汇业评论

文 | 黄春林 合伙人 刘月莹 汇业律师事务所

2019年5月13日，历经多次征求意见及报批稿修订后，网络安全等级保护2.0（下称“等保2.0”）有关的几个核心标准（2019年12月1日起实施）正式公开发布，与《网络安全法》和《网络安全等级保护条例》（报批稿）等一起构成了等保2.0规范体系，从立法层级、控制科学性等角度，大幅升级等保1.0。

此外，公安部网保局、测评中心等还将于5月16日召开等保2.0的大型媒体宣贯会。可以预期，在目前网信、工信、市监等部门的网安与个人信息执法热情高涨的大背景下，后续各地公安部门将积极推进辖区内的等保2.0落地，包括定级、备案、测评及执法检查等工作。

本文中，汇业律师事务所黄春林律师团队结合等保1.0实践经验，根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019）最新正式版全文，简要解读等保2.0几个核心标准的主要内容及合规差异，并结合企业业务实际提出部分应对建议。

一、等保2.0的法律与标准规范体系

二、等保2.0与1.0版本的主要合规差异

与建立在《信息安全等级保护管理办法》及GB/T 22239-2008基础上的等保1.0不同，等保2.0着眼于当前技术条件和产业发展变化，完善了定级与测评标准，体现了更好的政策与产业兼容性。等保2.0主要内容包括定级、备案、测评、整改与检查几个环节，并沿袭了五级分类体系。与等保1.0相比，等保2.0的主要合规差异体现在：

1.调整了基本要求的控制大项及控制点

首先，等保2.0控制大项有合并及拆分。其中，主机安全、应用安全和数据安全合并为安全计算环境；网络安全拆分为安全通信网络和安全区域边界，新增安全管理中心控制项。调整后，控制大项总数还是10项，其中技术要求和管理要求各为5项。

其次，等保2.0还大幅精简了等保二级、三级的控制点，分别从175项、298项降低到135项、211项（具体统计数字可能会有差异）。

因此，企业应当根据调整后的控制点，逐个更新技术与管理合规要求。此外，调整后的等保测评合格分数，也从原来的60分（个别地区、个别行业略有差异）上调到75分。

2.新增了个人信息保护有关的控制点

为了适应国内外个人信息保护的政策及行业发展趋势，本次等保2.0还新增了个人信息保护有关的控制点，例如：（1）要求应仅采集、存储业务必要的、最小化用户个人信息；（2）应禁止未经授权访问和非法使用用户个人信息。对应的，在技术层面，还规定了初始密码修改、访客管理等控制点。

值得注意的是，虽然等保2.0对于个人信息保护的控制点描述较为宏观，但具体测评和检查时，仍然会参考公安版《互联网个人信息安全保护指南》及国标35273的要求，详细评估企业在个人信息保护方面的合规性。

3.调整了管理制度、机构和人员要求

首先，强化了企业网络安全管理制度的重要性，从管理制度内容、制定与发布流程、评审与修订等几个控制点提出了合规要求，但适度降低了论证、审定及发布的程序性要求。

其次，明确应当建立网络安全管理机构，并应当配备相适应的人员。此外，企业应当建立相应的人员录用、离岗审计，强化日常安全培训，制定相应的业务流程指引。

此外，还要求企业建立自行研发软件的流程及制度，强化设备及系统运维和管理制度，等等。

4.新增云计算、移动互联网、物联网和工业控制系统等行业的安全扩展要求

这是等保2.0的最大亮点。本次等保2.0详细规定了云计算、移动互联网、物联网和工业控制系统行业（无大数据）的安全扩展要求，从主动防御、预警感知等方面增强了上述行业的网络安全性。

例如，对于云计算机房及服务器的物理位置提出了要求；明确要求企业建立移动应用软件采购、开发与管理制度；要求物联网企业建立安全运维制度及感知节点管理制度；等等。

5.等保定级与测评要求发生变化

首先，等保1.0版本中，等保定级采取“自主定级”模式。但在2.0版本中，定级要求更改为“申请批准”模式，即企业应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由，并组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定，最终报定级结果经过相关部门的批准。

其次，等保1.0版本中，等保二级没有强制测评要求，等保三级每年测评一次；但在等保2.0版本中，二级和三级均改为要求“定期测评”，且“发生重大变更或级别发生变化时”要求进行二次测评。

三、2.0版本的等保二级与三级合规差异

对于大多数企业而言，主要适用《信息安全技术 网络安全等级保护基本要求》中的安全通用要求，并根据系统风险等级及企业业务实际情况合理、合规定级。根据《信息安全技术 网络安全等级保护基本要求》及汇业黄春林律师团队业务经验，在等保2.0最新版本下，等保二级与三级在安全管理要求方面（非安全技术）的主要合规差异为：

四、等保2.0时代的企业行动建议

等保2.0发布后，企业应当主动比对合规差异，积极利用等保2.0及ISO27001等标准体系，全面提高企业网安合规标准，降低企业行政与刑事执法风险。为此，汇业律师事务所黄春林律师团队建议：

1.企业应当正确理解等保与CII管理制度的关系

比对等保条例（报批稿）及CII安保条例（报批稿）有关规定，实际上等保三级和CII的合规要求逐渐趋同（例如服务器设备要求、数据跨境转移要求、系统跨境维护等要求），但等保三级不一定会被认定CII，CII一定会被定级为等保三级或以上。

2.企业应当正确理解等保2.0合规的全覆性、紧迫性

尽管等保2.0新增了云计算、移动互联网、物联网等行业的扩展要求，但并不意味着只有这些行业需要开展等保合规。根据《信息安全技术 网络安全等级保护基本要求》规定的等保对象描述，等保对象包括“基础信息网络、信息系统”（例如一般行业的内部系统、外部网络平台等）在内的一切网络系统均是等保对象，实现了“除个人及家庭自建网络之外的领域全覆盖。目前实践中，部分企业仅就外部网络平台（例如网站或APP）开展等保备案，在未得到当地网安部门的书面合规承诺的情况下，未来一旦发生网安事件（尤其是涉及大量用户信息的内部会员系统、业务系统等），仍然存储较大法律合规风险。

在此之前，各地已经有大量企业因未开展等保合规而被处罚的案例。等保2.0发布后，短期内执法机关的执法热情会大幅高涨。因此，建议企业尽快根据等保2.0要求，完善、更新合规控制点，避免不必要的合规风险。

3.企业应对等保2.0合规的其他建议

汇业黄春林律师团队还建议，目前仍未完成网络安全技术、管理制度及岗位人员建设的企业，应当尽快自行或聘请外部机构参照有关法律、法规及标准完善建设；目前仍未开展等保定级、备案、测评整改的企业，应当尽快启动等保合规项目，尤其是用户数量较大、涉及在线交易支付的电商、游戏及大数据等行业；已经完成等保1.0合规项目的企业，应当尽快更新等保2.0合规控制项目。

汇业黄春林律师团队提供的等保合规服务包括：

备注：获取《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019）正式版，或了解更多信息及服务，请联络汇业黄春林律师团队。