等保2.0的變化及各方職責解析

網絡安全法是網絡安全領域的基本法，其中明確規定了國家實行網絡安全等級保護制度，以及建立關鍵信息基礎設施安全保護制度。網絡安全等級保護制度是國家的基本制度，關鍵信息基礎設施在網絡安全等級保護制度的基礎上實行重點保護。

公安部信息安全等級保護評估中心副研究員馬力簡要解析了等保2.0與1.0變化與改進，例如在基本要求方面：

（1）名稱的變化：將原標準的“信息系統安全等級保護”改為“網絡安全等級保護”，與網絡安全法保持一致；

（2）對象的變化：由原來的“信息系統”改為“等級保護對象”；

（3）安全要求的變化：等保1.0中規定的安全要求，在等保2.0中修改為安全通用要求和安全擴展要求，增加了云計算、工業控制系統、移動互聯、物聯網等安全場景下的擴展要求；

（4）分類結構的變化：如圖2所示；

（5）其他變化：此外還有在安全控制點方面的改進，強化可信計算技術的使用等等一系列改進。

圖2 等保標準分類結構的變化

圖3 定級要素與安全保護等級的關系（來源：綠盟科技）

根據網絡安全等級保護相關標準，等級保護工作總共分五個階段：系統定級、系統備案、建設整改、系統測評、監督檢查。

在各個環節上分別有不同的主管部門負責具體的職責，定級對象建設完成后，運營、使用單位或者其主管部門應當選擇符合國家要求的測評機構，依據相關網絡安全等級保護測評要求，定期對定級對象安全等級狀況開展等級測評。

安恒信息總結，監管單位作為督導部門，對信息系統網絡安全情況負有監督、指導的職責，由公安、網信、行業主管部門協作履行監管職能。測評機構是系統運營使用單位等保2.0建設情況的“裁判官”，必須對等保2.0涉及到的云計算、物聯網、工控等新型系統具備充分的業務能力。系統運營單位不管是由于自身安全需求，還是法律法規及行業規定的要求，都要對自身信息系統的等級保護建設工作，滿足在等保2.0下的安全合規要求。

單位具體實施等保2.0工作需考察其在國家安全、經濟建設、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等，具體分為五個安全保護等級。

第一級安全保護能力：應能夠防護免受來自個人的、擁有很少資源的威脅源發起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的關鍵資源損害，在自身遭到損害后，能夠恢復部分功能。

第二級安全保護能力：應能夠防護免受來自外部小型組織的、擁有少量資源的威脅源發起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的重要資源損害，能夠發現重要的安全漏洞和處置安全事件，在自身遭到損害后，能夠在一段時間內恢復部分功能。

第三級安全保護能力：應能夠在統一安全策略下防護免受來自外部有組織的團體、擁有較為豐富資源的威脅源發起的惡意攻擊、較為嚴重的自然災難、以及其他相當危害程度的威脅所造成的主要資源損害，能夠及時發現、監測攻擊行為和處置安全事件，在自身遭到損害后，能夠較快恢復絕大部分功能。

第四級安全保護能力：應能夠在統一安全策略下防護免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發起的惡意攻擊、嚴重的自然災難、以及其他相當危害程度的威脅所造成的資源損害，能夠及時發現、監測發現攻擊行為和安全事件，在自身遭到損害后，能夠迅速恢復所有功能。

第五級安全保護能力：由于情況特殊不在等保系列標準中闡述。