等保2.0解讀

2019年5月13日，國家市場監督管理總局召開新聞發布會，正式發布《信息安全技術網絡安全等級保護基本要求》2.0版本，等保2.0在2019年12月1日正式實施。

隨著等保2.0的發布實施以及不斷深化，在宣告我國網絡等級保護制度進入了壹個全新時代的同時，也讓“過等保”成為用戶網絡安全合規建設的關鍵詞。

網絡安全等級保護2.0

壹、什麽是等級保護

等保即網絡安全等級保護，等級保護制度是我國網絡安全的基本制度。等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

二、為什麽要做等級保護

1.國家法律要求：國家法律法規及行業監管政策都要求開展等級保護工作。如《網絡安全法》和《信息安全等級保護管理辦法》明確規定信息系統運營、使用單位應當按照網絡安全等級保護制度要求，履行安全保護義務，如果拒不履行，將會受到相應處罰。

2.行業客戶服務要求：信息系統運營單位在向外部客戶提供業務服務時，通過等保測評，能向客戶及利益相關方展示信息系統安全性承諾，增強客戶、合作夥伴及利益相關方的信心。

3.企業自身安全要求：信息系統運營、使用單位通過開展等級保護工作可以發現系統內部的安全隱患與不足之處，可通過安全整改提升系統的安全防護能力，降低被攻擊的風險。

三、等級保護等級劃分

網絡安全等級保護是根據信息系統在國家安全、經濟建設、社會生活中的重要程度，以及信息系統遭到破壞後對國家安全、社會秩序、公***利益，以及公民、法人和其他組織的合法權益的危害程度等因素，將信息系統安全等級由低到高分為五個等級。

各級系統定級參考：

第壹級（自主保護級）：適用於小型私營、個體企業、中小學、鄉鎮所屬信息系統、縣級單位中壹般的信息系統。

第二級（指導保護級）：適用於縣級某些單位中的重要信息系統；地市級以上國家機關、企事業單位內部壹般的信息系統。例如非涉及工作機密、商業機密、敏感信息的辦公系統和管理系統等。

第三級（監督保護級）：壹般適用於地市級以上國家機關、企業、事業單位內部重要的信息系統，例如涉及工作機密、商業機密、敏感信息的辦公系統和管理系統；跨省或全國聯網運行的用於生產、調度、管理、指揮、作業、控制等方面的重要信息系統以及這類系統在省、地市的分支系統；中央各部委、省（區、市）門戶網站和重要網站；跨省連接的網絡系統等。

第四級（強制保護級）：壹般適用於國家重要領域、部門中涉及國計民生、國家利益、國家安全、影響社會穩定的核心系統。例如電力生產控制系統、銀行核心業務系統、電信核心網絡、鐵路客票系統、列車指揮調度系統等。

第五級（專控保護級）：壹般適用於國家重要領域、重要部門中的極端重要系統。

四、什麽是等保2.0

“等級保護2.0”或“等保2.0”是壹個約定俗成的說法，指按新的等級保護標準規範開展工作的統稱。通常認為是《中華人民***和國網絡安全法》頒布實行後提出，以2019年12月1日，《GB/T 22239-2019 信息安全技術網絡安全等級保護基本要求》正式實施為象征性標誌。

等保2.0標準在1.0時代標準的基礎上，更加註重主動防禦，從被動防禦到事前、事中、事後全流程的安全可信、動態感知和全面審計，不僅實現了對傳統信息系統、基礎信息網絡的等級保護，還實現了對雲計算、大數據、物聯網、移動互聯網和工業控制信息系統的等級保護對象的全覆蓋。

五、等級保護2.0所涉及的行業：

1.金融，尤其是互聯網金融（不做等保不允許經營，監管最嚴）

2.醫療（各大醫院系統必須做等保，互聯網醫療要想上線取得線上診療資質，必須過等保）

3.教育（211，985大學必須做等保，互聯網+教育如學生管理系統、學校網站等重要系統必須做等保）

4.能源（上級主管部門要求）

5.通信（上級主管部門要求）

6.交通（上級主管部門要求）