GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求》（以下簡(jiǎn)稱“等保2.0”）已經(jīng)于2019年12月1日正式實(shí)施，對(duì)我們的安全等保工作提出了新要求，因此我們以十問(wèn)的形式解讀等保2.0，以便深入了解國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)的基本要求。

? 什么是等保2.0？

? 等保，即信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求，是我國(guó)信息安全保障的一項(xiàng)基本制度，國(guó)家通過(guò)制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)。

? 等保1.0：2007年和2008年頒布實(shí)施的 《信息安全等級(jí)保護(hù)管理辦法》和《信息安全等級(jí)保護(hù)基本要求》，這是我們通常認(rèn)為的等保1.0。

? 等保2.0：《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定：“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度?！睘榱素瀼芈鋵?shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，適應(yīng)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)、新應(yīng)用情況下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作，2019年5月正式發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，正式開(kāi)啟了等保2.0的時(shí)代。一般認(rèn)為等保2.0是指《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》及其配套標(biāo)準(zhǔn)。

? 等保2.0和等保1.0相比有哪些變化？

? 《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》代替GB/T 22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，與GB/T 22239—2008相比，主要變化如下：

? 標(biāo)準(zhǔn)的名稱由“信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求”變更為“信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求”。

? 調(diào)整分類為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理。

? 調(diào)整各個(gè)級(jí)別的安全要求為安全通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求。

? 取消了原來(lái)安全控制點(diǎn)的S、A、G標(biāo)注，增加一個(gè)附錄A描述等級(jí)保護(hù)對(duì)象的定級(jí)結(jié)果和安全要求之間的關(guān)系，說(shuō)明如何根據(jù)定級(jí)結(jié)果選擇安全要求。

? 什么系統(tǒng)需要遵守等保2.0標(biāo)準(zhǔn)？

? 由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)，被稱為等級(jí)保護(hù)的對(duì)象，這些系統(tǒng)都要遵守等保2.0的相關(guān)標(biāo)準(zhǔn)。

? 等級(jí)保護(hù)對(duì)象，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺(tái)/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等。

? 什么系統(tǒng)不適用等保2.0標(biāo)準(zhǔn)？

? 同時(shí)請(qǐng)注意，等保2.0的標(biāo)準(zhǔn)并不適用如下：

? 涉密對(duì)象的安全建設(shè)和監(jiān)督管理，涉密對(duì)象將另行規(guī)定和管理；

? 第五級(jí)等級(jí)保護(hù)對(duì)象，等保2.0即《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》僅規(guī)定了網(wǎng)絡(luò)安全等級(jí)保護(hù)的第一級(jí)到第四級(jí)等級(jí)保護(hù)對(duì)象的安全通用要求和安全擴(kuò)展要求。

? 誰(shuí)需要遵守等保2.0標(biāo)準(zhǔn)？

? 根據(jù)“誰(shuí)主管、誰(shuí)運(yùn)營(yíng)，誰(shuí)負(fù)責(zé)”的原則，網(wǎng)絡(luò)運(yùn)營(yíng)者成為等級(jí)保護(hù)的責(zé)任主體。

? 企業(yè)需要對(duì)其建設(shè)、掌管、運(yùn)營(yíng)的各類系統(tǒng)的等保負(fù)責(zé)。

? Q:我單位有對(duì)外門(mén)戶網(wǎng)站，該門(mén)戶網(wǎng)站部署于從云服務(wù)商處租賃的虛擬云服務(wù)器之上，云服務(wù)商對(duì)其云服務(wù)器已經(jīng)完成等保定級(jí)及測(cè)評(píng)等，那我單位是否還需要進(jìn)行等保等工作？A:

? 是需要的，云服務(wù)所在的數(shù)據(jù)中心的業(yè)務(wù)系統(tǒng)由云服務(wù)商運(yùn)營(yíng)，云服務(wù)商須負(fù)責(zé)其建設(shè)、運(yùn)營(yíng)系統(tǒng)的等保工作，而對(duì)外門(mén)戶網(wǎng)站是貴單位建設(shè)、運(yùn)營(yíng)的，仍需按規(guī)定進(jìn)行等保工作。

? 云服務(wù)商可以配合客戶開(kāi)展等級(jí)測(cè)評(píng)工作，提供云服務(wù)商側(cè)的等級(jí)保護(hù)測(cè)評(píng)材料。

? 對(duì)于等保2.0中的安全通用要求和安全擴(kuò)展要求都應(yīng)適用嗎？

? 是的，安全通用要求針對(duì)共性化保護(hù)需求提出，等級(jí)保護(hù)對(duì)象無(wú)論以何種形式出現(xiàn)，必須根據(jù)安全保護(hù)等級(jí)實(shí)現(xiàn)相應(yīng)級(jí)別的安全通用要求；安全擴(kuò)展要求針對(duì)個(gè)性化保護(hù)需求提出，需要根據(jù)安全保護(hù)等級(jí)和使用的特定技術(shù)或特定的應(yīng)用場(chǎng)景選擇性實(shí)現(xiàn)安全擴(kuò)展要求。

