等保2.0标准介绍

“等保”，即网络安全等级保护，是我国网络安全领域的基本国策、基本制度。早在2017年8月，公安部评估中心就根据网信办和信安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《信息安全技术 网络安全等级保护基本要求》一个标准。（ GB/T 22239—2019代替 GB/T 22239-2008）该标准于2019年5月10日发布，于2019年12月1日开始实施。

这份标准呢，也就是近期为人所熟知的等保2.0，而等保1.0则为原标准《信息安全技术 信息系统安全等级保护基本要求》（ GB/T 22239-2008）。等保2.0在1.0时代标准的基础上，更加注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
等保分级

除演进过程之外，老生常谈就是几级几级等保要求了。等保根据系统重要程度和被破坏后的危害程度，划分为5个等级：一般称为等保一级到五级，从第一级到第五级依次是：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。

等保一级，安全性太低，没人做；等保五级安全性太高，一般涉密，执行分保。所以在做的等保项目都是二级、三级和四级。

等保二级：县级单位，比如区县医院，学校等；

等保四级：金融、军工、电力等高安全单位；

等保三级：除去二级和四级，三级最多。

《网络安全等级保护基本要求》的附录A为规范性附录，就定级标准的选择和使用做了组合说明。

简单的对应关系如下：

通过等保验收之后，国家公安部会发放《信息系统安全等级保护备案证明》。而相关的处罚措施在《网络安全法》第五十九条中有相关规定:

网络运营者不履行义务的：由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行义务的 ：由有关主管部门责令改正，给予警告； 拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

划重点：用户单位不做等级保护测评，用户单位需要被罚款1万-100万；主管人员需要被罚款5000-100000。
安全通用要求

等保2.0的安全通用要求分类如下：

技术要求部分：安全物理环境、安全通信网络、安全区域边界、安全计算环境；

管理要求部分：安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

和等保1.0标准相比，总体变化不大，等保2.0对要求做了较大幅度的精简。

等保2.0的最大变化是，除了安全通用要求外，还增加了扩展要求，涉及云计算安全、移动互联安全、物联网、工控安全、大数据安全。

等保2.0的内容架构：
等级保护五步曲

等保官方规定了五个步骤：系统定级、备案、建设整改、等级评测、监督检查。

❶ 系统定级： 确定建设几级等保，常规三级；

❷ 备案：二级以上需要到公安机关备案(也就是到公安网安备案。等保2.0标准不再自主定级，二级及以上系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，整体定级更加严格)；

❸ 建设整改：根据等保标准，进行安全建设改造(比如漏洞系统扫出哪些漏洞，需要打补丁或升级；边界需要部署防火墙，IPS等，这些是发现问题，解决问题的过程。有钱的单位问题解决得彻底些，缺钱的解决部分也行，毕竟过等保满不用拿满分)；

❹ 等级评测：具备评测资格的等保评测机构进行评测，评测条目非常细，参考《等保三级基线要求判分标准》。（相较于等保1.0，等保2.0测评的标准发生了变化，2.0中测评结论分为：优（90分及以上）、良（80分及以上）、中（70分及以上）、差（低于70分），70分以上才算基本符合要求，基本分调高了，测评要求更加严格。不过得几分还是评测机构说了算）；

❺ 监督检查：公安网安部门可以定期抽查，这就是定期查水表，很好理解。