二级等保要求

网络安全等级保护制度是国家网络安全保障的基本制度、基本策略、基本方法。最新的网络安全等级保护标准已于2019年12月1日起正式实施（简称“等保20”）。

等保20依旧采用“一个中心，三重防护”的技术理念，并在原标准基础上提出新的技术要求和管理要求，如可信技术、云计算、物联网等新兴领域的安全扩展要求等。因此，用户在安全防护体系建设、风险评估和安全管理上需要更加全面，并关注所在行业的安全要求和定级标准，满足等保二级、等保三级认证要求。

5月13日，网络安全等级保护制度20标准（以下简称 等保20标准）正式发布，并将于2019年12月1日开始实施。面对等保20时代新一轮测评标准考量的挑战，企业加强自身的安全防护体系建设变得尤为重要。

为什么说等保20时代

企业必须加强安防体系建设？

「等级保护制度上升到法律层面」

《网络安全法》规定：国家实行网络安全等级保护制度，网络运营者要按照网络安全等级保护制度的要求履行安全保护义务。

等保20以《网络安全法》、《保守国家秘密法》等法律为顶层规范性文件，上升到法律层面，也意味着不开展等级保护属于违法。

为什么说等保20时代

企业安防体系建设并非易事？

「等保20标准：新增4项扩展要求」

难度1：评测及格分提高

与10相比，等保20的评测要求从60提升到75分，通过的难度大大增加。

难度2：扩展要求增加
内容上，以前只有一个安全通用要求，现在新增了四项扩展要求（针对移动互联、云计算、大数据、物联网和工业控制）。

《第1部分安全通用要求》

《第2部分云计算安全扩展要求》

《第3部分移动互联安全扩展要求》

《第4部分物联网安全扩展要求》

《第5部分工业控制系统安全扩展要求》

也就是说，使用新技术的信息系统必须同时满足“通用要求”和“安全扩展”的要求。并且，针对新安全形势提出了新安全要求，满足全部要求的完成难度系数也有很大提高。

难度3：可信计算技术的 强化应用

《网络安全等级保护基本要求》（报批稿）中突出了可信计算，体现了“一个中心、三重防御”的思想，由被动防御变成主动防御，并强化了可信计算安全技术要求的使用。

虽然要求项和难度系数有所增加，但是20标准贯彻的“事前预防、事中响应、事后审计”的动态保障体系，有助于增强威胁防范、处理能力，将大大提高网络安全防护的水平和能力。

不过，基于部分企业安全防护水平有限，等保20标准时代的合规建设，需要专业的指导。

等保20标准时代

百卓网络帮你找到‘应变之道’

「企业安全防护体系建设解决方案」

百卓网络基于多年攻防技术研究和大量项目实践，向客户提供贯穿信息系统完整生命周期的专业安全技术服务，让客户拥有专业、快速、有效的7×24小时安全保障。

具体包括：安全评估服务、等保设服务和安全培训服务。

安全评估服务

针对客户网络、系统、应用、业务、管理制度、组织机构提供全面的安全评估，发现存在的安全隐患，提出详细的整改建议。

等保建设服务

通过等级保护工作，可以理清企业安全防护体系，有助于优化企业安全建设整体规划、优化防御部署，通过将等级化方法和安全体系方法有效结合，设计一套等级化的信息安全保障体系，是适合我国国情的、系统化地解决大型组织信息安全问题行之有效的方法。

安全培训服务

百卓网络的安全培训服务目前聚焦于企业客户，从三个不同维度设计培训课程以满足企业客户获取安全知识和经验的需求，从而使客户最终达到强化安全意识、理解安全理论、掌握安全技术，能够融会贯通并应用于所在企业的安全建设当中。

随着等保20的正式出台和实施，对企业的安全防护体系建设的要求进一步提高，与之相应的，我国应对网络安全的水平和能力也将进一步提升。百卓网络将努力推进安全防护体系建设，为安全产业的发展贡献一份力量。

