2019年5月13日，国家市场监督管理总局召开新闻发布会，正式发布《信息安全技术网络安全等级保护基本要求》2.0版本，等保2.0于2019年12月1日正式实施。

（一）什么是等保2.0？

等保，即网络安全等级保护标准。2007年，《信息安全等级保护管理办法》颁布，我国信息安全等级保护制度正式实施；2008年，《信息安全等级保护基本要求》颁布，这部法规被称为等保1.0；2019年5月，网络安全等级保护制度2.0标准正式发布，包括网络安全等级保护的基本要求、测评要求、安全设计技术要求三个部分。

（二）等保2.0相比等保1.0的主要变化

（1）标准名称变化。等保2.0将标准名称改为《信息安全技术网络安全等级保护基本要求》，与《网络安全法》保持一致。其适用于各地区、各单位、各部门、各企业、各机构，覆盖全社会。

（2）定级对象变化。等保2.0将原等保1.0的定级对象由信息系统扩展至信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。

（3）安全要求变化。等保2.0将安全要求分为了安全通用要求和扩展要求。首先，安全通用要求部分对1.0标准的内容进行了优化，删除或修订了过时的要求项，新增了对新型网络攻击行为防护和个人信息保护等方面的新要求。其次，针对云计算、移动互联、物联网、工业控制系统等提出了新的安全扩展要求，在使用新技术的信息系统需要同时满足“通用要求+扩展要求”。

（4）控制措施分类结构变化。等保2.0依旧保留技术和管理两个维度。

- 在技术上，由物理安全、网络安全、主机安全、应用安全、数据安全，变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心；

- 在管理上，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理，调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

（5）规定动作优化调整。由等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作，变更为五个规定动作+新的安全要求，即风险评估、安全监测、通报预警、态势感知等。等保2.0标准不再自主定级，二级及以上系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，整体定级更加严格；同时，70分以上才算基本符合要求，测评要求更加严格。

下图为等保1.0和等保2.0控制措施分类结果的变化：

等保测评整改，一定要找专业有资质的服务商。

SCA安全通信联盟始终关注安全通信和身份认证领域，亦在信息安全领域提供中立、专业的GDPR、网络安全等级保护、信息安全技术认证、相关合规的咨询和培训服务。欢迎关注SCA官方微信公众号“奥航智讯”留言讨论。