2019年12月《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239-2019）正式實施，標志著等保2.0時代已經(jīng)正式開啟，企業(yè)應該如何應對等保新變化是2020年必須面對網(wǎng)絡(luò)安全課題。

等保基本要求1.0版在我國推行信息安全等級保護制度的過程中起到了非常重要的作用，被各行業(yè)領(lǐng)域廣泛應用，有效指導企業(yè)開展了信息系統(tǒng)安全等級保護的建設(shè)、整改與測評等工作。但信息技術(shù)持續(xù)快速發(fā)展，已使用10年的等保要求在易用性和可操作性上都亟需進一步完善。

在此情況下，等保2.0編制工作于2014年正式啟動，編制工作組對國內(nèi)外新技術(shù)、新應用的使用情況進行了充分調(diào)研分析，總結(jié)了云計算平臺、移動互聯(lián)接入、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等新技術(shù)的安全關(guān)注點和安全控制要素，先后歷時5年，最終新標頒布實施。

等保2.0相較于之前的標準，無論是在總體結(jié)構(gòu)方面還是在細節(jié)內(nèi)容方面均發(fā)生了很大變化，企業(yè)要做好2.0背景下的等保工作，必須注意如下5個變化：

1．名稱的變化

為適應2017年實施的網(wǎng)絡(luò)安全法，配合落實網(wǎng)絡(luò)安全等級保護制度，標準的名稱由原來的《信息系統(tǒng)安全等級保護基本要求》改為《網(wǎng)絡(luò)安全等級保護基本要求》。企業(yè)也應適時調(diào)整，將信息系統(tǒng)安全逐步統(tǒng)一為網(wǎng)絡(luò)安全。

2．對象的變化

等級保護對象由原來的信息系統(tǒng)調(diào)整為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)、云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等，等保對象更加明確具體，企業(yè)可以根據(jù)信息系統(tǒng)的特性和實際應用情況，對相關(guān)系統(tǒng)合并定級，減少不必要的重復工作。

3.整體要求的變化

安全要求分為了安全通用要求和安全擴展要求，等保工作更具針對性，針對安全通用要求企業(yè)需要總體考慮，不管等級保護對象形態(tài)如何必都須滿足的。

而準對安全擴展要求，企業(yè)則需要根據(jù)云計算安全擴展、移動互聯(lián)、物聯(lián)網(wǎng)安全以及工業(yè)控制系統(tǒng)在信息系統(tǒng)中的應用情況，分別落實云計算擴展要求、移動互聯(lián)擴展要求、物聯(lián)網(wǎng)擴展要求和工業(yè)控制系統(tǒng)擴展要求的保護措施。

4.技術(shù)要求的變化

原技術(shù)要求中的“物理安全、網(wǎng)絡(luò)安全、主機安全、應用安全、數(shù)據(jù)安全和備份與恢復”修訂為“安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心”。更好地體現(xiàn)了從外部到內(nèi)部的縱深防御思想。指導企業(yè)開展從通信網(wǎng)絡(luò)到區(qū)域邊界再到計算環(huán)境的整體防護，并兼顧其所處的物理環(huán)境的安全性。

5.管理要求的變化

原管理要求的“安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理”修訂為“安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理” 充分體現(xiàn)了從要素到活動的綜合管理思想。指導企業(yè)從“機構(gòu)”、“制度”和“人員”三要素構(gòu)建安全管理體系，同時要求企業(yè)對系統(tǒng)建設(shè)整改過程中和運行維護過程中的重要活動實施控制和管理。

對企業(yè)而言，等保2.0劃分安全通用要求和安全擴展要求使得新標準更具靈活性和針對性，新的技術(shù)要求與管理要求也更加明晰。企業(yè)可以根據(jù)等保對象采用的技術(shù)情況，應用相適宜的保護措施。

通用要求解決共性問題，無論等級保護對象的形式如何，都必須根據(jù)保護等級達到相應級別的安全要求。擴展要求解決個性問題，要根據(jù)保護等級、使用的特定技術(shù)或特定應用場景落實擴展要求。

需要企業(yè)特別注意的是，等級保護對象的安全保護措施必須同時滿足安全通用要求和安全擴展要求，才能符合等保的新要求。

例如，傳統(tǒng)的自動化辦公系統(tǒng)只需要采用安全通用要求提出的保護措施，但采用云計算平臺的數(shù)字工廠管理系統(tǒng)不僅需要采用安全通用要求提出的保護措施，而且必須根據(jù)云計算平臺的技術(shù)特點采用云計算安全擴展要求提出的保護措施，另外，還需要針對工業(yè)控制系統(tǒng)的技術(shù)特點采用工業(yè)控制系統(tǒng)安全擴展要求提出的保護措施。