网络安全等级保护2.0(网络安全等级保护2.0国家标准)

一、网络安全等级保护2.0

信息系统，通信网络设施，云计算环境，

二、网络安全等级保护2.0国家标准

等保2.0新标准会对网络安全带来重要改变，等级保护工作也面临显著的变化，可从定级对象范围与可信计算的强化两方面了解，具体如下：

1、“等保2.0”新标准中，每一级都新增了云计算安全、移动互联安全、物联网安全、工业控制系统安全和大数据安全5个扩展要求，以应对新兴技术安全需求。

2、相比“等保1.0”将定级对象统一定义为信息系统，《网络安全等级保护定级指南》对定级对象的具体范围根据扩展要求进行了细化，云计算平台方面，定级对象将区分为服务的提供方和租户方；物联网方面，感知、网络传输和处理应用等特征因素不单独定级，将作为一个整体进行评定；移动互联方面，移动终端、移动应用、无线网络、相关有线网络业务系统等也将统一定级；大数据方面，安全责任主体相同的平台和应用将整体定级，除此之外为单独定级。

3、网络运营者在实施定级工作时，应当确定自身作为定级对象应当满足的基本特征，若从事基础信息网络、工控系统、云计算、物联网、大数据等特定领域服务的，还应符合相应的要求。

4、《网络安全等级保护基本要求》中强化了可信计算，充分体现一个中心、三重防御的思想，由被动防御变成主动防御，并强化可信计算安全技术要求的使用；具体表现为在安全通信网络、安全区域边界、安全计算环境三个分类中，均增加了可信验证控制点。

三、网络安全等级保护2.0标准中的安全等级保护的对象包括

终端、网络、、服务器、存储。

信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。

在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护。

四、网络安全等级保护2.0标准正式实施的时间是

《中华人民共和国网络安全法》的正式实施，标志着等级保护2.0的正式启动。网络安全法明确“国家实行网络安全等级保护制度。”“国家对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”

五、网络安全等级保护2.0标准中的等级保护对象

《保密法》第十条将国家秘密的等级分为绝密、机密、秘密三级，并原则规定了区分三个等级的标准：

绝密级国家秘密是最重要的国家秘密，泄露会使国家安全和利益遭受特别严重的损害；

机密级国家秘密是重要的国家秘密，泄露会使国家安全和利益遭受严重的损害；

秘密级国家秘密是一般的国家秘密，泄露会使国家安全和利益遭受损害。

六、网络安全等级保护2.0发布时间

网络安全等级保护制度国家标准将于6月27日起正式生效。网络安全等级保护制度是国家网络安全领域的基本制度、基本国策，等级保护制度国家标准更加突出技术思维和立体防护，注重全方位主动防御、动态防御、整体防控和精准防护，将进一步指导各单位、各部门做好网络安全等级保护工作。

七、网络安全等级保护2.0标准体系中的技术要求

国家标准 GB/T222392019《信息安全技术 网络安全等级保护基本要求》在开展网络安全等级保护工作的过程中将起到非常重要的作用，广泛应用于各行业和领域开展网络安全等级保护的建设整改和等级测评等工作。

国家出台网络安全基本要求，是在传统信息系统安全等级保护基本要求基础上，针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域，加入了扩展的安全要求。

八、网络安全等级保护2.0实施时间

2017 年，《网络安全法》首次提出 “网络安全等级保护制度” 的概念，并明确相关具体要求。

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

2018 年，《网络安全等级保护条例（征求意见稿）》提出 “国家实行网络安全等级保护制度，对网络实施分等级保护、分等级监管”，并阐述了相关工作原则、网络等级、技术要求等内容。《等级保护条例》更新了由《信息安全等级保护管理办法》建立的信息安全等级保护制度，标志着国家对信息安全技术与网络安全保护迈入 2.0 时代。

作为《网络安全法》的重要配套法规，《保护条例》对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设提出了更加具体、操作性也更强的要求，为开展等级保护工作提供了重要的法律支撑。

2019 年，若干国家标准陆续出台，推动了安全等级保护制度的建设。

等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。

九、网络安全等级保护2.0的三个标准

网络安全等级条例将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象，并将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施全部纳入等级保护制度。

十、网络安全等级保护2.0标准,系统登记保护工作过程

不懂等级保护的朋友，也许很容易出现这样的错误。不少首次咨询等保测评服务的朋友，很容易这样说，你好，我想做等保3.0，您这里可以帮忙吗?一听这哥们这样说话，我就知道他是不清楚信息安全等级保护或者网络安全等级保护的。因为目前只有等保1.0或者等保2.0的说法，还没有等保3.0。一般有人说等保3.0，就知道这个人一定是没有对等级保护了解清楚，错把等保三级测评当成了等保3.0。

其实等保1.0\等保2.0说得是一系列的等级保护测评标准和法规的统称而已，不是具体的等级保护分级。而等保三级测评，就是第三级别的测评，是在等保1.0中是国家信息安全等级保护认证第三级别的缩写，在等保2.0中是网络安全等级保护认证第三级别的缩写。这是在进行了定级备案后，开展等级保护测评时需要重点关注的。对于需要开展等级保护测评的企业/事业单位，需要提交定级备案申请，由当地公安机关审核通过后才知道的。定级二级以上的，都需要开展整改、测评工作。因此，在您想要咨询相关的等级保护测评服务时，弄清楚以上概念，可以便于沟通交流，获得更合理的答案

十一、网络安全等级保护2.0的具体内容是什么?

信息安全等级保护就是分等级保护、分等级监管，是将全国的信息系统(包括网络)按照重要性和遭受损坏后的危害性分成五个安全保护等级(从第一级到第五级，逐级增高)；等级确定后，第二级(含)以上信息系统到公安机关备案，公安机关对备案材料和定级准确性进行审核，审核合格后颁发备案证明；备案单位根据信息系统安全等级，按照国家标准开展安全建设整改，建设安全设施、落实安全措施、落实安全责任、建立和落实安全管理制度：备案单位选择符合国家规定条件的测评机构开展等级测评；公安机关对第二级信息系统进行指导，对第三、四级信息系统定期开展监督、检查。

根据《信息安全等级保护管理办法》的规定，等级保护工作主要分为五个环节，定级、备案、建设整改、等级测评和监督检查。其中定级是信息安全等级保护的首要环节，通过定级，可以梳理各行业、各部门、各单位的信息系统类型、重要程度和数量等，确定信息安全保护的重点。而安全建设整改是落实信息安全等级保护工作的关键，通过建设整改使具有不同等级的信息系统达到相应等级的基本保护能力，从而提高我国基础网络和重要信息系统整体防护能力。等级测评工作的主体是第三方测评机构，通过开展等级测评，可以检验和评价信息系统安全建设整改工作的成效，判断安全保护能力是否达到相关标准要求。监督检查工作的主体是公安机关等信息安全职能部门，通过开展监督、检查和指导，维护重要信息系统安全和国家安全。