从等保1.0到等保2.0：6变3不变

从等保1.0到等保2.0

在《GB17859 计算机信息系统安全保护等级划分准则 》以及随后多项政策文件引导下，并最终在2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 》、《GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》等一系列信息安全等级保护标准，一般称之为等保1.0。

等保1.0普及了等保概念，强化了安全意识，从单个系统到部门、到行业，再到上升到国家层面从合规到攻防对抗，整体提升了网络安全保障能力技术并且不断进行人才的积累，这些都对等保2.0提供了有力的支撑。

等保2.0的进化

网络安全等级保护制度，是我国网络安全领域的基本国策、基本制度、基本方法。

2014年3月开始，由公安部牵头组织开展了等级保护重点标准申报国家标准的工作，并从2015年开始陆续对外发布草稿、征集意见稿，修订了通用安全要求，增加了云计算、大数据、移动互联、工控、物联网等安全扩展要求，内容包括 网络安全等级保护基本要求 、安全通用要求和安全扩展要求，我们习惯称为等保2.0。

等保2.0在1.0标准的基础上，更注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

等保2.0有哪些不变？

1 五个级别不变

从第一级到第五级依次是：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。

2 等级保护规定动作不变

规定动作分别为：定级、备案、建设整改、等级测评、监督检查。

3 主体职责不变

等级保护的主体职责为：网安对定级对象的备案受理及监督检查职责、第三方测评机构对定级对象的安全评估职责、上级主管单位对所属单位的安全管理职责、运营使用单位对定级对象的等级保护职责。

等保2.0有哪些变化？

等保2.0在法律法规、标准要求、安全体系、实施环节等方面都有了变化。

1 标准依据的变化

从条例法规提升到法律层面。

等保1.0的最高国家政策是国务院147号令，而等保2.0标准的最高国家政策是《中华人民共和国网络安全法》，其中

第二十一条要求，国家实施网络安全等级保护制度；

第二十五条要求，网络运营者应当制定网络安全事件应急预案；

第三十一条则要求，关键基础设施，在网络安全等级保护制度的基础上，实行重点保护；

第五十九条规定的网络安全保护义务的，由有关主管部门给予处罚。因此不开展等级保护等于违法。

因此不开展等级保护等于违法。

2 标准要求变化

等级2.0标准覆盖度更加全面。等级保护对象必须满足“通用要求+扩展要求”。

通用要求方面，删除了过时的测评项，对测评项进行合理改写，新增对新型网络攻击行为防护和个人信息保护等新要求，调整了标准结构、将安全管理中心从管理层面提升至技术层面。

同时，对云计算、物联网、移动互联网、工业控制、大数据等新技术提出了新的安全扩展要求。

3 安全体系变化

等保2.0相关标准依然采用“一个中心、三重防护”的理念，建立安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综合防御体系，开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。

4 等级规定动作实施过程中

（1）定级对象的变化。

等保1.0定级的对象是信息系统，等保2.0的定级对象包括网络基础设施（广电网、电信网、专用通信网络等）、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等，覆盖面更广。

（2）定级流程的变化。

等保2.0标准不再自主定级，二级及以上系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，整体定级更加严格。

（3）测评合格要求提高

相较于等保1.0，等保2.0测评达的标准发生了变化，2.0中测评结论分为：优（90分及以上）、良（80分及以上）、中（70分及以上）、差（低于70分），70分以上才算基本符合要求，基本分调高了，测评要求更加严格。