等保20落地实施指南

1、 等保2.0落地实施指南目 录 TOC o 1-3 h z u HYPERLINK l _Toc13032658 1.等保2.0有哪些重要变化 PAGEREF _Toc13032658 h 3 HYPERLINK l _Toc13032659 2.云环境下的等级保护方案 PAGEREF _Toc13032659 h 5 HYPERLINK l _Toc13032660 3.企业如何通过等保“大考” PAGEREF _Toc13032660 h 7 HYPERLINK l _Toc13032661 4.持续保护，让企业数据更安全 PAGEREF _Toc13032661 h 8日前，网络安全等级

2、保护制度2.0标准正式对外发布，并将于2019年12月1日正式实施。近年来，随着云计算、移动互联、物联网等新兴技术的发展，以及网络安全形势的变化，传统等保的安全要求已经无法有效应对新的安全风险和新威胁，等保2.0正是在此背景下推出。等保2.0有哪些重要变化首先，法律效力不同。等保制度的政策依据从条例法规提升到法律层面，中华人民共和国网络安全法中明确提出了要实行网络安全等级保护制度，网络运营者如果不履行等级保护义务将受到处罚。其次，保护对象更科学更全面。等保2.0把云计算平台、大数据平台、移动互联网、物联网和工业控制系统等都纳入了等级保护对象范围，并针对这些新技术、新应用提出了特殊的安全扩展要求

3、。例如，要求云计算基础设施位于中国境内，云服务客户数据、用户个人信息等也应确保存储于中国境内。再次，构建主动防御体系。等保2.0突出“一个中心、三重防护”的理念，更为注重构建全方位的主动防御，构建感知预警、安全分析、动态防护、全面检测、应急处置等于一体的网络安全综合防御体系。最后，等保测评要求不同。等保1.0要求三级系统至少每年进行一次等级测评，四级系统至少每半年进行一次等级测评。而等保2.0则要求网络运营者选择符合国家规定条件的测评机构，对三级以上系统每年开展等级测评，也就是说四级系统每年至少保证一次等级测评，降低了网络运营者的管理压力。此外，等保1.0要求60分基本符合，而在等保2.0里，

4、测评达到75分以上才算基本符合。云环境下的等级保护方案依据等保2.0标准，在云环境下开展等级保护工作应遵循如下原则：应确保云计算平台不承载高于其安全保护等级的业务应用系统。应确保云计算基础设施位于中国境内。云计算平台的运维地点应位于中国境内，如需境外对境内云计算平台实施运维操作应遵循国家相关规定。云计算平台运维过程产生的配置数据、鉴别数据、业务数据、日志信息等存储于中国境内，如需出境应遵循国家相关规定。值得一提的是，云计算平台和云上租户的应用系统需要分开定级。云平台的等级要不低于云上租户的业务应用系统的最高级。其中，针对云服务商的云平台，等保2.0明确提出：对于公有云定级流程为云平台先定级测评

5、，再提供云服务。对于私有云，定级流程为云平台先定级测评，再将已定级应用系统向云平台迁移。针对云租户的应用系统，比如某政府单位门户网站系统，在嵌入公有云平台后，还需要对这个门户网站独立定级备案、进行等保测评。不过，涉及云平台部分的内容可以不重复测评，测评结论直接引用即可。不同的云计算服务模式下，不同责任主体的责任也是不同的。等保2.0对于云服务商、云租户的职责划分如下：1、对于IaaS基础设施服务模式，云服务商的职责范围包括虚拟机监视器和硬件，云租户的职责范围包括操作系统、中间件和应用数据；2、对于PaaS平台即服务的服务模式，云服务商的职责范围包括硬件、虚拟机监视器、操作系统和中间件。云租户的

6、职责范围为应用和数据。3、对于SaaS软件服务模式，云服务商的职责范围包括硬件、虚拟机监视器、操作系统、中间件和应用，云租户的职责范围包括部分应用职责及用户使用职责。企业如何通过等保“大考”总体而言，等保2.0的覆盖面更广，测评要求也更加严格。很多企业本身就在为做等保劳心劳力，针对不久后实施的新等保标准，究竟要如何有效应对呢？通过等保测评的第一大捷径，是选择具备等保资质的云服务商。这样，云上租户可以复用云平台和SaaS应用的测评结果，让企业通过等保测评的时间大大缩短。以华宝证券为例，鉴于国家对金融行业的安全要求非常严格，xxx启用了防篡改功能对邮箱漏洞进行加固，并采用了异地备份，进一步保障了数

7、据安全，让用户顺利获得等保（三级）认证。持续保护，让企业数据更安全企业业务在不断发展，网络攻击随时随地都会发生，面对变幻莫测的内外部环境，企业需要专业的安全服务团队来持续保护。因此，在满足平台等保合规性的同时，为用户提供给一站式安全服务，保护企业数据免受外界威胁，降低网络安全风险。xxx的安全服务团队具备包括ISO27001信息安全管理体系认证、安全运维服务资质二级、可信云认证等在内的全面信息安全资质，有能力为政企用户提供安全咨询、风险评估及规划、安全评估及渗透测试等服务，从最初的规划设计、实施整改、管理体系建设，到最后的测试阶段，以等级保护为抓手，提升用户安全合规管理水平。从企业的切实安全需求出发，xxx的安全服务团队将协助用户识别风险，认清安全风险的现状，并制定相应的处置计划。新上的系统、新增加的功能，也能尽快满足网络安全的相关要求。在技术层面，xxx的云管平台会对系统进行实时监控，一旦出现问题，及时堵住漏洞，防止系统