等级保护基本要求作为指导开展等级保护的建设整改、等级测评和监督检查等工作等重要标准，其在等级保护技术体系中具有核心地位。

5月10日，等保2.0基本要求已正式发布。本篇就重点介绍等保2.0和等保1.0基本要求的相关变化。

1、名称的变化

原名：GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》；

现名：GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》；

调整原因：为了与网络安全法提出的“网络安全等级保护制度”保持一致。

2、分类结构的变化

原结构： “物理安全”、“网络安全”、“主机安全”、“应用安全”、“数据安全和备份与恢复”（GB/T 22239-2008对各级技术要求的分类）。

现结构：“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”，GB/T 22239-2019 各级管理要求的分类和GB/T22239-2008一致。

3、内容的变化

基本要求的内容变更为“安全通用要求”和“安全扩展要求”，调整如下：

●调整安全通用要求

●新增云计算安全扩展要求

●新增移动互联安全扩展要求

●新增物联网安全扩展要求

●新增工业控制系统安全扩展要求

根据等级保护对象采用新技术和新应用的情况，选用相应级别的安全扩展要求作为补充：

●采用云计算技术的选用云计算安全扩展要求

●采用移动互联技术的选用移动互联安全扩展要求

●物联网选用物联网安全扩展要求

●工业控制系统选用工业控制系统安全扩展要求

4、取消了安全控制点的标注

取消：对控制点的“S”、“A”、“G”标注的使用，调整原标准附录B，简化了标准正文部分的内容。

增加：在等保2.0基本要求附录A中，增加安全控制措施控制点的标注及使用说明，大家可根据附录A选择和使用安全通用要求和安全扩展要求的控制点。

图注：等级保护对象定级结果组合

由于等级保护对象承载的业务不同，对其的安全关注点会有所不同，有的更关注信息的安全性，有的更关注业务的连续性。

●保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）；

●保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）；

●其他安全保护类要求（简记为G）。

本标准中所有安全管理要求和安全扩展要求均标注为G。

5、充分强化可信计算技术使用的要求

增加：从一级到四级均在“安全通信网络”、“安全区域边界”和“安全计算环境”中增加了“可信验证”控制点（和GB/T 25070设计要求保持一致）。

6、二级以上增加“安全管理中心”

增加：从二级以上开始增加了“安全管理中心”要求，并在“安全管理中心”中增加了“系统管理、审计管理”和“安全管理”控制点要求；

增加：二级增加内容为“系统管理”和“审计管理”；

增加：三级以上增加内容为“系统管理”、“审计管理”、“安全管理”和“集中管控”。

图注：安全管理中心模型图

7、安全通用要求控制点和要求项的变化

控制点变化：

要求项变化：

8、新增的扩展要求控制点和控制项数量

控制点数量：

控制项数量：

山石网科点评

1、 在基本要求通用要求方面，等保2.0控制点和1.0差不多，要求项精炼整合后数量减少；

2、在扩展要求方面，新增云计算安全、移动互联安全、物联网安全、工业控制安全新的要求，等保工作将面临新的挑战。