信息安全等级保护2.0是什么？

等级保护2.0标准自2019年12月1日正式落地实施开始,就在网络安全法规中占据了重要位置,所有等级保护测评必须按照2.0标准进行实施。

 

等保2.0的发布,是对除传统的信息系统之外的新型网络系统安全防护能力提升的有效补充,是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的基础。

 

“任何网络安全防护方案和策略都做不到万无一失，即便是等保2.0合规方案，也不能保证用户网络信息安全高枕无忧。”国联易安总经理、信息安全博士门嘉平接受采访时表示。

 

 2019年12月1日，网络安全等级保护2.0正式开始实行，宣告实施多年的网络安全等级保护从1.0跨入2.0时代，标志着网络安全将从被动防御转变到主动防御。

 

然而，等保合规不完全等于保证百分百安全，用户通过了等级保护核查，并不意味着在安全保障上拿到了免责牌。目前在网络安全事件中，各类网络攻击依然频发，所造成的数据泄露事件层出不穷。如勒索病毒已成为网络安全中的最大安全威胁，对全球各行业用户的信息系统构成重大安全隐患。

 

国家网络安全工作规划是：一个中心，三重防护。对应到等2中即安全管理中心、安全通信网络、安全区域边界、安全计算环境（物理环境安全属于独立科目），此外网安法中要求系统建设必须做到三同步，即同步规划、同步建设、同步使用。

 

《网安法》第三十三条规定：建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

 

同步规划：在业务规划的阶段，应当同步纳入安全要求，引入安全措施。如同步建立信息资产管理情况检查机制，指定专人负责信息资产管理，对信息资产进行统一编号、统一标识、 统一发放，并及时记录信息资产状态和使用情况等安全保障措施。

 

同步建设：在项目建设阶段，通过合同条款落实设备供应商、厂商和其他合作方的责任，保证相关安全技术措施的顺利准时建设。保证项目上线时，安全措施的验收和工程验收同步，外包开发的系统需要进行上线前安全检测，确保只有符合安全要求的系统才能上线。

 

同步使用：安全验收后的日常运营维护中，应当保持系统处于持续安全防护水平，且运营者每年对关键信息基础设施需要进行一次安全检测评估。