寫在前面的話

GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護要求》（以下簡稱“等保2.0”）已經(jīng)于2019年12月1日正式實施，對我們的安全等保工作提出了新要求，因此我們以十問的形式解讀等保2.0，以便深入了解國家網(wǎng)絡(luò)安全等級保護的基本要求。

什么是等保2.0？

等保，即信息安全技術(shù)網(wǎng)絡(luò)安全等級保護要求，是我國信息安全保障的一項基本制度，國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護。

等保1.0：2007年和2008年頒布實施的 《信息安全等級保護管理辦法》和《信息安全等級保護基本要求》，這是我們通常認(rèn)為的等保1.0。

等保2.0：《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定：“國家實行網(wǎng)絡(luò)安全等級保護制度?！睘榱素瀼芈鋵崱吨腥A人民共和國網(wǎng)絡(luò)安全法》，適應(yīng)云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)、新應(yīng)用情況下網(wǎng)絡(luò)安全等級保護工作，2019年5月正式發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》，正式開啟了等保2.0的時代。一般認(rèn)為等保2.0是指《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》及其配套標(biāo)準(zhǔn)。

等保2.0和等保1.0相比有哪些變化？

《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》代替GB/T 22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》，與GB/T 22239—2008相比，主要變化如下：

標(biāo)準(zhǔn)的名稱由“信息安全技術(shù)  信息系統(tǒng)安全等級保護基本要求”變更為“信息安全技術(shù)  網(wǎng)絡(luò)安全等級保護基本要求”。

調(diào)整分類為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理。

調(diào)整各個級別的安全要求為安全通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求。

取消了原來安全控制點的S、A、G標(biāo)注，增加一個附錄A描述等級保護對象的定級結(jié)果和安全要求之間的關(guān)系，說明如何根據(jù)定級結(jié)果選擇安全要求。

什么系統(tǒng)需要遵守等保2.0標(biāo)準(zhǔn)？

由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸、交換、處理的系統(tǒng)，被稱為等級保護的對象，這些系統(tǒng)都要遵守等保2.0的相關(guān)標(biāo)準(zhǔn)。

等級保護對象，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術(shù)的系統(tǒng)等。

什么系統(tǒng)不適用等保2.0標(biāo)準(zhǔn)？

同時請注意，等保2.0的標(biāo)準(zhǔn)并不適用如下：

涉密對象的安全建設(shè)和監(jiān)督管理，涉密對象將另行規(guī)定和管理；

第五級等級保護對象，等保2.0即《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》僅規(guī)定了網(wǎng)絡(luò)安全等級保護的第一級到第四級等級保護對象的安全通用要求和安全擴展要求。

誰需要遵守等保2.0標(biāo)準(zhǔn)？

根據(jù)“誰主管、誰運營，誰負(fù)責(zé)”的原則，網(wǎng)絡(luò)運營者成為等級保護的責(zé)任主體。

企業(yè)需要對其建設(shè)、掌管、運營的各類系統(tǒng)的等保負(fù)責(zé)。

Q:我單位有對外門戶網(wǎng)站，該門戶網(wǎng)站部署于從云服務(wù)商處租賃的虛擬云服務(wù)器之上，云服務(wù)商對其云服務(wù)器已經(jīng)完成等保定級及測評等，那我單位是否還需要進行等保等工作？A:

是需要的，云服務(wù)所在的數(shù)據(jù)中心的業(yè)務(wù)系統(tǒng)由云服務(wù)商運營，云服務(wù)商須負(fù)責(zé)其建設(shè)、運營系統(tǒng)的等保工作，而對外門戶網(wǎng)站是貴單位建設(shè)、運營的，仍需按規(guī)定進行等保工作。

云服務(wù)商可以配合客戶開展等級測評工作，提供云服務(wù)商側(cè)的等級保護測評材料。

對于等保2.0中的安全通用要求和安全擴展要求都應(yīng)適用嗎？

是的，安全通用要求針對共性化保護需求提出，等級保護對象無論以何種形式出現(xiàn)，必須根據(jù)安全保護等級實現(xiàn)相應(yīng)級別的安全通用要求；安全擴展要求針對個性化保護需求提出，需要根據(jù)安全保護等級和使用的特定技術(shù)或特定的應(yīng)用場景選擇性實現(xiàn)安全擴展要求。

