2019年12月《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）正式實(shí)施，標(biāo)志著等保2.0時(shí)代已經(jīng)正式開(kāi)啟，企業(yè)應(yīng)該如何應(yīng)對(duì)等保新變化是2020年必須面對(duì)網(wǎng)絡(luò)安全課題。

等保基本要求1.0版在我國(guó)推行信息安全等級(jí)保護(hù)制度的過(guò)程中起到了非常重要的作用，被各行業(yè)領(lǐng)域廣泛應(yīng)用，有效指導(dǎo)企業(yè)開(kāi)展了信息系統(tǒng)安全等級(jí)保護(hù)的建設(shè)、整改與測(cè)評(píng)等工作。但信息技術(shù)持續(xù)快速發(fā)展，已使用10年的等保要求在易用性和可操作性上都亟需進(jìn)一步完善。

在此情況下，等保2.0編制工作于2014年正式啟動(dòng)，編制工作組對(duì)國(guó)內(nèi)外新技術(shù)、新應(yīng)用的使用情況進(jìn)行了充分調(diào)研分析，總結(jié)了云計(jì)算平臺(tái)、移動(dòng)互聯(lián)接入、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等新技術(shù)的安全關(guān)注點(diǎn)和安全控制要素，先后歷時(shí)5年，最終新標(biāo)頒布實(shí)施。

等保2.0相較于之前的標(biāo)準(zhǔn)，無(wú)論是在總體結(jié)構(gòu)方面還是在細(xì)節(jié)內(nèi)容方面均發(fā)生了很大變化，企業(yè)要做好2.0背景下的等保工作，必須注意如下5個(gè)變化：

1．名稱的變化

為適應(yīng)2017年實(shí)施的網(wǎng)絡(luò)安全法，配合落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，標(biāo)準(zhǔn)的名稱由原來(lái)的《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》。企業(yè)也應(yīng)適時(shí)調(diào)整，將信息系統(tǒng)安全逐步統(tǒng)一為網(wǎng)絡(luò)安全。

2．對(duì)象的變化

等級(jí)保護(hù)對(duì)象由原來(lái)的信息系統(tǒng)調(diào)整為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)、云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等，等保對(duì)象更加明確具體，企業(yè)可以根據(jù)信息系統(tǒng)的特性和實(shí)際應(yīng)用情況，對(duì)相關(guān)系統(tǒng)合并定級(jí)，減少不必要的重復(fù)工作。

3.整體要求的變化

安全要求分為了安全通用要求和安全擴(kuò)展要求，等保工作更具針對(duì)性，針對(duì)安全通用要求企業(yè)需要總體考慮，不管等級(jí)保護(hù)對(duì)象形態(tài)如何必都須滿足的。

而準(zhǔn)對(duì)安全擴(kuò)展要求，企業(yè)則需要根據(jù)云計(jì)算安全擴(kuò)展、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)安全以及工業(yè)控制系統(tǒng)在信息系統(tǒng)中的應(yīng)用情況，分別落實(shí)云計(jì)算擴(kuò)展要求、移動(dòng)互聯(lián)擴(kuò)展要求、物聯(lián)網(wǎng)擴(kuò)展要求和工業(yè)控制系統(tǒng)擴(kuò)展要求的保護(hù)措施。

4.技術(shù)要求的變化

原技術(shù)要求中的“物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和備份與恢復(fù)”修訂為“安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心”。更好地體現(xiàn)了從外部到內(nèi)部的縱深防御思想。指導(dǎo)企業(yè)開(kāi)展從通信網(wǎng)絡(luò)到區(qū)域邊界再到計(jì)算環(huán)境的整體防護(hù)，并兼顧其所處的物理環(huán)境的安全性。

5.管理要求的變化

原管理要求的“安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理”修訂為“安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理” 充分體現(xiàn)了從要素到活動(dòng)的綜合管理思想。指導(dǎo)企業(yè)從“機(jī)構(gòu)”、“制度”和“人員”三要素構(gòu)建安全管理體系，同時(shí)要求企業(yè)對(duì)系統(tǒng)建設(shè)整改過(guò)程中和運(yùn)行維護(hù)過(guò)程中的重要活動(dòng)實(shí)施控制和管理。

對(duì)企業(yè)而言，等保2.0劃分安全通用要求和安全擴(kuò)展要求使得新標(biāo)準(zhǔn)更具靈活性和針對(duì)性，新的技術(shù)要求與管理要求也更加明晰。企業(yè)可以根據(jù)等保對(duì)象采用的技術(shù)情況，應(yīng)用相適宜的保護(hù)措施。

通用要求解決共性問(wèn)題，無(wú)論等級(jí)保護(hù)對(duì)象的形式如何，都必須根據(jù)保護(hù)等級(jí)達(dá)到相應(yīng)級(jí)別的安全要求。擴(kuò)展要求解決個(gè)性問(wèn)題，要根據(jù)保護(hù)等級(jí)、使用的特定技術(shù)或特定應(yīng)用場(chǎng)景落實(shí)擴(kuò)展要求。

需要企業(yè)特別注意的是，等級(jí)保護(hù)對(duì)象的安全保護(hù)措施必須同時(shí)滿足安全通用要求和安全擴(kuò)展要求，才能符合等保的新要求。

例如，傳統(tǒng)的自動(dòng)化辦公系統(tǒng)只需要采用安全通用要求提出的保護(hù)措施，但采用云計(jì)算平臺(tái)的數(shù)字工廠管理系統(tǒng)不僅需要采用安全通用要求提出的保護(hù)措施，而且必須根據(jù)云計(jì)算平臺(tái)的技術(shù)特點(diǎn)采用云計(jì)算安全擴(kuò)展要求提出的保護(hù)措施，另外，還需要針對(duì)工業(yè)控制系統(tǒng)的技術(shù)特點(diǎn)采用工業(yè)控制系統(tǒng)安全擴(kuò)展要求提出的保護(hù)措施。