一、总体结构的变化

《GB/T22239-2019》相较于《GB/T22239-2008》，无论是在总体结构方面还是在细节内容方面均发生了变化。在总体结构方面的主要变化为：

1）为适应网络安全法，配合落实网络安全等级保护制度，标准的名称由原来的《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》。

2）等级保护对象由原来的信息系统调整为基础信息网络、信息系统（含采用移动互联技术的系统）、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等。

3）将原来各个级别的安全要求分为安全通用要求和安全扩展要求，安全扩展要求包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求。安全通用要求是不管等级保护对象形态如何都必须要满足的要求；针对云计算、移动互联、物联网和工业控制系统提出的特殊要求称为安全扩展要求。

4）原来基本要求中各级技术要求的“物理安全”、“网络安全”、“主机安全”、“应用安全”和“数据安全和备份与恢复”修订为“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”；原各级管理要求的“安全管理制度”、“安全管理机构”、“人员安全管理”、“系统建设管理”和“系统运维管理”，修订为“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。

5）云计算安全扩展要求针对云计算环境的特点提出。主要内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云计算环境管理”和“云服务商选择”等。

6）移动互联安全扩展要求针对移动互联的特点提出。主要内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购” 和“移动应用软件开发”等。

7）物联网安全扩展要求针对物联网的特点提出。主要内容包括“感知节点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理” 和“数据融合处理”等。

8）工业控制系统安全扩展要求针对工业控制系统的特点提出。主要内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等。

9）取消了原来安全控制点的S、A、G标注，增加附录A“关于安全通用要求和安全扩展要求的选择和使用描述等级保护对象的定级结果和安全要求之间的关系，说明如何根据定级的S、A结果选择安全要求的相关条款，简化了标准正文部分的内容。

10）增加附录C描述等级保护安全框架和关键技术、附录D描述云计算应用场景、附录E描述移动互联应用场景、附录F描述物联网应用场景、附录G描述工业控制系统应用场景、附录H描述大数据应用场景。

二、变化的意义和作用

《GB/T22239-2019》采用安全通用要求和安全扩展要求的划分使得标准的使用更加具有灵活性和针对性。不同等级保护对象由于采用的信息技术不同，所采用的保护措施也会不同。例如，传统的信息系统和云计算平台的保护措施有差异，云计算平台和工业控制系统的保护措施也有差异。为了体现不同对象的保护差异，《GB/T22239-2019》将安全要求划分为安全通用要求和安全扩展要求。

安全通用要求针对共性化保护需求提出，无论等级保护对象以何种形式出现，需要根据安全保护等级实现相应级别的安全通用要求。

安全扩展要求针对个性化保护需求提出，等级保护对象需要根据安全保护等级、使用的特定技术或特定的应用场景实现安全扩展要求。

等级保护对象的安全保护措施需要同时实现安全通用要求和安全扩展要求，从而更加有效地保护等级保护对象。

三、等级保护基本要求结构

等级保护基本要求从安全技术和安全管理两个维度对等级保护对象安全提出要求，即等级保护对象在构建安全防护能力时不仅仅要满足技术层面的安全，同时要注重安全管理层面的要求。

解读：

安全技术要求基于“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心” 支持下的“一个中心，三重防护”纵深防御体系构建。即：安全技术要求从通信网络到区域边界再到计算环境的从外到内的整体防护, 同时考虑对其所处的物理环境的安全防护。

对级别较高的等级保护对象还要求对分布在整个系统中的安全功能或安全组件的集中技术管理手段。

安全管理三要素：“ 机构” 、“ 制度” 和“ 人员”。

安全管理要求对管理三要素在系统建设整改过程中和运行维护过程中的重要活动实施控制和管理。

对级别较高的等级保护对象需要构建完备的安全管理体系。

等级保护基本要求结构如下图：

等级保护基本要求在结构层次上逐级分为安全类、控制点、基本要求条款。

等保2.0时代，基本要求强化可信计算技术使用的要求，可信验证列入各安全保护级别，并逐级提出网络设备、边界设备、计算设备等基础设施的可信验证要求。

四、等级保护基本要求防护体系

等级保护是在信息系统安全领域实施的基本国策，是国家信息安全保障工作的基本制度、基本方法。

等级保护基本要求安全防护体系在网络安全战略规划目标总方针、安全总体策略的指导下，构建网络安全等级保护制度，规定开展网络安全等级保护的五个规定动作：定级、备案、建设整改、等级测评、监督检查。

解读：

依据国家网络安全等级保护政策和标准，开展组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。

构建集安全管理体系、安全技术体系、网络信任体系、风险管理体系等多方位的综合防御体系。

如需等保测评服务，可后台私信联系。我司整合云安全产品的技术优势，联合优质等保咨询、等保测评合作资源，提供等保项目的一站式服务，全面覆盖等保定级、备案、建设整改以及测评阶段，高效通过等保测评，落实网络安全等级保护工作。

联系我们：15084670000（微信同号）

网站：www.hljdengbao.com