等保10
2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这部法规被称为等保10。经过10余年的实践，等保10为保障我国信息安全打下了坚实的基础。
等保20
等保20相关国家标准于2019年5月10日正式发布。2019年12月1日开始实施。这是我国实行网络安全等级保护制度过程中的一件大事，具有里程碑意义。
等保20与等保10的区别
等保10主要强调物理主机、应用、数据、传输，而20版本增加了对云计算、移动互联、物联网、工业控制和大数据等新技术新应用的全覆盖。
相较于等保10，等保20发生了以下主要变化：
1、名称变化。等保20将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，与《网络安全法》保持一致。
2、定级对象变化。等保10的定级对象是信息系统，现在20更为广泛，包含：信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。
3、安全要求变化。等保20由一个单独的基本要求演变为通用安全要求+新技术安全扩展要求，其中安全通用要求是不管等级保护对象形态如何都必须满足的要求，针对云计算、移动互联、物联网和工业控制系统提出了特殊要求，称为安全扩展要求。
4、控制措施分类结构变化。等保20依旧保留技术和管理两个维度。
在技术上，由物理安全、网络安全、主机安全、应用安全、数据安全，变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。
在管理上，结构上没有太大的变化，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理，调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
5、内容变化。从等保10的定级、备案、建设整改、等级测评和监督检查五个规定动作，变更为五个规定动作+新的安全要求，增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等。

以下资料来源等保测评机构——时代新威官网。如还有更多疑问请官网查看。

等保20相比10主要有四大方面的变化：

（1） 名称上的变化

名称上由“信息系统安全等级保护”转变为“网络安全等级保护”。

（2） 法律效力不同

《网络安全法》第21条规定“国家实行网络安全等级保护制度，要求网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”。落实网络安全等级保护制度上升为法律义务。

（3）保护对象有扩展

等保10主要是信息系统。而等保20将网络基础设施（广电网、电信网、专用通信网络等）、云计算平台/系统、采用移动互联技术的系统、物联网、工业控制系统等纳入到等级保护对象范围中。

（4） 控制措施分类不同

等保10按照技术和管理各5个方面的要求进行分类，技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复，管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。

等保20则有很大的变化。技术要求分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心，管理要求分为安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理。此外，等保20基本要求、测评要求、安全设计技术要求框架保持了一致性，即“一个中心，三重防护”。

（5） 内容进行了扩充

等保10有五个规定性动作，包括定级、备案、建设整改、等级测评和监督检查。而等保20除了定级、备案、建设整改、等级测评和监督检查之外，增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等。

第一：名称变化
《信息系统安全等级保护基本要求》改为：《网络安全等级保护基本要求》，与《网络安全法》保持一致。
第二：定级对象变化
等保10的定级对象是信息系统，现在20更为广泛，包括：信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。
第三：安全要求变化
等保20由一个单独的基本要求演变为通用安全要求+新技术安全扩展要求，其中安全通用要求是不管等级保护对象形态如何都必须满足的要求，针对云计算、移动互联、物联网和工业控制系统提出了特殊要求，称为安全扩展要求。
①云计算安全扩展要求包括基础设施的位置、虚拟化安全保护、镜像和快照保护、云服务商选择和云计算环境管理等方面。
②移动互联安全扩展要求包括无线接入点的地理位置、移动终端管控、移动应用管控、移动应用软件采购和移动应用软件开发等方面。
③物联网安全扩展要求包括感知节点的物理保护、感知节点设备安全、感知网关节点设备安全、感知节点的管理和数据融合处理等方面。
④工业控制系统安全扩展要求包括室外控制设备防护、工业控制系统网络架构安全、拨号使用控制、无线使用控制和控制设备安全等方面。
第四：控制措施分类结构变化
等保20依然保留技术和管理两个维度。
技术：由物理安全、网络安全、主机安全、应用安全、数据安全，变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;
管理：结构上没有太大的变化，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理，调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
第五：工作内容变化
等保20不仅进一步明确定级、备案、安全建设、等级测评、监督检查等10时代的规定动作，最主要的是把安全检测、通报预警、案事件调查等措施都将全部纳入等级保护制度并加以实施。

