新的等级保护制度变化.pdfVIP

新的等级保护制度变化--第1页

等保调研

1、等级保护制度的发展历程

早在1994年国务院147号令就首次提出了等级保护制度，2007年是等保1.0，2017

年颁布了网络安全法。2019年实行了等保2.0的新标准。从这个过程来看，我们可

以做一个判断，不做等保就有违国家法律。

这个过程中涉及几个角色。第一个是运营使用单位，决定了等保的市场有多大，几乎

所有的能够对外提供服务的网站、系统国家都规定要过等保，大家可以设想一下日常

使用的APP和网站有多少。第二个角色是GongAn机关，做监督检查的角色，除此

之外，建设过程中还有两个角色，大型安全厂商是建设方，提供安全设备和能力，还

有测评机构，承接定级咨询服务，以及做测评，这四个角色构成了等级保护的整体流

程。

等级保护制度分为两个部分：等保有一个技术体系要求，还有一个管理体系要求。技

术体系要求有五个组成部分，子项就是一些具体技术点了。管理体系又包括相关的管

理制度，安全管理机构，明确安全管理人员，安全建设未来怎么管理，包括出现问题

以后怎么运维。

回归到等保的目的，本身就是强制要求所有的运营单位必须做这个事情。发展到现在

大家还会提HW，这个过程中有行业HW，也有国家级HW。为什么有了等保制度还

新的等级保护制度变化--第1页

新的等级保护制度变化--第2页

要做HW呢。等级保护制度更加倾向于及格线，所有单位都要过这个东西，但是它只

是网络安全的下限。导致很多小的机构，刚开始不重视网安，也必须要做这个事情。

2、等级保护测评的变化内容

回到第二个议题，等保测评的变化内容。GongAn部在今年6月17号组织了所有等

保测评机构做线上培训，没有任何发文。等保类似于最基本的考试，等保测评模板改

变意味着考试难度在变，它是默默给考场和考官提高难度。修订的有几个方面，第一

个是技术方面发生了变化，第二个无关紧要是测评文件格式变了，第三个是引入了一

个非常有前景的东西，就是数据资产也要列入等级保护的测评对象。

技术范围修订是测评得分的逻辑完全发生了改变，公式很复杂。这个东西代表了，之

前是加分制，现在是减分制。以前达到六十分，七十分就够了，现在是扣分。有人说

只不过是算法变了，但是这次扣分有个很大的变化，是扣分力度变大了，它定义了一

般、重要和关键测评指标，如果是关键测评指标不满足，一次性扣三倍，重要指标一

次性扣两倍，所以如果不符合是两倍三倍的扣，之前是你最多不得这一倍的分。

GongAn部自己也做了一个测算，同样场景下，测出来的结果是啥呢，之前平均拿到

八九十分的情况，新标准下只能拿到六七十分，平均差二十分。这个就有了差别了。

它在会议当中还讲了为什么要做这次调整，这次调整大。因为之前的测评有三个

缺陷。第一个缺陷是，按照之前的测评要求来，综合得分偏高，都在八十分以上，到

新的等级保护制度变化--第2页

新的等级保护制度变化--第3页

底谁是优良中差拉不开，它要拉开差距，提高对网安底线的要求。第二个缺陷是，之

前大家可能更加重视技术层面，管理层面倾向于有文档，但是不执行，这次明确说了，

技术和管理各占50%，这种情况下，安全管理体系的要求会提升。这也要求大家落

实网络安全工作的时候，不仅仅是设备，要用起来，把发散的问题解决掉。第三个缺

陷是无关紧要了——19年的公式计算量比较大，这次计算量小一点。

数据资产也要列入测评对象。包括重要数据，大数据等等，要针对不同类型的数据进

行汇总和测评