等级保护2.0的变化

等级保护1.0的保护对象主要包括各类重要信息系统和政府网站，保护方法主要是对系统进行定级备案、等级测评、建设整改、监督检查等。
近年来，随着信息技术的发展和网络安全形势的变化，等保1.0要求已无法有效应对新的安全风险和新技术应用所带来的新威胁，等保1.0被动防御为主的防御无法满足当前发展要求，因此急需建立一套主动防御体系。等保2.0适时而出，从法律法规、标准要求、安全体系、实施环节等方面都有了变化。
在此基础上，等级保护2.0扩大了保护对象的范围、丰富了保护方法、增加了技术标准。等级保护2.0将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象，并将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施全部纳入等级保护制度。
两个全覆盖
第一，覆盖各地区、各单位、各部门、各企业、各机构，也就是覆盖全社会。
第二，覆盖所有保护对象，包括网络、信息系统，以及新的保护对象，云平台、物联网、工控系统、大数据、移动互联等各类新技术应用。
两个全覆盖是网络安全等级保护制度的核心，是重中之重。

标准依据的变化

从条例法规提升到法律层面。等保1.0的最高国家政策是国务院147号令，而等保2.0标准的最高国家政策是网络安全法，其中《中华人民共和国网络安全法》第二十一条要求，国家实施网络安全等级保护制度；第二十五条要求，网络运营者应当制定网络安全事件应急预案；第三十一条则要求，关键基础设施，在网络安全等级保护制度的基础上，实行重点保护；第五十九条规定的网络安全保护义务的，由有关主管部门给予处罚。因此不开展等级保护等于违法。

体系框架和保障思路的变化

等级保护1.0体系中主要体现被动防御，围绕一个中心三重防护展开(防火墙、入侵检测、防病毒)。而等级保护2.0则强调全方面的主动防御，强调向感知预警、动态防护、安全检测、应急响应的主动保障体系转变。
　　等保2.0相关标准依然采用“一个中心、三重防护”的理念，一个中心即安全管理中心，三重防护即安全计算环境、安全区域边界、安全通信网络。建立安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综合防御体系，开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。
　　等保2.0控制措施的分类结构调整，充分体现“一个中心、三重防护”的思想。其中技术部分调整为：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。管理部分调整为：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

标准要求的变化

等级2.0在1.0基本上进行了优化，同时对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。在使用新技术的信息系统需要同时满足“通用要求+扩展要求”。且针对新的安全形势提出了新的安全要求，标准覆盖度更加全面，安全防护能力有很大提升。扩展要求扩展了云计算、物联网、移动互联网、工业控制、大数据。
通用要求方面，等保2.0标准的核心是优化。删除了过时的测评项，对测评项进行合理改写，新增对新型网络攻击行为防护和个人信息保护等新要求，调整了标准结构、将安全管理中心从管理层面提升至技术层面。在等级保护2.0通用要求部分新增了部分重要要求项。如：强调了入侵防范、安全审计、恶意代码防范、集中管控等要求。

等保2.0由一个单独的基本要求演变为通用安全要求+新技术安全扩展要求，其中安全通用要求是不管等级保护对象形态如何都必须满足的要求，针对云计算、移动互联、物联网和工业控制系统提出了特殊要求，称为安全扩展要求。

云计算安全扩展要求包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。
移动互联安全扩展要求包括“无线接入点的地理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。
物联网安全扩展要求包括“感知节点的物理保护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。
工业控制系统安全扩展要求包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。
　　
　　等级保护2.0做出对关键信息基础设施“定级原则上不低于三级”的指导，测评分数的要求由60分提升至75分以上，且第三级及以上信息系统每年或每半年就要进行一次测评。

等级保护规定动作

等级保护定级、备案、建设整改、等级测评、监督检查的实施过程中，等保2.0进行了优化和调整。
（1）定级对象的变化。
等保1.0定级的对象是信息系统，等保2.0的定级对象扩展至基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台，覆盖面更广。
（2）定级级别的变化。
公民、法人和其他组织的合法权益产生特别严重损害时，相应系统的等级保护级别从1.0的第二级调整到了第三级（根据GA/T1389）。
（3）定级流程的变化。
等保2.0标准不再自主定级，二级及以上系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，整体定级更加严格。
（4）测评合格要求提高
相较于等保1.0，等保2.0测评的标准发生了变化，2.0中测评结论分为：优（90分及以上）、良（80分及以上）、中（70分及以上）、差（低于70分），70分以上才算基本符合要求，基本分调高了，测评要求更加严格。

企业等保2.0的实施

根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则，网络运营者成为等级保护的责任主体，如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。
等保2.0有5个运行步骤：定级、备案、建设和整改、等级测评、检查。同时，也分5个等级，即信息系统按重要程度由低到高分为5个等级，并分别实施不同的保护策略。

相关处罚措施有:
《网络安全法》第五十九条规定：
网络运营者不履行义务的：由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行义务的：由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。
划重点：用户单位不做等级保护测评，用户单位需要被罚款1万-100万；主管人员需要被罚款5000-100000。