標(biāo)準(zhǔn)針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)提出了安全擴展要求，除應(yīng)符合安全通用要求外，還應(yīng)符合對應(yīng)的安全擴展要求。

對于采用其他特殊技術(shù)或處于特殊應(yīng)用場景的等級保護對象，應(yīng)在安全風(fēng)險評估的基礎(chǔ)上，針對安全風(fēng)險采取特殊的安全措施作為補充。

如何做等級保護工作？

等保2.0一般有如下5個步驟，定級、備案、建設(shè)和整改、等級測評和檢查。

定級，為等級保護對象定級，按照信息的重要程度由低到高分為5個等級，1級為最低、5級為最高級別。如果定了1級，不需要做等級測評，自助進行保護即可；網(wǎng)絡(luò)運營者通過自主+專家評審+主管部門環(huán)節(jié)定級。

備案，網(wǎng)絡(luò)運營者需要去運營地區(qū)的網(wǎng)安部門辦理備案手續(xù)。等級測評，主要是有公安部授權(quán)委托的全國100多家測評機構(gòu)，對信息系統(tǒng)進行安全測評，測評通過后初級《等級保護測試報告》。

企業(yè)是否可以不做等級保護的相關(guān)工作？

除非另有規(guī)定，企業(yè)應(yīng)當(dāng)執(zhí)行網(wǎng)絡(luò)安全等級保護的相關(guān)工作。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，如不履行網(wǎng)絡(luò)安全等級保護的要求，主管機關(guān)將給予警告，對單位處以一萬以上十萬以下罰款，以及直接負(fù)責(zé)的主管人員五千元以上五萬元以下的罰款。

《中華人民共和國網(wǎng)絡(luò)安全法》

第二十一條 國家實行網(wǎng)絡(luò)安全等級保護制度?！?。

第五十九條網(wǎng)絡(luò)運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。

大數(shù)據(jù)的的平臺和系統(tǒng)也需要符合等保2.0的標(biāo)準(zhǔn)嗎？

是的。標(biāo)準(zhǔn)中將采用了大數(shù)據(jù)技術(shù)的信息系統(tǒng)，稱為大數(shù)據(jù)系統(tǒng)。大數(shù)據(jù)系統(tǒng)通常由大數(shù)據(jù)平臺、大數(shù)據(jù)應(yīng)用以及處理的數(shù)據(jù)集合構(gòu)成，大數(shù)據(jù)系統(tǒng)的特征是數(shù)據(jù)體量大、種類多、聚合快、價值高，受到破壞、泄露或篡改會對國家安全、社會秩序或公共利益造成影響，大數(shù)據(jù)安全涉及大數(shù)據(jù)平臺的安全和大數(shù)據(jù)應(yīng)用的安全。

大數(shù)據(jù)平臺是為大數(shù)據(jù)應(yīng)用提供資源和服務(wù)的支撐集成環(huán)境，包括基礎(chǔ)設(shè)施層、數(shù)據(jù)平臺層和計算分析層。大數(shù)據(jù)應(yīng)用是基于大數(shù)據(jù)平臺對數(shù)據(jù)的處理過程，通常包括數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)應(yīng)用、數(shù)據(jù)交換和數(shù)據(jù)銷毀等環(huán)節(jié)，上述各個環(huán)節(jié)均需要對數(shù)據(jù)進行保護，大數(shù)據(jù)系統(tǒng)除按照等保2.0的標(biāo)準(zhǔn)要求進行保護外，還需要考慮其特點，參照標(biāo)準(zhǔn)附錄補充和完善安全控制措施。

等保2.0和關(guān)鍵基礎(chǔ)設(shè)施的保護是什么關(guān)系？

關(guān)鍵基礎(chǔ)設(shè)施，是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施。

國家在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護辦法由國務(wù)院制定。

即如果您的業(yè)務(wù)系統(tǒng)屬于關(guān)鍵基礎(chǔ)設(shè)施，除需符合等級保護的要求外，還應(yīng)按照關(guān)鍵基礎(chǔ)設(shè)備的具體安全保護辦法來保護。