寫在前面的話

GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)要求》（以下簡稱“等保2.0”）已經(jīng)于2019年12月1日正式實(shí)施，對我們的安全等保工作提出了新要求，因此我們以十問的形式解讀等保2.0，以便深入了解國家網(wǎng)絡(luò)安全等級保護(hù)的基本要求。

什么是等保2.0？

等保，即信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)要求，是我國信息安全保障的一項(xiàng)基本制度，國家通過制定統(tǒng)一的信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對信息系統(tǒng)分等級實(shí)行安全保護(hù)。

等保1.0：2007年和2008年頒布實(shí)施的 《信息安全等級保護(hù)管理辦法》和《信息安全等級保護(hù)基本要求》，這是我們通常認(rèn)為的等保1.0。

等保2.0：《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定：“國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。”為了貫徹落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》，適應(yīng)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)、新應(yīng)用情況下網(wǎng)絡(luò)安全等級保護(hù)工作，2019年5月正式發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》，正式開啟了等保2.0的時(shí)代。一般認(rèn)為等保2.0是指《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》及其配套標(biāo)準(zhǔn)。

等保2.0和等保1.0相比有哪些變化？

《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》代替GB/T 22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》，與GB/T 22239—2008相比，主要變化如下：

標(biāo)準(zhǔn)的名稱由“信息安全技術(shù)  信息系統(tǒng)安全等級保護(hù)基本要求”變更為“信息安全技術(shù)  網(wǎng)絡(luò)安全等級保護(hù)基本要求”。

調(diào)整分類為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理。

調(diào)整各個(gè)級別的安全要求為安全通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求。

取消了原來安全控制點(diǎn)的S、A、G標(biāo)注，增加一個(gè)附錄A描述等級保護(hù)對象的定級結(jié)果和安全要求之間的關(guān)系，說明如何根據(jù)定級結(jié)果選擇安全要求。

什么系統(tǒng)需要遵守等保2.0標(biāo)準(zhǔn)？

由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲、傳輸、交換、處理的系統(tǒng)，被稱為等級保護(hù)的對象，這些系統(tǒng)都要遵守等保2.0的相關(guān)標(biāo)準(zhǔn)。

等級保護(hù)對象，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等。

什么系統(tǒng)不適用等保2.0標(biāo)準(zhǔn)？

同時(shí)請注意，等保2.0的標(biāo)準(zhǔn)并不適用如下：

涉密對象的安全建設(shè)和監(jiān)督管理，涉密對象將另行規(guī)定和管理；

第五級等級保護(hù)對象，等保2.0即《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》僅規(guī)定了網(wǎng)絡(luò)安全等級保護(hù)的第一級到第四級等級保護(hù)對象的安全通用要求和安全擴(kuò)展要求。

誰需要遵守等保2.0標(biāo)準(zhǔn)？

根據(jù)“誰主管、誰運(yùn)營，誰負(fù)責(zé)”的原則，網(wǎng)絡(luò)運(yùn)營者成為等級保護(hù)的責(zé)任主體。

企業(yè)需要對其建設(shè)、掌管、運(yùn)營的各類系統(tǒng)的等保負(fù)責(zé)。

Q:我單位有對外門戶網(wǎng)站，該門戶網(wǎng)站部署于從云服務(wù)商處租賃的虛擬云服務(wù)器之上，云服務(wù)商對其云服務(wù)器已經(jīng)完成等保定級及測評等，那我單位是否還需要進(jìn)行等保等工作？A:

是需要的，云服務(wù)所在的數(shù)據(jù)中心的業(yè)務(wù)系統(tǒng)由云服務(wù)商運(yùn)營，云服務(wù)商須負(fù)責(zé)其建設(shè)、運(yùn)營系統(tǒng)的等保工作，而對外門戶網(wǎng)站是貴單位建設(shè)、運(yùn)營的，仍需按規(guī)定進(jìn)行等保工作。

云服務(wù)商可以配合客戶開展等級測評工作，提供云服務(wù)商側(cè)的等級保護(hù)測評材料。

對于等保2.0中的安全通用要求和安全擴(kuò)展要求都應(yīng)適用嗎？

是的，安全通用要求針對共性化保護(hù)需求提出，等級保護(hù)對象無論以何種形式出現(xiàn)，必須根據(jù)安全保護(hù)等級實(shí)現(xiàn)相應(yīng)級別的安全通用要求；安全擴(kuò)展要求針對個(gè)性化保護(hù)需求提出，需要根據(jù)安全保護(hù)等級和使用的特定技術(shù)或特定的應(yīng)用場景選擇性實(shí)現(xiàn)安全擴(kuò)展要求。

