網絡安全等級保護是指對國家秘密信息、法人或其他組織及公民專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級進行響應、處置。

我國的等保工作最早是從1994年提出的，但直至2007年才發布《信息安全等級保護管理辦法》及后續的系列政策，等保工作才正式開始。2008年，《信息安全技術信息系統安全等級保護基本要求》（GB/T 22239-2008）的公布標志著等級保護制度的標準化，等保1.0時代正式到來。

隨著新技術的不斷精進，網絡安全威脅也不斷升級，等保1.0已經逐漸不能適應網絡環境的變化。2019年5月13日下午，《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239-2019）正式發布，替代了原先的《信息安全技術 信息系統安全等級保護基本要求》（GB/T22239-2008），并在標準名稱、保護對象、章節結構、控制措施等部分進行了修改和更新，實施時間為2019年12月1日，標志著我國網絡安全等級保護工作正式進入“2.0時代”。

依據系統受破壞后危害的范圍和嚴重程度，等保等級由低到高分為五級。其中1級系統影響小，無需備案；5級系統屬于理想狀態，目前尚未存在。從實踐層面看，4級是等保等級中最難的級別了。值得一提的是，2018年6月，華為云高分通過等保2.0評測4級，為用戶提供更加安全可靠的云服務。

體系框架和保障思路的變化

相比等保1.0，等保2.0更加契合當今的網絡安全形勢，將“云計算、物聯網、移動互聯網、大數據和工業控制系統”納入等保監管，互聯網企業也將納入等級保護管理。等保1.0保護的對象是計算機信息系統，而等保2.0上升為網絡空間安全，除了計算機信息系統，還包含網絡安全基礎設施、“云、物、移、大、工控”等對象。等保由原來的規定上升到了法律,執行力度加大，等級保護2.0是一次網絡安全的重大升級。

等保2.0由舊標準的10個分類調整為8個分類。管理要求方面，調整為安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理；技術要求方面，調整為物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全。

等級保護工作的基本流程落實到系統建設全生命周期的每個環節，每一環都需要系統運營、使用單位重點留意。等保工作包括系統定級、系統備案、整改實施、系統測評和運維檢查五大步驟，其中最重要的環節是信息系統安全等級測評，它用來驗證信息系統能不能滿足相應安全保護等級，包含安全控制測評和系統整體測評兩個層次。

測評的變化

從前等保1.0第四級系統每半年測評一次，現在第三級以上系統每年一次，測評周期有所放長；等保1.0里60分以上即符合測評結果，現在要求75分以上才能通過測評，測評門檻有所提高。

標準控制點與要求項數量的變化

等保2.0的標準控制點數量與等保1.0基本持平，匯總來看相對于舊標準有所精簡，三級與四級的控制點數量均削減至71個。

要求項方面的精簡程度更加明顯，大量刪減了冗雜條項。等保2.0的二級、三級、四級的要求項從舊標準的175個、290個、318個分別削減至148個、231個、246個。

除刪減冗雜項外，等保2.0通用要求中還根據互聯網業態發展新增了重要要求項，主要集中在入侵防范、惡意代碼防范、集中管控、安全審計和集中管控方面，與新增要求項一一對應的信息安全新增產品也將隨之迎來巨大的發展空間。

等保2.0與1.0最大的區別在于系統防護由被動防御變為主動防御，從前被動防御要求防火墻、殺病毒、IDS，現在上升到主動防御，除了傳統的安全設備防火墻、網絡版殺毒軟件以及網關層的防毒墻外，還需要部署安全準入系統、堡壘機、雙因素認證設備、漏洞掃描器、數據庫防火墻；另外還需要定期的安全服務，包括滲透測試服務、系統上線前安全測試服務與安全運維服務；最后，還需部署SOC平臺、安全態勢感知平臺，從全局性角度去檢測、感知、發現整體的安全趨勢及可能存在的安全問題，部署防APT（高級持續性威脅）攻擊的設備發現一些潛在的不定期的隱蔽的各類攻擊。

我國信息安全行業具備強政策周期性，同時具備與宏觀經濟相關性較弱屬性。未來兩年，等保2.0落地效果逐步顯現，隨著監管范圍與監管內容的拓寬疊加信息安全行業屬性將加速信息安全行業投資。

更多數據參考前瞻產業研究院發布的《中國信息安全行業發展前景預測與投資戰略規劃分析報告》

更多深度行業分析盡在【前瞻經濟學人APP】，還可以與500+經濟學家/資深行業研究員交流互動