等保2.0实施一周年，重温新规重点，落实合规建设

1 入法

2017 年 6 月 1 日，《中华人民共和国网络安全法》正式实施，等级保护工作正式入法，等级保护制度成为新时期国家网络安全的基本国策和基本制度。

随着我国信息化进程的全面加快，全社会特别是重要行业、重要领域对基础信息网络和重要信息系统的依赖程度越来越高，国家制定了网络安全等级保护 2.0 标准并于2019年5月13日正式发布，以保障信息系统在新技术、新设施、新应用为代表的新经济、新环境下的平稳运行与数据安全。

2 三大核心

2019年12月1日起，网络安全等级保护“三大核心”标准（基本要求、测评要求、实施要求）正式实施，网络安全等级保护工作进入2.0时代。

网络安全等级保护2.0国家通用层面的主要标准已基本形成，这一年来金融、医疗、交通、教育等等，各行业根据本行业的业务场景制定了各自的等保行业标准，行业标准比国家通用的标准更细化、更贴近本行业的业务、场景和安全合规。

3 动态安全保障体系

等保2.0在1.0的基础上，注重全方位主动防御、动态防御、整体防控和精准防护，实现对云计算、物联网、移动互联网、工控系统、大数据等保护对象全覆盖。从保障思路看，等保2.0从被动防御的安全保障体系向事前预防、事中响应、事后审计的动态保障体系转变，更多体现了对抗思维，讲究一切从实战出发，逐步构建主动防御、安全可信、动态感知、全面审计、应急保障的动态安全保障体系。

等保2.0为信息系统安全开辟了一条可落地可操作的道路，将涉及政府机关、金融、电信运营商、能源、企业单位、互联网等行业。从定级、备案、建设、测评、监督、测评五个规定动作，所有非涉密信息系统都得按照等级保护进行建设，为各信息系统提供体系化的指导。

4 等保2.0定级指南

对于11月1日开始实施的等保2.0定级指南（GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南），相关运营者们也需要关注。下面，让我们一起重温下等保2.0定级里有哪几点需要注意。

等级保护对象范围扩大

在等保1.0 保护定级对象“信息系统”的基础上，等级保护2.0的保护定级对象范围扩大了，新增了通信网络设施和数据资源等。各行各业需要根据自身单位所属哪个类别对象展开对应的等级保护。

企业和单位机构等相关运营者们主动查清自身对应的等级类别，并做好响应的保护措施，不仅保护了用户数据，也保护了自身。

等保定级需进行专家评审

在信息化快速发展、信息爆炸的时代背景下，等保1.0的“自主定级、自主保护”定级原则无法满足需求，而等保2.0提出后，需要“规范进行定级”。

从等保2.0定级流程（确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级）可以看出，等保定级需进行专家评审以及公安机关备案审查，才能最终确定等级。

面对多级定级流程，运营者们在初步对应好自身的等级后，需提前做好相关准备。

云平台依旧需要担责

在云计算环境中，很多企业用户误以为“上云”后就不用进行安全保护等级定级。实际上，不管是云资源平台还是云租户侧都需单独作为定级对象。同时云计算平台安全保护等级原则上不低于其承载的业务系统的安全保护等级。

等级定级并非一劳永逸

当运营者面临自身业务范围扩大、缩小，或者业务关闭等的情况下，其自身对应的等级也需根据实际情况重新定级。

按原则，三级以上的系统每年要开展等级测评，也就是说四级系统每年至少保证一次等级测评。这也就意味着，等级定级并非一劳永逸。

等保2.0定级指南的正式实施，也意味着我国对网络安全，尤其是网络数据安全的重视程度加深。

等保2.0实施的这一年时间里，陆续规范定级、备案、建设整改、监督检查五项规定工作内容，而“过等保”成为了各行业合规经营的重首要条件。

5 润成安全等保2.0安全解决方案

润成安全提供的等级保护2.0安全解决方案，基于合规的安全保护，帮助行业用户从整体网络安全的角度进行合理规划与建设，从系统定级、差距测评、系统整改、验收测评、系统备案、运维维护整个生命周期构建合法合规、符合实际需求的安全解决方案。

润成安全严格依照国家、行业有关标准，以“一个中心、三重防护”理念为客户提供等保2.0“一站式”服务，在助力客户安全合规的同时进一步推动客户多层面网络安全防护水平整体提升，不仅是为了帮助用户符合国家相关标准和法律的要求，更是为了贴近实际的安全需求，为网络安全保驾护航。

等保建设非一夕之功，润成安全会持之以恒地输出专业的见解和方案，完善用户的安全防护系统，助力国家等级保护建设工作！

内容综合自网络。
此处仅做行业分享交流，版权归原作者所有，若有疑问请联系删除。