等保20测评范围更广，等保10主要针对信息系统，等保20包括了基础信息建设设施、移动互联网、云计算、物联网等等，只要定级二级以上的都需要开展等保测评工作。对于一些新技术领域新增了拓展测评要求，无论哪个测评对象都要通过通用安全要求和扩展安全要求。
　等保10规定了五个规定性动作，包括定级、备案、建设整改、测评和监督检查。等保20增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等。
等保20的测评要求比等保10更严格，因此建设费用会更高，测评费用也会更高。

网络安全等级保护制度20正式发布，更加全面的提升对网络安全的重视程度，网络安全进入新的发展阶段，那么等保20有哪些新的变化呢？

一、名称的转变

等级保护20将原来《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，和《中华人民共和国网络安全法》中的相关法律条文保持一致。

等保10规定了五个规定性动作，包括定级、备案，建设整改，系统测评和监督检查。而等保20在10的基础上中增加了风险评估，安全监测，通报预警，数据防护，应急处置，案事件调查，灾难备份，自主可控，供应链安全，效果评价，综治考核等。

二、标准的内容变化

基本要求的内容由一个基本要求变更为安全通用要求和安全扩展要求（含云计算、移动互联、物联网、工业控制）。在网络安全等级保护基本要求合并为五部分：安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求，等保20把包括传统网络安全、云计算、物联网、移动互联、工业控制、大数据等安全扩展要求，内容包括网络安全等级保护基本要求、安全通用要求和安全扩展要求，比等保10拓展了一个维度。

总而言之，等保20较之前的10可以说有突破性的进展，尤其在移动互联、云计算、物联网等新的业务环境均提供安全建设标准和指导。恒旭科技能够满足相关法律的合规性要求，更能提升整体网络的综合安全防护能力，真正帮助企业用户保障网络、数据和业务的安全性！

恒旭科技专注做等保，为您的网络、数据和业务提供保护，让每个的用户业务建设的更有效、更简单

更多详情，请访问： >

信息安全等级保护

是指根据信息系统在国家安全、社会稳定、经济秩序和公共利益方便的中重要程度以及风险威胁、安全需求、安全成本等因素，将其划分不同的安全保护等级并采取相应等级的安全保护技术、管理措施、以保障信息系统安全和信息安全。

等级保护制度是我国网络安全的基本制度。层次化保护是指对国家重要信息、法人和其他组织、公民的专有信息以及公共信息和存储、传输、处理此类信息的信息系统进行层次化安全保护。

信息安全等级保护

等保 20

等保20中的“保”就是“保护”。全名叫做信息安全等级保护20版。可能有点绕，总结下就是：保护互联网数据的一种标准方法体系，里面规定了方方面面。在我们开始讨论等保 20之前，让我们回顾一下等保10。等保10 发布已经 10 多年了，如今网络安全越来越受到关注。

在等保10的初期，企业员工只要有安全管理意识，能开始做等保，开始进行测评就已经发展很不错了；到了一个中期，整体防护，渗透心理测试，合规开始等于网络安全。行业层面的保障得到充分发展，等保险开始逐渐扎根于人们的心中，然后到了10后期，无论是企业层面还是国家层面，都更加注重实质性的安全。主动防御、态势感知、攻防对抗等安全管理手段已经开始流行，云安、大数据、工控安全和移动网络安全问题开始占领主要研究趋势。

等保10普及了等级保护的概念，强化了安全意识，从单一系统到部门，到行业，再上升到国家层面，从合规到攻防对抗，从整体上提高了网络安全保障能力和技术，不断积累人才，为isoinsurance 20提供了强有力的支撑。

网络信息安全等级保护20制度

等保20是什么？

等保20全称网络信息安全等级保护20制度，是我国企业网络系统安全管理领域的基本国策、基本经济制度。分级防护标准在10时代标准的基础上，注重主动防御，从被动防御到安全可信、动态感知和事前、事中、事后全流程全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工控信息系统等级保护对象的全覆盖。

希望本篇回答可以帮助到你~

望采纳~

---