1994-2007 起步与探索

1994年2月18日《中华人民共和国计算机信息系统安全保护条例》 （国务院第147号令）

2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）

2004年9月15日《关于信息安全等级保护工作的实施意见》

2007年6月22日《信息安全等级保护管理办法》（公通字［2007］43 号）

2007年7月16日《关于开展全国重要信息系统安全等级保护定级工作的通知》 （公信安[2007]861号）

2007-2016 标准化与发展

GB/T 22239—2008 基本要求；22240、25070、28448、28449等保国标系列标准。

2016-2019 行业深耕落地

2017年6月1日《中华人民共和国网络安全法》

2018年6月27日《网络安全等级保护管理条例（征求意见稿）》

2019之后 等保2.0

2019年5月13日《信息安全技术网络安全等级保护基本要求》

等保2.0的背景

自1994年第“147号令”，我国开始实施信息系统等级保护。十几年来，在金融、能源、电信、医疗卫生等多个行业都已深耕落地，但是随着云计算、大数据、物联网、移动互联以及人工智能等新技术的发展，等级保护1.0已无法有效的应对新技术带来的信息安全风险，为了满足新的技术挑战，有效防范和管理各种信息技术风险，提升国家层面的安全水平，等级保护2.0应时而生。

等保2.0的变化

《中华人民共和国网络安全法》第21条规定“国家实行网络安全等级保护制度”,要求“网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”；第31条规定“对于国家关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。

随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现，计算机信息系统的概念已经不能涵盖全部，特别是互联网快速发展带来大数据价值的凸显，等保保护对象的外延将不断拓展。

等保2.0构建以可信计算技术为基础的等级保护核心技术体系，强化了可信体系的这一重要思想 。

通用要求包括安全通用要求，云计算安全扩展要求，移动互联安全扩展要求，物联网安全扩展要求，工业控制系统安全扩展要求。等保2.0通用要求的核心是优化。

（1）云计算平台安全扩展要求

责任主体一分为二，测评对象需要增加。

等保级别匹配

云计算平台需要单独定级备案

云计算平台需要通过等级保护测评

同一云计算平台可承载不同级别的信息系统

云计算平台不能承载高于平台级别的信息系统

（2）大数据安全扩展要求

应将具有统一安全责任单位的大数据作为一个整体对象定级。

（3）物联网安全扩展要求

物联网应作为一个整体对象定级，主要包括感知层、网络传输层和处理应用层要素。

（4）移动互联网的安全扩展要求

移动互联技术应作为一个整体对象定级，移动终端、移动应用和无线网络等要素不单独定级，与采用移动互联技术等级保护对象的应用环境和应用对象一起定级 。

（5）工业控制系统扩展要求

工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层构成，其中:生产管理层的定级对象确定原则见(其他信息系统)。设备层、现场控制层和过程监控层应作为一个整体对象定级，各层次要素不单独定级。对于大型工业控制系统，可以根据系统功能、控制对象和生产厂商等因素划分为多个定级对象。

    文章来源：悟安