等保测评2.0以动态防御、主动防护为核心，构建双重防护体系。技术层面涵盖安全物理环境、通信网络、区域边界、计算环境及安全管理中心，形成三重防护结构。管理层面覆盖安全管理制度、机构、人员、建设及运维全流程。其对象扩展至云计算、物联网、工业控制等新兴场景。

　　安全等级保护测评2.0内容

　　等级划分：

　　五个等级：信息系统根据受破坏后的影响范围划分为一级至五级，逐级提升防护要求。

　　等级特征：

　　一级(自主保护级)：适用于小微企业内部系统(如非电商展示网站)，破坏后仅损害公民或组织合法权益，不影响国家安全、社会秩序。措施要求为年检自查，无需备案。

　　二级(指导保护级)：适用于处理普通信息的系统，破坏会严重损害合法权益或轻微影响社会秩序。需向公安备案，每两年测评一次。

　　三级(监督保护级)：适用于重要数据系统，破坏将严重损害社会秩序或公共利益，甚至威胁国家安全。每年强制测评，建立三级防护体系。

　　四级(强制保护级)：适用于国家级核心系统，破坏会特别严重损害国家安全或社会公共利益。需建立动态防御体系，每半年渗透测试。

　　五级(专控保护级)：适用于涉及国家安全的核心系统，破坏将导致国家安全极端损害。需军事级防护，由国家直接管控。

　　保护对象扩展：

　　覆盖范围：从传统信息系统扩展至云计算、物联网、工业控制、移动互联、大数据等新兴技术场景。

　　场景适配：针对不同技术场景提出安全扩展要求，如云计算平台需单独定级备案，物联网需整体定级(感知层、网络传输层、处理应用层)。

　　等级保护2.0测评要求

　　技术层面：

　　安全物理环境：包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

　　安全通信网络：包括网络架构、通信传输、可信验证。

　　安全区域边界：包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证。

　　安全计算环境：包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护、个人信息保护。

　　安全管理中心：包括系统管理、审计管理、安全管理、集中管控。

　　管理层面：

　　安全管理制度：包括安全策略、管理制度、制定和发布、评审和修订。

　　安全管理机构：包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

　　安全管理人员：包括人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

　　安全建设管理：包括安全方案设计、产品采购、自行软件开发、外包软件开发、工程监理、测试验收、系统交付、等级保护、服务供应商选择。

　　安全运维管理：包括环境管理、资产管理、介质管理、设备维护、漏洞和风险检查、网络和系统安全管理、恶意代码防御管理、账号密码管理、备份恢复管理、应急安全防御管理。

　　测评流程：

　　定级备案：确定信息系统安全保护等级，向公安机关备案。

　　建设整改：对照等保要求，找出现有安全措施的不足，制定整改方案并实施。

　　等级测评：由具有资质的第三方测评机构进行技术测试和管理审核，出具测评报告。

　　监督检查：接受相关部门的监督检查，定期复查，保持系统合规状态。

　　等级保护 2.0 测评要求

　　合规性要求：

　　法律法规：遵循《中华人民共和国网络安全法》《信息安全等级保护管理办法》等法规，要求组织必须对信息资产实施等级保护。

　　责任主体：明确网络运营者、测评机构、监管部门的责任，确保等保工作有效落实。

　　测评机构要求：

　　资质要求：测评机构需具有等保测评资质，测评组至少配备 4 名测评师，包括 1 名高级测评师和 1 名中级测评师。

　　工作流程：具有完善的工作流程和应急流程，保证测评活动的每个环节都得到有效的控制。

　　测评方案：包括物理安全、主机安全、网络安全、应用安全、数据备份与恢复、管理安全等。

　　质量控制：具有良好的质量控制能力和质量管理体系，具备 GB/T19001 系列/ISO9001 系列管理体系认证。

　　测评指标要求：

　　技术类指标：

　　保护数据安全(S)：确保数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权修改，如物理访问控制、边界完整性检查、身份鉴别、通信完整性、保密性等。

　　保障系统可用性(A)：保护系统连续正常运行，免受对系统的未授权修改、破坏而导致系统不可用，如电力供应、资源控制、软件容错等。

　　管理类指标(G)：通用安全保护类要求，如安全审计、管理制度等。

　　测评结论要求：

　　评分标准：测评结论分为优(90 分及以上)、良(80 分及以上)、中(70 分及以上)、差(低于 70 分)，70 分以上才算基本符合要求。

　　整改要求：对于测评中发现的问题，需及时整改，确保信息系统满足相应等级的安全要求。

　　持续监控与更新要求：

　　安全监控：建立安全监控机制，持续监控系统的安全状况。

　　策略更新：随着技术和威胁的变化，定期更新安全策略和技术措施。

　　培训教育：定期对员工进行信息安全意识培训，提高整体的安全防范水平。

　　等保测评2.0将信息系统划分为五个安全等级，从一级至五级逐级提升防护要求，依据系统受破坏后对公民权益、社会秩序、国家安全的影响范围界定等级。测评流程包括定级备案、建设整改、等级测评、监督检查四个阶段，要求定期测评、持续监控并更新安全策略，确保系统合规性动态达标。