等级保护新标准2.0解读

2019年，等保20相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准正式发布，并于2019年12月1日开始实施，我国也正式迈入等保20时代。

下面是等保20三大核心新标准的介绍：

1、GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》

该项标准是等级保护标准体系的核心，对2008版标准中提出的基本要求进行了修改完善，形成安全通用要求；对云计算、大数据、移动互联、物联网、工业控制等新技术和新应用领域，提出了安全扩展要求。

2、GB/T25070-2019 《信息安全技术 网络等级保护安全设计技术要求》

该标准主要对共性安全保护目标提出通用安全设计技术要求，该标准适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施，也可作为网络安全职能部门进行监督、检查和指导的依据。

3、GB/T28448-2019 《信息安全技术 网络安全等级保护测评要求》

该标准与等级保护基本要求保持一致，主要明确了测评对象、测评判定规则等内容。该标准为安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象的安全状况进行安全测评提供指南。信息安全监管职能部门进行网络安全等级保护监督检查时参考使用。

此外，从等保10到等保20，等级保护发生的主要变化有：

1、意义的变化

由信息安全等级保护→网络安全等级保护，强调网络空间安全。网络安全法第21条、第31条明确规定了网络运营者和关键信息基础设施运营者，都应该按网络安全等级保护制度的要求对系统进行安全保护，以法律的形式确定等级保护工作为国家网络安全的基本国策，并在法律层面确立了其在网络安全领域的基础、核心地位。

2、对象的变化

新等保实现了保护对象的全覆盖，更具普适性与指导性，对象扩大了（包括基础网络），通用要求加扩展要求（工控、云计算、大数据、物联网、移动互联），更适应当前信息化高速发展所面临的新问题新挑战。

3、定级的变化

三级系统的定级新增了一类受侵害客体：对于公民、法人和其他组织的合法权益造成严重影响的应定为三级。

4、测评标准的变化

测评要求的测评单元中增加了测评对象项，进一步明确了测评的对象。测评条件更具适应性但是要求更严格（复测评周期、测评控制项的减少、合规基线上调测评75分以上合格，当然这部分要求在部分地区部分行业主管单位现行等保标准也有基于现状及预期效果有d性要求、例如个别地区卫健委要求医院等保初次等保测评合格分数基线为80分，复测评合格分数基线为85分）、某省金融行业等保测评合格分数基线为90分。四级及以上系统复测评周期延长，改为一年为复测评周期，兼顾考虑了实际等级保护工作所面临的复杂情况，更符合实际工作的场景。

5、定级备案实施方面的变化

等保20在定级备案实施也发生了变化，在备案环节原30天内备案的时间缩短为10个工作日。等保20的定级，不是自主定级，到公安机关定级备案前要新增两个关键环节，确保定级备案的严谨与准确，第一对于定级对象的等级要经过专家评审，第二要经得主管部门审核通过，才能到公安机关备案确定最终等级保护对象的级别，整体定级更加严格。新建的第三级以上定级对象，通过等级测评后方可投入运行，加强“同步性”原则。

6、其他

从等级保护20框架中能够体现“一个中心，三重防护”的思想得以升华，等保20标准体系相比现行等保标准的安全体系更注重动态防御（变被动防护为主动防护，变静态防护为动态防护，变单点防护为整体防控，变粗放防护为精准防护），强调事前预防、事中响应、事后审计。等级保护20体系中要求应依据国家网络安全等级保护政策和标准，开展组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。

等保20首次加入了可信计算的相关要求并分级逐级提出可采用可信验证的要求。注意是可采用不是应采用。另外在恶意代码防范方面三级系统要求或采用主动免疫可信验证机制。四级以上恶意代码防范方面要求应采用主动免疫可信验证机制。

等保20新增个人信息保护内容，个人信息安全做为网络安全法的内容在等保要求控制项中也独立出现，在当前政务互通、人物互联，个人信息被广泛采集的商业、政务环境下，意指提升个人信息保护的重要性和必要性。

指根据信息系统在国家安全、社会稳定、经济秩序和公共利益方便的中重要程度以及风险威胁、安全需求、安全成本等因素，将其划分不同的安全保护等级并采取相应等级的安全保护技术、管理措施、以保障信息系统安全和信息安全。

等级保护制度是我国网络安全的基本制度。层次化保护是指对国家重要信息、法人和其他组织、公民的专有信息以及公共信息和存储、传输、处理此类信息的信息系统进行层次化安全保护。

相关信息介绍：

等保20全称网络安全等级保护20制度，是我国网络安全领域的基本国策、基本制度。

等级保护标准在10时代标准的基础上，注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。