等保2.0與1.0的區別

等保2.0與1.0的區別

等保2.0全稱【網絡安全等級保護2.0制度】是我國網絡安全領域的基本國策、基本制度。等級保護標準在1.0時代標準的基礎上，注重主動防御，從被動防御到事前、事中、事后全流程的安全可信、動態感知和全面審計，實現了對傳統信息系統、基礎信息網絡、云計算、大數據、物聯網、移動互聯網和工業控制信息系統等級保護對象的全覆蓋。

相較于等保1.0，等保2.0有哪些不變？

1、五個級別不變

從第一級到第五級依次是：用戶自主保護級、系統審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級。

2、規定動作不變

規定動作分別為：定級、備案、建設整改、等級測評、監督檢查。

3、主體職責不變

等級保護的主體職責為：網安對定級對象的備案受理及監督檢查職責、第三方測評機構對定級對象的安全評估職責、上級主管單位對所屬單位的安全管理職責、運營使用單位對定級對象的等級保護職責。

等保2.0有哪些變化？

隨著信息技術的發展和網絡安全形勢的變化，等保1.0要求已無法有效應對新的安全風險和新技術應用所帶來的新威脅，等保1.0被動防御為主的防御無法滿足當前發展要求，因此急需建立一套主動防御體系。等保2.0適時而出，從法律法規、標準要求、安全體系、實施環節等方面都有了變化：

1.標準依據的變化

從條例法規提升到法律層面。等保1.0的最高國家政策是國務院147號令，而等保2.0標準的最高國家政策是網絡安全法，其中《中華人民共和國網絡安全法》第二十一條要求，國家實施網絡安全等級保護制度；第二十五條要求，網絡運營者應當制定網絡安全事件應急預案；第三十一條則要求，關鍵基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護；第五十九條規定的網絡安全保護義務的，由有關主管部門給予處罰。因此不開展等級保護等于違法。

2.標準要求變化

等級2.0在1.0基本上進行了優化，同時對云計算、物聯網、移動互聯網、工業控制、大數據新技術提出了新的安全擴展要求。在使用新技術的信息系統需要同時滿足“通用要求擴展要求”。且針對新的安全形勢提出了新的安全要求，標準覆蓋度更加全面，安全防護能力有很大提升。

通用要求方面，等保2.0標準的核心是優化。刪除了過時的測評項，對測評項進行合理改寫，新增對新型網絡攻擊行為防護和個人信息保護等新要求，調整了標準結構、將安全管理中心從管理層面提升至技術層面。

擴展要求擴展了云計算、物聯網、移動互聯網、工業控制、大數據。

3.安全體系變化

等保2.0相關標準依然采用“一個中心、三重防護”的理念，從等保1.0被動防御的安全體系向事前防御、事中相應、事后審計的動態保障體系轉變。建立安全技術體系和安全管理體系，構建具備相應等級安全保護能力的網絡安全綜合防御體系，開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。

4.等級規定動作

保護定級、備案、建設整改、等級測評、監督檢查的實施過程中，等保2.0進行了優化和調整。

1）定級對象的變化

等保1.0定級的對象是信息系統，等保2.0的定級對象擴展至基礎信息網絡、工業控制系統、云計算平臺、物聯網、使用移動互聯技術的網絡、其他網絡以及大數據等多個系統平臺，覆蓋面更廣。

2）定級級別的變化

公民、法人和其他組織的合法權益產生特別嚴重損害時，相應系統的等級保護級別從1.0的第二級調整到了第三級（根據GA/T1389）。

3）定級流程的變化

等保2.0標準不再自主定級，二級及以上系統定級必須經過專家評審和主管部門審核，才能到公安機關備案，整體定級更加嚴格。

4）測評合格要求提高

相較于等保1.0，等保2.0測評的標準發生了變化，以前4級系統半年要測評一次，現在3級及以上系統每年做一次。1.0里60分以上算及格，2.0中測評結論分為：優（90分及以上）、良（80分及以上）、中（70分及以上）、差（低于70分），70分以上才算基本符合要求，基本分調高了，測評要求更加嚴格。

同時，等保2.0在測評項也新增四類新要求，入侵防范、惡意代碼防范、安全審計、集中管控。