介绍

适用于 各个行业的企业，特别是那些涉及到重要信息资产的行业。例如，金融、电信、能源、政府、军事等行业都需要进行等保测评。等保测评能够发现信息系统中存在的安全漏洞和风险，帮助企业即使采取措施加强安全防护，保护重要信息资产的安全。等保测评是企业遵守相关法律法规和合规要求的重要手段，通过评估和测试，企业可以确保自身信息系统的安全性达到国家标准和规范要求。还能提升企业信誉度。并且等保测评可发现潜在的信息泄露风险和漏洞，即使采取措施修复，从而避免因信息泄露而导致的损失和影响。

发展史

初代（2007年前）

• 1994 年，国务院颁布《计算机信息系统安全保护条例》（国务院 147 号令），首次以行政法规形式提出计算机信息系统实行安全等级保护。但因缺乏配套细则，初期实施效果有限。
• 1999 年，公安部联合高校发布《计算机信息系统安全保护等级划分准则》（GB17859-1999），参考国际标准确立 5 级保护框架，为后续分级管理奠定基础。
• 2003 年，中央办公厅 27 号文件明确 “实行信息安全等级保护”，将其纳入国家信息安全战略。
• 2007 年，四部门联合发布《信息安全等级保护管理办法》，确立定级备案、建设整改、测评检查等 5 项核心流程，标志等级保护 1.0 正式启动。

1.0时代（2007年-2016年）

• 2008 年，发布《信息安全技术 信息系统安全等级保护基本要求》（GB/T22239-2008），从物理、网络、主机、应用、数据 5 个层面提出分等级的技术要求，成为等保 1.0 的核心技术依据。配套的测评、设计等标准陆续出台，形成完整技术框架。
• 2010年，国家开始推动等级保护测评工作，要求各级政府部门和相关单位开展信息系统等级保护测评。

2.0时代（2016年至今）

• 2017 年，《网络安全法》正式实施，将等级保护上升为法律义务，明确 “网络运营者应当履行安全保护义务”，并将关键信息基础设施纳入重点保护范围。
• 2019 年，发布《网络安全等级保护基本要求》（GB/T22239-2019）。
• 2019年，《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）等配套标准发布，进一步完善了等级保护测评体系。
• 2020年，等保2.0相关标准全面实施，测评工作更加注重实际效果和安全能力的提升。

1.0和2.0的区别

可以从对象、结构调整和防御理念三个方面进行详细阐述：

对象

• 等保1.0对象
  • 主要针对的是计算机信息系统，关注点在于信息系统的安全防护。
  • 重点保护的是政府机构重要信息系统的安全。
• 等保2.0对象
  • 扩展到了网络运营者，不仅限于信息系统，还包括网络基础设施、数据处理系统等。
  • 保护范围扩展到所有网络运营者，尤其是关键信息基础设施，如能源、交通、金融的等领域。

结构调整

• 等级划分
  • 等保1.0：等级划分较为粗放，主要分为五个等级。
  • 等保2.0：等级划分更加细致，每个等级的保护要求更加明确和具体。
• 标准体系
  • 等保1.0：标准体系较为分散，涉及多个不同标准文件。
  • 等保2.0：形成了更为同意和完善的标准体系，包括基于要求、定级指南、安全要求等多个标准。
• 测评体系
  • 等保1.0：测评体系较为基础，测评方法和流程较为简单。
  • 等保2.0：测评体系更加完善，测评流程更加科学，测评方法和工具更加先进。
• 管理体系
  • 等保1.0：管理要求叫相对较弱，侧重与技术层面的防护。
  • 等保2.0：增加了详细的管理要求，如安全管理、安全策略、风险管理等。

防御理念

• 静态与动态

  • 等保1.0：更多的静态的合规性检查，侧重于时候的安全评估
  • 等保2.0：强调动态保护和持续改进，要求进行持续的安全检测、风险评估和事件响应

• 被动与主动

  • 等保1.0：防御理念教委被动，主要是对已知的威胁的防御
  • 等保2.0：采取更加注定的防御理念，强调预测性防护和应对位置威胁的能力

• 合规性于失效性

  • 等保1.0：侧重于合规性，即满足一定的安全标准

  • 等保2.0：不仅要求合规，还强调安全防护的实际效果和能力，如应急响应、安全事件的预防和处理

• 防御范围

  • 等保1.0：防御单位较为狭窄，主要关注喜欢同的安全威胁

  • 等保2.0：防御范围更加广泛，包括传统安全威胁和新兴技术带来的安全挑战

特点

三大特点，十大变化。

特点：对象范围扩大、分类结构统一、强调可信计算

十大变化：标准名称变化、保护对象变化、安全要求变化、章节结构变化、分类结构变化、新增云计算安全扩展要求、新增移动互联网安全扩展要求、新增物联网安全扩展要求、新增工业控制系统安全扩展要求、增加应用场景要求。

使用场景

能源、交通、水利、金融、医疗卫生、教育各个领域的网络和信息系统。所见基本都涉及。

保护对象等级划分

• 第一级：一般网络，对国家安全、社会秩序和公共利益影响较小
• 第二级：重要网络，对国家安全、社会秩序和公共利益有一定影响
• 第三级：关键网络，对国家安全、社会秩序和公共利益有较大影响
• 第四级：非常重要网络，对国家安全、社会秩序和公共利益有严重影响
• 第五级：极其严重网络，对国家安全、社会秩序和公共利益极其严重的影响

工作流程

1.定级阶段

• 定级对象识别：确定需要进行等级保护的网络和信息系统
• 风险评估：对系统肯面临的安全风险进行评估，包括业务影响分析、威胁分析、脆弱性分析等。
• 定级结果确定：根据风险评估结果，确定系统的安全保护等级。

2.备案阶段

• 备案申报：网络运营者向网络安全监管部门提交等级保护备案申请
• 备案审核：监管部门对备案材料进行审核，确定备案信息的准确性

3.建设整改阶段

• 安全防护方案制定：根据顶级结果和备案要求，指定安全防护方案
• 安全建设实施：按照安全防护方案，对网络和信息系统进行安全建设和整改
• 安全措施验证：验证安全错是的有效性，确保系统达到备案要求

4.测评阶段

• 自评估：网络运营者自行评估系统的安全状况，确保符合等级保护要求
• 第三方测评：选择第三方测评机构对系统进行测评，出局测评报告
• 测评结果整改：根据测评报告，对发现的安全问题进行整改

5.监督与检查阶段

• 日常监督：监管部门对网络运营者的安全防护措施进行日常监督
• 定期检查：监督部门定期对网络运营者进行安全检查，确保等级保护措施的有效性

6.持续改进阶段

• 安全培训与教育：定期对相关人员开展安全培训和教育，提升安全意识
• 安全事件处理：安全事件处理机制，对发生的安全事件进行有效响应和处理
• 定期复审：定期复审等级保护措施，根据新的威胁和风险进行调整和优化

测评流程

闭环过程，强调持续改进和动态防护。

1.测评准备

确定测评对象和范围；收集测评所需的资料和数据；指定测评计划和时间表。

2.自我评估

网络运营者自行评估系统的安全状况，确保符合等级保护要求；完成自我评估报告。

3.第三方测评

选择第三方测评机构进行测评；第三方测评机构根据等保2.0测i奥准和要求，对系统进行全面测评。

4.测评报告

第三方测评机构出具测评报告，包括测评结果和整改建议；报告需详细描述测评过程发现的安全问题、风险评估和整改措施。