等级保护的10个问题，深刻理解等保2.0

GB/T 22239-2019《信息安全技术网络安全等级保护要求》（以下简称“等保2.0”）已经于2019年12月1日正式实施，对安全等保工作提出了新要求，以下是等级保护的10个问题，指导企业解读等保2.0，以便深入了解国家网络安全等级保护的基本要求。

No.1 什么是等保2.0

等保，即信息安全技术网络安全等级保护要求，是我国信息安全保障的一项基本制度，国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护。
等保1.0：2007年和2008年颁布实施的 《信息安全等级保护管理办法》和《信息安全等级保护基本要求》，这是我们通常认为的等保1.0。
等保2.0：《中华人民共和国网络安全法》第二十一条明确规定：“国家实行网络安全等级保护制度。”为了贯彻落实《中华人民共和国网络安全法》，适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作，2019年5月正式发布《信息安全技术网络安全等级保护基本要求》，正式开启了等保2.0的时代。一般认为等保2.0是指《信息安全技术网络安全等级保护基本要求》及其配套标准。

No.2 等保2.0和等保1.0相比有哪些变化？

《信息安全技术网络安全等级保护基本要求》代替GB/T 22239—2008《信息安全技术信息系统安全等级保护基本要求》，与GB/T 22239—2008相比，主要变化如下：
标准的名称由“信息安全技术 信息系统安全等级保护基本要求”变更为“信息安全技术 网络安全等级保护基本要求”。
调整分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。
取消了原来安全控制点的S、A、G标注，增加一个附录A描述等级保护对象的定级结果和安全要求之间的关系，说明如何根据定级结果选择安全要求。

No.3 什么系统需要遵守等保2.0标准？

由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，被称为等级保护的对象，这些系统都要遵守等保2.0的相关标准。
等级保护对象，主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。

No.4 什么系统不适用等保2.0标准？

等保2.0的标准并不适用如下：
涉密对象的安全建设和监督管理，涉密对象将另行规定和管理；
第五级等级保护对象，等保2.0即《信息安全技术网络安全等级保护基本要求》仅规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。

No.5 谁需要遵守等保2.0标准？

根据“谁主管、谁运营，谁负责”的原则，网络运营者成为等级保护的责任主体。
企业需要对其建设、掌管、运营的各类系统的等保负责。
Q：我单位有对外门户网站，该门户网站部署于从云服务商处租赁的虚拟云服务器之上，云服务商对其云服务器已经完成等保定级及测评等，那我单位是否还需要进行等保等工作？
A：是需要的，云服务所在的数据中心的业务系统由云服务商运营，云服务商须负责其建设、运营系统的等保工作，而对外门户网站是贵单位建设、运营的，仍需按规定进行等保工作。
云服务商可以配合客户开展等级测评工作，提供云服务商侧的等级保护测评材料。

No.6 对于等保2.0中的安全通用要求和安全扩展要求都应适用吗？

安全通用要求针对共性化保护需求提出，等级保护对象无论以何种形式出现，必须根据安全保护等级实现相应级别的安全通用要求；安全扩展要求针对个性化保护需求提出，需要根据安全保护等级和使用的特定技术或特定的应用场景选择性实现安全扩展要求。
标准针对云计算、移动互联、物联网、工业控制系统提出了安全扩展要求，除应符合安全通用要求外，还应符合对应的安全扩展要求。
对于采用其他特殊技术或处于特殊应用场景的等级保护对象，应在安全风险评估的基础上，针对安全风险采取特殊的安全措施作为补充。

No.7 如何做等级保护工作？

等保2.0一般有如下5个步骤，定级、备案、建设和整改、等级测评和检查。
定级，为等级保护对象定级，按照信息的重要程度由低到高分为5个等级，1级为最低、5级为最高级别。如果定了1级，不需要做等级测评，自助进行保护即可；网络运营者通过自主+专家评审+主管部门环节定级。
备案，网络运营者需要去运营地区的网安部门办理备案手续。等级测评，主要是有公安部授权委托的全国100多家测评机构，对信息系统进行安全测评，测评通过后初级《等级保护测试报告》。

No.8 企业是否可以不做等级保护的相关工作？

除非另有规定，企业应当执行网络安全等级保护的相关工作。根据《中华人民共和国网络安全法》相关规定，如不履行网络安全等级保护的要求，主管机关将给予警告，对单位处以一万以上十万以下罚款，以及直接负责的主管人员五千元以上五万元以下的罚款。
《中华人民共和国网络安全法》
第二十一条国家实行网络安全等级保护制度。
第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

No.9 大数据的的平台和系统也需要符合等保2.0的标准吗？

标准中将采用了大数据技术的信息系统，称为大数据系统。大数据系统通常由大数据平台、大数据应用以及处理的数据集合构成，大数据系统的特征是数据体量大、种类多、聚合快、价值高，受到破坏、泄露或篡改会对国家安全、社会秩序或公共利益造成影响，大数据安全涉及大数据平台的安全和大数据应用的安全。
大数据平台是为大数据应用提供资源和服务的支撑集成环境，包括基础设施层、数据平台层和计算分析层。大数据应用是基于大数据平台对数据的处理过程，通常包括数据采集、数据存储、数据应用、数据交换和数据销毁等环节，上述各个环节均需要对数据进行保护，大数据系统除按照等保2.0的标准要求进行保护外，还需要考虑其特点，参照标准附录补充和完善安全控制措施。

No.10 等保2.0和关键基础设施的保护是什么关系？

关键基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。
国家在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
即如果您的业务系统属于关键基础设施，除需符合等级保护的要求外，还应按照关键基础设备的具体安全保护办法来保护。