等保2.0.FAQ

1. 什么是等保 2.0

等级保护 1.0 指的是在《GB17859 计算机信息系统安全保护等级划分准则》以及随后多项政

策文件引导下，并最终在 2008 年 发布的《GB/T22239-2008 信息安全技术信息系统安全等

级保 护基本要求》、《GB/T22240-2008 信息安全技术信息系统安全 等级保护定级指南》

等一系列信息安全等级保护标准，我们将 2008 版本的一系列标准及其配套政策文件习惯称

为等保 1.0。

在经历多年的试点、推广、行业标准制定、落实工作后，由于新技术、新应用、新业务形态

的大量出现，尤其是大数据、物联网、云计算等大量应用，同时安全趋势和形势的变化，原

来发布的标准已经不再适用于当前安全要求，或者在新技术和新应用下已经不能满足，需要

重新制定新的等保基础要求标准，因此从 2015 年开始，等级保护的安全要求逐步开始制定

2.0 标准，但此次除了对通用系统制定一般要求外，还增加了对云计算、大 数据、移动互联、

工控、物联网等方面的安全扩展性要求，丰富了防护内容和要求。

2. 等级保护和网络安全法的关系

等级保护工作是国家网络安全的基础性工作，是网络安全法要求我们履行的一项安全责任。

网络安全法是网络安全领域的基本法，从国家层面对等级保护工作的法律认可，网络安全法

中明确的提到信息安全的建设要遵照等级保护标准来建设。

《网络安全法》第二十一条明确规定国家实行网络安全等级保护制度。网络运营者应当按照

网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经

授权的访问，防止网络数据泄露或者被窃取、篡改：

制定内部安全管理制度和操作规程，确定网络安全负责人, 落实网络安全保护责任；

采取防范计算机病毒和网络攻击、网络侵入等危害网络安

全行为的技术措施；

采取监测、记录网络运行状态、网络安全事件的技术措施， 并按照规定留存相关的网络日

志不少于六个月；

采取数据分类、重要数据备份和加密等措施； 法律、行政法规规定的其他义务。

 

3. 等级保护 2.0 和关键信息基础设施保护之间的关系是什么

为落实《网络安全法》关于保护关键信息基础设施的运行安全的要求，在国家等级保护制度

基础上，充分借鉴我国相关部门在重要领域网络安全审查、网络安全检查等重点工作的成熟

经验，充分吸纳国外在关键基础设施安全保护方面的成功举措，结合我国现有针对传统信息系统的信息安全保障体系等成果，在等级保护基础上，从识别认定、安全防护、检测评估、

监测预警、应急处置等环节，提出关键信息基础设施网络安全保护要求，采取一切必要措施

保护关键信息基础设施及其重要数据不受攻击破坏，切实加强关键信息基础设施安全防护。

简言之，关键信息基础设施保护就是在等级保护基础上，对包括但不限于提供公共通信、广

播电视传输等服务的基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医

疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统、工业控制系统等关键信息

基础设施进行增强防护。

4. 等级测评与风险评估的关系

等级测评由具备检验技术能力和政府授权资格的权威机构（等级保护测评机构），依据国家

标准、行业标准、地方标准或相关技术规范，按照严格程序对信息系统的安全保障能力进行

的科学公正的综合测试评估活动，以帮助系统运行单位分析系统当前的安全运行状况、查找

存在的安全问题，并提供安全改进建议，从而最大程度地降低系统的安全风险。风险评估是

参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防

护措施等进行分析， 判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的

过程。

风险评估与等级测评分别是针对系统生命周期建设不同阶段存在的安全风险的相近判断方

法。对同一个生命周期的系统，风险评估是安全建设的起点，等级测评是安全建设的合规性

评价。或者可以理解为，等级测评是实施风险管理措施后的风险再评估。

风险评估是系统明确安全需求，确定成本－效益适合的安全控制措施的出发点，风险评估通

过对被评估用户广泛的、战略性的分析来判断机构内各类重要资产的风险级别。

等级测评则是对已采取的安全控制措施（如管理措施、运行措施、技术措施等）有效性的验

证，等级测评更关注于对系统现有安全控制措施的技术验证，从而给出系统现存安全脆弱性

的准确判断。行业主管部门或信息化主管部门在系统测评结果的基础上，判断系统安全风险

是否可接受或已得到了有效的管理，从而给出是否批准系统投入运行或继续运行的最终结

论。

5. 如何开展等级保护建设的相关工作

等级保护工作是一个系统性工程，根据网络安全等级保护相关标准，等级保护工作总共分五

个阶段，分别为：系统定级、系统备案、建设整改、系统测评、监督管理。

6. 等保 1.0 与等保 2.0 有哪些方面的区别？

等保 1.0 在《GB17859 计算机信息系统安全保护等级划分准则》以及随后多项政策文件引导下，并最终在 2008 年发布的《GB/T22239-2008 信息安全技术信息系统安全等级保护基本要

