2019年12月《信息安全技術網絡安全等級保護基本要求》（GB/T 22239-2019）正式實施，標志著等保2.0時代已經正式開啟，企業應該如何應對等保新變化是2020年必須面對網絡安全課題。

等保基本要求1.0版在我國推行信息安全等級保護制度的過程中起到了非常重要的作用，被各行業領域廣泛應用，有效指導企業開展了信息系統安全等級保護的建設、整改與測評等工作。但信息技術持續快速發展，已使用10年的等保要求在易用性和可操作性上都亟需進一步完善。

在此情況下，等保2.0編制工作于2014年正式啟動，編制工作組對國內外新技術、新應用的使用情況進行了充分調研分析，總結了云計算平臺、移動互聯接入、物聯網和工業控制系統等新技術的安全關注點和安全控制要素，先后歷時5年，最終新標頒布實施。

等保2.0相較于之前的標準，無論是在總體結構方面還是在細節內容方面均發生了很大變化，企業要做好2.0背景下的等保工作，必須注意如下5個變化：

1．名稱的變化

為適應2017年實施的網絡安全法，配合落實網絡安全等級保護制度，標準的名稱由原來的《信息系統安全等級保護基本要求》改為《網絡安全等級保護基本要求》。企業也應適時調整，將信息系統安全逐步統一為網絡安全。

2．對象的變化

等級保護對象由原來的信息系統調整為基礎信息網絡、信息系統、云計算平臺、大數據平臺、物聯網和工業控制系統等，等保對象更加明確具體，企業可以根據信息系統的特性和實際應用情況，對相關系統合并定級，減少不必要的重復工作。

3.整體要求的變化

安全要求分為了安全通用要求和安全擴展要求，等保工作更具針對性，針對安全通用要求企業需要總體考慮，不管等級保護對象形態如何必都須滿足的。

而準對安全擴展要求，企業則需要根據云計算安全擴展、移動互聯、物聯網安全以及工業控制系統在信息系統中的應用情況，分別落實云計算擴展要求、移動互聯擴展要求、物聯網擴展要求和工業控制系統擴展要求的保護措施。

4.技術要求的變化

原技術要求中的“物理安全、網絡安全、主機安全、應用安全、數據安全和備份與恢復”修訂為“安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心”。更好地體現了從外部到內部的縱深防御思想。指導企業開展從通信網絡到區域邊界再到計算環境的整體防護，并兼顧其所處的物理環境的安全性。

5.管理要求的變化

原管理要求的“安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理”修訂為“安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理” 充分體現了從要素到活動的綜合管理思想。指導企業從“機構”、“制度”和“人員”三要素構建安全管理體系，同時要求企業對系統建設整改過程中和運行維護過程中的重要活動實施控制和管理。

對企業而言，等保2.0劃分安全通用要求和安全擴展要求使得新標準更具靈活性和針對性，新的技術要求與管理要求也更加明晰。企業可以根據等保對象采用的技術情況，應用相適宜的保護措施。

通用要求解決共性問題，無論等級保護對象的形式如何，都必須根據保護等級達到相應級別的安全要求。擴展要求解決個性問題，要根據保護等級、使用的特定技術或特定應用場景落實擴展要求。

需要企業特別注意的是，等級保護對象的安全保護措施必須同時滿足安全通用要求和安全擴展要求，才能符合等保的新要求。

例如，傳統的自動化辦公系統只需要采用安全通用要求提出的保護措施，但采用云計算平臺的數字工廠管理系統不僅需要采用安全通用要求提出的保護措施，而且必須根據云計算平臺的技術特點采用云計算安全擴展要求提出的保護措施，另外，還需要針對工業控制系統的技術特點采用工業控制系統安全擴展要求提出的保護措施。