標(biāo)準(zhǔn)針對云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)提出了安全擴(kuò)展要求，除應(yīng)符合安全通用要求外，還應(yīng)符合對應(yīng)的安全擴(kuò)展要求。

對于采用其他特殊技術(shù)或處于特殊應(yīng)用場景的等級保護(hù)對象，應(yīng)在安全風(fēng)險(xiǎn)評估的基礎(chǔ)上，針對安全風(fēng)險(xiǎn)采取特殊的安全措施作為補(bǔ)充。

如何做等級保護(hù)工作？

等保2.0一般有如下5個(gè)步驟，定級、備案、建設(shè)和整改、等級測評和檢查。

定級，為等級保護(hù)對象定級，按照信息的重要程度由低到高分為5個(gè)等級，1級為最低、5級為最高級別。如果定了1級，不需要做等級測評，自助進(jìn)行保護(hù)即可；網(wǎng)絡(luò)運(yùn)營者通過自主+專家評審+主管部門環(huán)節(jié)定級。

備案，網(wǎng)絡(luò)運(yùn)營者需要去運(yùn)營地區(qū)的網(wǎng)安部門辦理備案手續(xù)。等級測評，主要是有公安部授權(quán)委托的全國100多家測評機(jī)構(gòu)，對信息系統(tǒng)進(jìn)行安全測評，測評通過后初級《等級保護(hù)測試報(bào)告》。

企業(yè)是否可以不做等級保護(hù)的相關(guān)工作？

除非另有規(guī)定，企業(yè)應(yīng)當(dāng)執(zhí)行網(wǎng)絡(luò)安全等級保護(hù)的相關(guān)工作。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，如不履行網(wǎng)絡(luò)安全等級保護(hù)的要求，主管機(jī)關(guān)將給予警告，對單位處以一萬以上十萬以下罰款，以及直接負(fù)責(zé)的主管人員五千元以上五萬元以下的罰款。

《中華人民共和國網(wǎng)絡(luò)安全法》

第二十一條 國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。…… 。

第五十九條網(wǎng)絡(luò)運(yùn)營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。

大數(shù)據(jù)的的平臺和系統(tǒng)也需要符合等保2.0的標(biāo)準(zhǔn)嗎？

是的。標(biāo)準(zhǔn)中將采用了大數(shù)據(jù)技術(shù)的信息系統(tǒng)，稱為大數(shù)據(jù)系統(tǒng)。大數(shù)據(jù)系統(tǒng)通常由大數(shù)據(jù)平臺、大數(shù)據(jù)應(yīng)用以及處理的數(shù)據(jù)集合構(gòu)成，大數(shù)據(jù)系統(tǒng)的特征是數(shù)據(jù)體量大、種類多、聚合快、價(jià)值高，受到破壞、泄露或篡改會對國家安全、社會秩序或公共利益造成影響，大數(shù)據(jù)安全涉及大數(shù)據(jù)平臺的安全和大數(shù)據(jù)應(yīng)用的安全。

大數(shù)據(jù)平臺是為大數(shù)據(jù)應(yīng)用提供資源和服務(wù)的支撐集成環(huán)境，包括基礎(chǔ)設(shè)施層、數(shù)據(jù)平臺層和計(jì)算分析層。大數(shù)據(jù)應(yīng)用是基于大數(shù)據(jù)平臺對數(shù)據(jù)的處理過程，通常包括數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)應(yīng)用、數(shù)據(jù)交換和數(shù)據(jù)銷毀等環(huán)節(jié)，上述各個(gè)環(huán)節(jié)均需要對數(shù)據(jù)進(jìn)行保護(hù)，大數(shù)據(jù)系統(tǒng)除按照等保2.0的標(biāo)準(zhǔn)要求進(jìn)行保護(hù)外，還需要考慮其特點(diǎn)，參照標(biāo)準(zhǔn)附錄補(bǔ)充和完善安全控制措施。

等保2.0和關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)是什么關(guān)系？

關(guān)鍵基礎(chǔ)設(shè)施，是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施。

國家在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定。

即如果您的業(yè)務(wù)系統(tǒng)屬于關(guān)鍵基礎(chǔ)設(shè)施，除需符合等級保護(hù)的要求外，還應(yīng)按照關(guān)鍵基礎(chǔ)設(shè)備的具體安全保護(hù)辦法來保護(hù)。