等保2.0用户最关心的十六问

5月13日，网络安全等级保护技术2.0版本（简称等保2.0）正式公开发布，为落实信息系统安全工作提供了有力方向和依据。

那么，等保2.0究竟发生了哪些变化？等保2.0时代，企业如何做好安全体系建设？就广大合作伙伴关心的一系列问题，我们走访了集团公司前场专业安全服务管理中心负责人卜祥正，江湖人称“飘哥”，和大家一起聊聊关于等保2.0用户最关心的一系列问题。

一、 什么是等级保护2.0？

答：网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

一句话概括：两个对象，三重管理。

二、 为什么要开展等级保护2.0工作？

答：主要有以下几个原因：

1）法律法规要求

2017年6月1日，《中华人民共和国网络安全法》的正式实施，将网络安全等级保护由基本制度、基本国策，上升为法律。

一句话概括：不做等保，没法向行业主管单位汇报本单位网络安全工作。

3）企业系统安全需求

落实等保2.0最重要的原因是：通过开展等级保护工作，可发现系统与国家安全标准之间存在的差距，查明系统内部存在的安全隐患与不足之处，通过安全整改，提升系统的安全防护能力，降低被攻击的风险。

一句话概括：等保是网络安全抓手，帮助企业发现和降低安全风险。

三、 等级保护与网络安全法、关键信息基础设施保护、风险评估的关系？

一句话概括：网络安全法奠定了等级保护的法律地位，等级保护是关键信息基础设施保护的基础，风险评估是等级保护的出发点。

四、 从防护思路的角度来说，等保2.0最核心的变化是什么？

答：等保2.0采取“一个中心、三重防御”的理念，一个中心指“安全管理中心”，三重防御指“安全计算环境、安全区域边界、安全通信网络”；等保2.0的核心变化是从等保1.0的被动防御向等保2.0的事前预防、事中响应、事后审计的动态、主动保障体系转变，注重全方位主动防御、安全可信、动态感知和全面审计。

一句话概括：等保2.0更强调主动防御。

五、 等保2.0要求下，用户应重点关注哪些工作？

答：主要关注以下三点：

（1）明确等级保护对象：通信网络设施、信息系统(包含采用移动互联等技术的系统)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统等。

（2）确定等级保护对象的安全等级。

（3）根据不同对象的安全保护等级完成安全建设或安全整改工作。应针对等级保护对象特点建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系。应依据国家网络安全等级保护政策和标准,开展组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。

一句话概括：明确等保对象，确定等级，合规建设。

六、 等级保护的对象可以是一个基础网络吗？

答：可以。

等级保护2.0的标准名称由“信息系统安全等级保护”变更为“网络安全等级保护”，与《网络安全法》保持一致；这表明，等级保护的对象从传统的信息系统，扩展为基本信息网络、信息系统、云计算平台/系统、大数据平台/系统、物联网、工业控制系统等。

一句话概括：等级保护对象包括基本信息网络、信息系统、云计算平台/系统、大数据平台/系统、物联网、工业控制系统等。

七、 信息系统是否可以按低级别定级？

答：不可以。

等保2.0不再是自主定级，而是采取以国家行政机关持续监督的“明确等级、增强保护、常态监督”方式进行定级。

等保2.0的定级流程包括5个环节：确定定级对象——初步定级——专家评审——主管部门审核——公安机关备案审查；等保2.0强调系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，整体定级更加严格，将促进定级过程更加规范，系统定级更加合理。

一句话概括：等保2.0不再自主定级，必须经过专家评审，主管部门审核。

八、 去哪里进行信息系统备案，且备案时间是多久？

答：各地区要求不同，绝大部分地方规定：各地级市的单位将定级资料交给各自地级市的网安支队，省级单位将资料交给省公安网安总队。

另外等保2.0要求：二级以上的网络运营者应当在网络安全等级保护等级确定后的10个工作日内进行备案，不再是原有的30天内备案，备案时间缩短。

一句话概括：到当地公安网安部门进行系统备案，备案时间为10个工作日内。

九、 系统建设要求方面有哪些变化？

答：安全要求方面：等保2.0要求同时满足“通用要求+安全扩展”的要求。

安全控制措施：等保2.0保留了等保1.0的技术和管理两个维度，但控制措施变更为:

技术上：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心；值得一提的是：等保2.0将安全管理中心从管理层面提升至技术层面。

