等級保護2.0核心國家標準于5月13日正式發(fā)布。老板們需要對等保2.0的核心所有掌握，方能正確認識等保2.0，管控好網(wǎng)絡安全保障工作和履行好網(wǎng)絡安全保護義務，核心內容包括等保2.0的地位、實施時間、適用范圍、與CII關系、基本要求、結果導向、保護體系、定級備案、測評周期、測評結果等。

2019年5月13日，國家市場監(jiān)督管理總局、國家標準化管理委員會召開新聞發(fā)布會，正式發(fā)布等級保護2.0核心國家標準，包括《GB/T 22239-2019 信息安全技術網(wǎng)絡安全等級保護基本要求》、《GB/T 25070-2019 信息安全技術網(wǎng)絡安全等級保護安全設計技術要求》和《GB/T 28448-2019 信息安全技術網(wǎng)絡安全等級保護測評要求》。

關于等保2.0，有10個核心需要老板知曉

1地位

等保2.0是“網(wǎng)絡安全等級保護制度”的別稱，《網(wǎng)絡安全法》賦予等保2.0法律地位。《網(wǎng)絡安全法》第21條規(guī)定”國家實行網(wǎng)絡安全等級保護制度”，第59條規(guī)定“網(wǎng)絡運營者不履行本法第21條規(guī)定的網(wǎng)絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款”。

2實施時間
2019年12月1日。

3適用范圍
從信息系統(tǒng)，擴充到基礎信息網(wǎng)絡、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)和工業(yè)控制系統(tǒng)等保護對象。

4與CII關系

《網(wǎng)絡安全法》第31條規(guī)定“關鍵信息基礎設施（簡稱CII），在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護”；等保2.0對關鍵信息基礎設施的定級做了“定級原則上不低于三級”的指導（換個角度理解，在第三級（含）以上系統(tǒng)中確定關鍵信息基礎設施）。

5

基本要求
升級為“通用要求+安全擴展”的形式，具體內容由1套安全通用要求和云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等4套擴展要求組成，另外在附錄H中給出了供大數(shù)據(jù)系統(tǒng)參考可補充的安全控制措施。

6結果導向
從基本要求維度來說，等保1.0站在安全控制項的角度提安全要求，等保2.0站在安全能力的角度提安全要求；從測評維度來說，等保1.0的測評更注重關鍵要素的滿足，等保2.0的測評從評測流程和評測標準上做了規(guī)范性說明，更關注實際的安全效果，而非老標準下安全制度和產(chǎn)品的簡單堆疊。

7保護體系
等保2.0依然采用“一個中心、三重防護”的體系理念，但對體系的能力做了大升級。一個中心指“安全管理中心”，三重防護指“安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡”。等保2.0把“安全管理中心”從管理層面提升到技術層面，專門進行要求，包括“系統(tǒng)管理、審計管理、安全管理、集中管控“等，這是為了滿足等保2.0的核心變化（從被動防御轉變?yōu)橹鲃臃烙?、動態(tài)防御）。完善的網(wǎng)絡安全分析能力、未知威脅的檢測能力、安全工作的執(zhí)行能力將成為等保2.0的關鍵需求。

8定級備案
“確定定級對象—>初步確定等級—>專家評審—>主管部門審核—>公安機關備案審查—>最終確定等級”，系統(tǒng)定級必須經(jīng)過專家評審和主管部門審核，才能到公安機關備案（等保1.0時代“自主定級、自主保護”升級為以國家行政機關持續(xù)監(jiān)督的“明確等級、增強保護、常態(tài)監(jiān)督”）。

9測評周期
三級和四級系統(tǒng)都是一年測評一次（等保1.0時代，要求四級系統(tǒng)每半年測評一次，即一年測評兩次）。

10測評結果
測評達到75分以上才算基本符合（過等保不再容易，等保工作需要扎扎實實做好）。