新的等级保护制度变化.pdfVIP

等保调研

1、等级保护制度的发展历程

早在1994年国务院147号令就首次提出了等级保护制度，2007年是等保1.0，2017

年颁布了网络安全法。2019年实行了等保2.0的新标准。从这个过程来看，我们可

以做一个判断，不做等保就有违国家法律。

这个过程中涉及几个角色。第一个是运营使用单位，决定了等保的市场有多大，几乎

所有的能够对外提供服务的网站、系统国家都规定要过等保，大家可以设想一下日常

使用的APP和网站有多少。第二个角色是GongAn机关，做监督检查的角色，除此

之外，建设过程中还有两个角色，大型安全厂商是建设方，提供安全设备和能力，还

有测评机构，承接定级咨询服务，以及做测评，这四个角色构成了等级保护的整体流

程。

等级保护制度分为两个部分：等保有一个技术体系要求，还有一个管理体系要求。技

术体系要求有五个组成部分，子项就是一些具体技术点了。管理体系又包括相关的管

理制度，安全管理机构，明确安全管理人员，安全建设未来怎么管理，包括出现问题

以后怎么运维。

回归到等保的目的，本身就是强制要求所有的运营单位必须做这个事情。发展到现在

大家还会提HW，这个过程中有行业HW，也有国家级HW。为什么有了等保制度还

要做HW呢。等级保护制度更加倾向于及格线，所有单位都要过这个东西，但是它只

是网络安全的下限。导致很多小的机构，刚开始不重视网安，也必须要做这个事情。

2、等级保护测评的变化内容

回到第二个议题，等保测评的变化内容。GongAn部在今年6月17号组织了所有等

保测评机构做线上培训，没有任何发文。等保类似于最基本的考试，等保测评模板改

变意味着考试难度在变，它是默默给考场和考官提高难度。修订的有几个方面，第一

个是技术方面发生了变化，第二个无关紧要是测评文件格式变了，第三个是引入了一

个非常有前景的东西，就是数据资产也要列入等级保护的测评对象。

技术范围修订是测评得分的逻辑完全发生了改变，公式很复杂。这个东西代表了，之

前是加分制，现在是减分制。以前达到六十分，七十分就够了，现在是扣分。有人说

只不过是算法变了，但是这次扣分有个很大的变化，是扣分力度变大了，它定义了一

般、重要和关键测评指标，如果是关键测评指标不满足，一次性扣三倍，重要指标一

次性扣两倍，所以如果不符合是两倍三倍的扣，之前是你最多不得这一倍的分。

GongAn部自己也做了一个测算，同样场景下，测出来的结果是啥呢，之前平均拿到

八九十分的情况，新标准下只能拿到六七十分，平均差二十分。这个就有了差别了。

它在会议当中还讲了为什么要做这次调整，这次调整非常大。因为之前的测评有三个

缺陷。第一个缺陷是，按照之前的测评要求来，综合得分偏高，都在八十分以上，到

底谁是优良中差拉不开，它要拉开差距，提高对网安底线的要求。第二个缺陷是，之

前大家可能更加重视技术层面，管理层面倾向于有文档，但是不执行，这次明确说了，

技术和管理各占50%，这种情况下，安全管理体系的要求会提升。这也要求大家落

实网络安全工作的时候，不仅仅是设备，要用起来，把发散的问题解决掉。第三个缺

陷是无关紧要了——19年的公式计算量比较大，这次计算量小一点。

数据资产也要列入测评对象。包括重要数据，大数据等等，要针对不同类型的数据进

行汇总和测评，需要对相应的数据做相应的保护，保证数据完整和必威体育官网网址性。我认为这

一条跟前面的数据安全法比较相关。这次标志着数据安全迎来很大的风口，具体多长

时间，我觉得一两年左右数据安全市场会有很大的发展。

3、这次变化有哪些影响？

第一点，测评要求提升了，各个单位对安全投资的力度会加大。如果说之前得分的设

备不能过等保了，现在肯定要买一些设备，预算要增加，这个影响是产业层面的增长。

其次是数据安全层面验证未来会成为很大的热点。但是这次没有明确说出怎么来保

证，但是我自己推测，数据最根本承载的介质就是数据库，现在没有把数据库作为独

立的测评对象来测评，未来是不是一个数据库或者一个数据库集来测评，是否要加数

据库审计，数据库防火墙，数据库加密等等产品。

另外关键的一句话，国家建立数据安全分类分级保护制度。这个跟当年网络安全法提

到的一句话，国家实行网络安全等级