管理上：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

一句话概括：每个级别的安全要求均由安全通用要求和安全扩展要求构成，且安全控制措施细分为10大类。

十、 多久需要做一次信息系统测评？且测评分数达到多少分合格？

答：相较于等保1.0，等保2.0测评周期更改为：第三级以上的系统每年开展一次测评，取消了原先1.0时期对于四级系统每半年进行一次等保测评的要求；同时，等保2.0对于测评基本分的要求提高了，从原来的60分以上基本符合，调整为75分以上才算基本符合。

一句话概括：第三级以上的系统每年开展一次测评，且75分以上才算基本符合。

十一、 如果原先已过了等保，等保2.0后，单位是否需要增加保护措施？

答：等保1.0强调一个中心三重防护，以防为主，等保2.0在1.0的基础上，更加强调全方面主动防御、防御领域拓展，测评要求提升，如：

一句话概括：如果原先已经做了等保，且通过了等保测评，仍需按照新的等保2.0要求，进行更新，查漏补缺。

十二、 等保2.0下云计算环境如何实施？

答：云等保不是新鲜的事物，而是在原等保框架下的新事物的扩展，因此云等保各环节应与传统等保相同，包括定级、备案、建设整改、测评、监督检查等。等保框架下新增加的元素需要对原有等级保护相关工作的具体内容进行扩充。

一句话概括：从定级、备案、建设整改、测评、监督检查五个层面实施，重点关注云服务商和云租户的职责划分。

十三、 如果不做等保，会有什么样的处罚？

答：《网络安全法》第五十九条明确了处罚条款：

下表是等级保护处罚的典型案例：

一句话概括：如果不做等保，用户单位可能被罚款1-10万元；直接负责的主管人员被罚款5000-5万元；对于关键基础设施的运营者处罚更严重，不仅处罚额度更高，且损失了声誉。

十四、 等保2.0的关键时间点有哪些？

一句话概括：等保2.0已于2019年5月13日正式发布，于2019年12月1日开始实施。

十五、 等保2.0带来哪些商机？

答：主要有以下几个方面：

1）等保2.0变为普适性制度相比等保1.0拓展了一个维度：

覆盖技术更全面：技术上不再只针对传统网络和信息系统，等保2.0把包括传统网络安全、云计算、物联网、移动互联、工业控制、大数据等在内所有新技术纳入监管。

监管范围更广：监管对象从体制内的党政机关、重要部门和央企国企等拓展到了全社会。更有法可依。

2）所有网络运营者都要落实开展网络安全等级保护，将成为未来企业合规运营的必经之路，因而将催生国内信息安全市场释放新的巨大需求：

市场方面：等保2.0带来的行业每年增量市场预计在550亿以上，而传统网安企业级市场目前不到350亿，弹性足够，新业务放量将带动传统公司进入加速增长轨道。云计算、物联网、大数据等相关产业也将迎来爆发式增长，未来市场增量的想象空间极大。

业务方面：等保2.0相关的安全建设和整改、测评、检查全过程对技术专业度要求较高，对企业而言，是否顺利通过等保具有一定不确定性，直接利好与等级测评，保护等业务最紧密相关的厂商。预计前期测评、自查等咨询服务、态势感知、SOC等主动防御产品、自主可控、各类讲话和政治局会议中多次提及的网络内容安全等业务都将迎来快速发展。网络安全、网络内容安全、保密领域的如启明星辰等龙头厂商以其技术优势和产品服务的完备性将迎来发展良机。

一句话概括：覆盖技术更全面，监管范围更广泛，增加了极大的市场容量和业务空间。

十六、 是否具有等级保护一站式解决方案？

答：集团公司作为全部参与等保2.0三个部分（基本要求、测评要求、安全设计技术要求）起草单位的安全厂商，具备信息安全等级保护安全建设服务机构能力评估合格证书，也是国内极具实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。等保2.0解决方案根据保护对象面临的安全风险，以等级保护安全框架为依据，融合安全技术体系，安全管理体系，安全服务体系，为用户构建具备相应等级安全防护能力的主动防御体系。下面以三级要求为例，列出等保安全产品（服务）清单：

一句话概括：我们拥有高度覆盖等级保护2.0要求的安全产品，提供符合等级保护2.0建设过程的专业安全服务以及辐射全国的专业技术支撑团队，可以为用户提供一站式、全流程、多场景的等级保护2.0解决方案。