? 標(biāo)準(zhǔn)針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)提出了安全擴(kuò)展要求，除應(yīng)符合安全通用要求外，還應(yīng)符合對(duì)應(yīng)的安全擴(kuò)展要求。

? 對(duì)于采用其他特殊技術(shù)或處于特殊應(yīng)用場(chǎng)景的等級(jí)保護(hù)對(duì)象，應(yīng)在安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，針對(duì)安全風(fēng)險(xiǎn)采取特殊的安全措施作為補(bǔ)充。

? 如何做等級(jí)保護(hù)工作？

? 等保2.0一般有如下5個(gè)步驟，定級(jí)、備案、建設(shè)和整改、等級(jí)測(cè)評(píng)和檢查。

? 定級(jí)，為等級(jí)保護(hù)對(duì)象定級(jí)，按照信息的重要程度由低到高分為5個(gè)等級(jí)，1級(jí)為最低、5級(jí)為最高級(jí)別。如果定了1級(jí)，不需要做等級(jí)測(cè)評(píng)，自助進(jìn)行保護(hù)即可；網(wǎng)絡(luò)運(yùn)營(yíng)者通過(guò)自主+專家評(píng)審+主管部門(mén)環(huán)節(jié)定級(jí)。

? 備案，網(wǎng)絡(luò)運(yùn)營(yíng)者需要去運(yùn)營(yíng)地區(qū)的網(wǎng)安部門(mén)辦理備案手續(xù)。等級(jí)測(cè)評(píng)，主要是有公安部授權(quán)委托的全國(guó)100多家測(cè)評(píng)機(jī)構(gòu)，對(duì)信息系統(tǒng)進(jìn)行安全測(cè)評(píng)，測(cè)評(píng)通過(guò)后初級(jí)《等級(jí)保護(hù)測(cè)試報(bào)告》。

? 企業(yè)是否可以不做等級(jí)保護(hù)的相關(guān)工作？

? 除非另有規(guī)定，企業(yè)應(yīng)當(dāng)執(zhí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)的相關(guān)工作。根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，如不履行網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求，主管機(jī)關(guān)將給予警告，對(duì)單位處以一萬(wàn)以上十萬(wàn)以下罰款，以及直接負(fù)責(zé)的主管人員五千元以上五萬(wàn)元以下的罰款。

? 《中華人民共和國(guó)網(wǎng)絡(luò)安全法》

? 第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度?！?。

? 第五十九條網(wǎng)絡(luò)運(yùn)營(yíng)者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門(mén)責(zé)令改正，給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。

? 大數(shù)據(jù)的的平臺(tái)和系統(tǒng)也需要符合等保2.0的標(biāo)準(zhǔn)嗎？

? 是的。標(biāo)準(zhǔn)中將采用了大數(shù)據(jù)技術(shù)的信息系統(tǒng)，稱為大數(shù)據(jù)系統(tǒng)。大數(shù)據(jù)系統(tǒng)通常由大數(shù)據(jù)平臺(tái)、大數(shù)據(jù)應(yīng)用以及處理的數(shù)據(jù)集合構(gòu)成，大數(shù)據(jù)系統(tǒng)的特征是數(shù)據(jù)體量大、種類多、聚合快、價(jià)值高，受到破壞、泄露或篡改會(huì)對(duì)國(guó)家安全、社會(huì)秩序或公共利益造成影響，大數(shù)據(jù)安全涉及大數(shù)據(jù)平臺(tái)的安全和大數(shù)據(jù)應(yīng)用的安全。

? 大數(shù)據(jù)平臺(tái)是為大數(shù)據(jù)應(yīng)用提供資源和服務(wù)的支撐集成環(huán)境，包括基礎(chǔ)設(shè)施層、數(shù)據(jù)平臺(tái)層和計(jì)算分析層。大數(shù)據(jù)應(yīng)用是基于大數(shù)據(jù)平臺(tái)對(duì)數(shù)據(jù)的處理過(guò)程，通常包括數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)應(yīng)用、數(shù)據(jù)交換和數(shù)據(jù)銷毀等環(huán)節(jié)，上述各個(gè)環(huán)節(jié)均需要對(duì)數(shù)據(jù)進(jìn)行保護(hù)，大數(shù)據(jù)系統(tǒng)除按照等保2.0的標(biāo)準(zhǔn)要求進(jìn)行保護(hù)外，還需要考慮其特點(diǎn)，參照標(biāo)準(zhǔn)附錄補(bǔ)充和完善安全控制措施。

? 等保2.0和關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)是什么關(guān)系？

? 關(guān)鍵基礎(chǔ)設(shè)施，是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施。

? 國(guó)家在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。

? 即如果您的業(yè)務(wù)系統(tǒng)屬于關(guān)鍵基礎(chǔ)設(shè)施，除需符合等級(jí)保護(hù)的要求外，還應(yīng)按照關(guān)鍵基礎(chǔ)設(shè)備的具體安全保護(hù)辦法來(lái)保護(hù)。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ----------來(lái)源:國(guó)網(wǎng)大數(shù)據(jù)中心