求》、《GB/T22240-2008 信息安全技术信息系统安全等级保护定级指南》等一系列信息安

全等级保护标准，我们将 2008 版本的一系列标准及其配套政策文件习惯称为等保 1.0。

等保 2.0 是 2014 年 3 月开始，由公安部牵头组织开展了等级保护重点标准申报国家标准的

工作，并从 2015 年开始陆续对外发布草稿、征集意见稿，修订了通用安全要求，增加了云

计算、大数据、移动互联、工控、物联网等安全扩展要求，内容包括网络安全等级保护基本

要求、安全通用要求和安全扩展要求，我们习惯称为等保 2.0。

等保 1.0 和等保 2.0 区别主要体现在以下几个方面：

1.名称上的变化

名称上由“信息安全等级保护”转变为“网络安全等级保护”。

2.法律效力不同

立法基础不同，等保 1.0 是以 1994 年国务院颁布的 147 号令《计算机信息系统安全保护条

例》为立法依据，立法基础为行政法规。

而等保 2.0 则是以经过全国人大通过的《中华人民共和国网络安全法》为立法依据，《网络

安全法》第 21 条“国家实行网络安全等级保护制度，要求网络运营者应当按照网络安全等级

保护制度要求，履行安全保护义务”。

3 保护对象有扩展

等保 1.0 主要包括基础信息网络和信息系统。而等保 2.0 将网络基础设施、重要信息系统、

网站、大数据中心、云计算平台、物联网、工控系统 、公众服务平台、互联网企业等全部

纳入等级保护监管。

4.控制措施分类不同

等保 1.0 按照技术和管理各五个方面的要求进行分类，技术要求分为物理安全、网络安全、

主机安全、应用安全、数据安全及备份恢复，管理要求分为安全管理制度、安全管理机构、

人员安全管理、系统建设管理和系统运维管理。

等保 2.0 则有很大的变化。技术要求分为安全物理环境、安全通信边界、安全区域边界、安

全计算环境、安全管理中心，管理要求分为安全管理制度、安全管理机构、安全人员管理、

安全建设管理和安全运维管理。明显可以看出，等保 2.0 的分类与等保安全设计要求保持了

一致性。

5 内容进行了扩充

等保 1.0 规定了五个规定性动作，包括定级、备案、建设整改、测评和监督检查。而等保 2.0

除了定级、备案、建设整改、测评和监督检查之外，增加了风险评估、安全监测、通报预警、

事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核

等。

6.定级备案流程有所变化

等保 1.0 定级原则是“自主定级、自主保护”。而等保 2.0 则采取了专家评审,主管部门审核的

方式。将原有的 30 天内备案缩短为 10 个工作日，并明确了定级流程分为：确定定级对象、

初步确定等级、专家评审、主管部门审核、公安机关备案。

7.等级测评要求不同

等保1.0要求三级系统至少每年进行一次等级测评，四级系统至少每半年进行一次等级测评。

而等保 2.0 则要求网络运营者选择符合国家规定条件的测评机构，对三级以上系统每年开

展等级测评，也就是说四级系统每年至少保证一次等级测评，降低了网络运营者的管理压力。

等保 1.0 要求 60 分基本符合，而等保 2.0 测评达到 70 分以上才算基本符合。

7. 等保 2.0 的安全通用要求有哪些变化

1.等保 2.0 安全通用要求调整了控制措施分类

技术要求分为安全物理环境、安全通信边界、安全区域边界、安全计算环境、安全管理中心，

管理要求分为安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理。

安全要求项有所变化：

等保 1.0 二级系统要求为 175 项，等保 2.0 减少为 145 项。

等保 1.0 三级系统要求为 290 项，等保 2.0 减少为 231 项。

等保 1.0 四级系统要求为 318 项，等保 2.0 减少为 241 项。

2.安全防护思路变化

等保 1.0 防护思路是事前预防、事中响应、事后审计的纵深防御思路。等保 2.0 标准则在“一

个中心、三重防护” 的理念基础上，注重全方位主动防御、安全可信、动态感知和全面审计。

3.增加了新内容

等保 2.0 删除了过时的测评项，对测评项进行合理性修改，新增对新型网络攻击行为防护和

个人信息保护等新要求。对集中管控提出了明确要求，集中管控将成为一个新的需求点。

等保 2.0 中对可信计算及密码技术的应用提出了明确要求，这将很大促进可信计算及密码技

术的推广及应用。