè)務(wù)服務(wù)時，通過等保測評，能向客戶及利益相關(guān)方展示信息系統(tǒng)安全性承諾，增強客戶、合作伙伴及利益相關(guān)方的信心。

3.企業(yè)自身安全要求：信息系統(tǒng)運營、使用單位通過開展等級保護工作可以發(fā)現(xiàn)系統(tǒng)內(nèi)部的安全隱患與不足之處，可通過安全整改提升系統(tǒng)的安全防護能力，降低被攻擊的風(fēng)險。

三、等級保護等級劃分

網(wǎng)絡(luò)安全等級保護是根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，以及信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益，以及公民、法人和其他組織的合法權(quán)益的危害程度等因素，將信息系統(tǒng)安全等級由低到高分為五個等級。

各級系統(tǒng)定級參考：

第一級（自主保護級）：適用于小型私營、個體企業(yè)、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息系統(tǒng)。

第二級（指導(dǎo)保護級）：適用于縣級某些單位中的重要信息系統(tǒng)；地市級以上國家機關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作機密、商業(yè)機密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。

第三級（監(jiān)督保護級）：一般適用于地市級以上國家機關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)，例如涉及工作機密、商業(yè)機密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、?。▍^(qū)、市）門戶網(wǎng)站和重要網(wǎng)站；跨省連接的網(wǎng)絡(luò)系統(tǒng)等。

第四級（強制保護級）：一般適用于國家重要領(lǐng)域、部門中涉及國計民生、國家利益、國家安全、影響社會穩(wěn)定的核心系統(tǒng)。例如電力生產(chǎn)控制系統(tǒng)、銀行核心業(yè)務(wù)系統(tǒng)、電信核心網(wǎng)絡(luò)、鐵路客票系統(tǒng)、列車指揮調(diào)度系統(tǒng)等。

第五級（?？乇Ｗo級）：一般適用于國家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)。

四、什么是等保2.0

“等級保護2.0”或“等保2.0”是一個約定俗成的說法，指按新的等級保護標準規(guī)范開展工作的統(tǒng)稱。通常認為是《中華人民共和國網(wǎng)絡(luò)安全法》頒布實行后提出，以2019年12月1日，《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》正式實施為象征性標志。

等保2.0標準在1.0時代標準的基礎(chǔ)上，更加注重主動防御，從被動防御到事前、事中、事后全流程的安全可信、動態(tài)感知和全面審計，不僅實現(xiàn)了對傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)的等級保護，還實現(xiàn)了對云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)和工業(yè)控制信息系統(tǒng)的等級保護對象的全覆蓋。

五、等級保護2.0所涉及的行業(yè)：

1.金融，尤其是互聯(lián)網(wǎng)金融 （不做等保不允許經(jīng)營，監(jiān)管最嚴）

2.醫(yī)療 （各大醫(yī)院系統(tǒng)必須做等保，互聯(lián)網(wǎng)醫(yī)療要想上線取得線上診療資質(zhì)，必須過等保）

3.教育 （211，985大學(xué)必須做等保，互聯(lián)網(wǎng)+教育如學(xué)生管理系統(tǒng)、學(xué)校網(wǎng)站等重要系統(tǒng)必須做等保）

4.能源 （上級主管部門要求）

5.通信 ?（上級主管部門要求）

6.交通 ?（上級主管部門要求）

7.政府機關(guān)，企事業(yè)單位，央企（等保和負責(zé)人的績效考核掛鉤）

8.征信行業(yè)（行業(yè)要求必須做等保）

9.軟件開發(fā)（行業(yè)或者甲方要求必須做等保）

10.物聯(lián)網(wǎng)（行業(yè)或者甲方要求必須做等保）

11.工業(yè)數(shù)據(jù)安全（行業(yè)或者甲方要求必須做等保）

12.大數(shù)據(jù)（行業(yè)或者甲方要求必須做等保）

13.云計算 （阿里云，華為云，云電話，云視頻，云服務(wù)等等）

14.快遞行業(yè)（不做等保不能辦理許可證）

15.酒店行業(yè)（行業(yè)要求）

六、等保2.0等級評定

等保2.0沿用了傳統(tǒng)等級保護的“5個等級”。在覆蓋范圍上，等保2.0將等級保護對象從信息系統(tǒng)擴展到網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)等。在定級流程方面，自主定級成為過去式，等保2.0要求系統(tǒng)定級必須經(jīng)過專家評審和主管部門審核，才能到公安機關(guān)備案，整體定級更加嚴格。

測評周期方面，等保2.0要求三級以上系統(tǒng)每年開展一次測評，修改了原先四級系統(tǒng)每半年進行一次等保測評的要求。

測評結(jié)果則要求達到75分以上才算基本符合。

等保2.0評定標準

七、等級保護步驟或流程是什么樣的？

根據(jù)信息系統(tǒng)等級保護相關(guān)標準，等級保護工作總共分五個階段，分別為：系統(tǒng)定級、系統(tǒng)備案、安全建設(shè)/整改、等級測評、主管/監(jiān)管單位定期開展監(jiān)督檢查。