信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在我国信息安全等级保护广义上涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统等级保护。

    随着信息科技的飞速发展，我国历年来建立了一些列法律法规、管理办法，以保障我国社会的稳步前行。1994年，我国国家国务院颁布《中华人民共和国计算机信息系统安全保护条例》。2007年和2008年颁布实施《信息安全等级保护管理办法》和《信息安全等级保护基本要求》，形成了等保1.0。历经多年的发展演进，已在各行业的应用中取得了一定的效果。随信息技术的发展和网络安全形势的变化，等保1.0要求逐渐无法有效应对新的安全风险和新技术应用所带来的新威胁，等保1.0被动防御为主的防御无法满足当前发展要求，因此急需建立一套主动防御体系。等保2.0适时而出，从法律法规、标准要求、安全体系、实施环节等方面都有所改变。

    《中华人民共和国网络安全法》由全国人民代表大会常务委员会于2016年11月7日发布，自2017年6月1日起施行。

    2019年5月13日国家标准化管理委员会发布了新修订的《信息安全技术-网络安全等级保护基本要求》，这被很多人成为
“等保2.0”。那么“2.0”与“1.0”又有何异同，让我们一起来看一下。

一、等保1.0版与2.0版共同点：   

◾ 等级保护“五个级别”不变；

◾ 等级保护“规定动作”不变，定级、备案、建设整改、等级测评、监督检查；

◾ 等级保护“主体职责”不变。

二、等保2.0版相对等保1.0版的变化：

1、标准依据改变

    从条例法规提升到法律层面。等保1.0的最高国家政策是国务院147号令，而等保2.0标准的最高国家政策是网络安全法，其中《中华人民共和国网络安全法》规定：
    第二十一条要求，国家实施网络安全等级保护制度；
    第二十五条要求，网络运营者应当制定网络安全事件应急预案；
    第三十一条则要求，关键基础设施，在网络安全等级保护制度的基础上，实行重点保护；
    第五十九条规定的网络安全保护义务的，由有关主管部门给予处罚。

    不开展等级保护等于违法！

2、标准要求改变

    等级2.0在1.0基本上进行了优化，同时对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。在使用新技术的信息系统需要同时满足“通用要求+扩展要求”。且针对新的安全形势提出了新的安全要求，标准覆盖度更加全面，安全防护能力有很大提升。

    通用要求方面，等保2.0标准的核心是优化。删除了过时的测评项，对测评项进行合理改写，新增对新型网络攻击行为防护和个人信息保护等新要求，调整了标准结构、将安全管理中心从管理层面提升至技术层面。

    扩展要求扩展了云计算、物联网、移动互联网、工业控制、大数据。

3、安全体系改变

    等保2.0相关标准依然采用“一个中心、三重防护”的理念，从等保1.0被动防御的安全体系向事前防御、事中相应、事后审计的动态保障体系转变。建立安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综合防御体系，开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。

4、等级规定操作

    保护定级、备案、建设整改、等级测评、监督检查的实施过程中，等保2.0进行了优化和调整。

（1）定级对象

等保1.0定级的对象是信息系统，等保2.0的定级对象扩展至基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台，覆盖面更广。

（2）定级级别

公民、法人和其他组织的合法权益产生特别严重损害时，相应系统的等级保护级别从1.0的第二级调整到了第三级（根据GA/T1389）。

（3）定级流程

等保2.0标准不再自主定级，二级及以上系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，整体定级更加严格。

（4）测评合格要求提高

相较于等保1.0，等保2.0测评达的标准发生了变化，2.0中测评结论分为：优（90分及以上）、良（80分及以上）、中（70分及以上）、差（低于70分），70分以上才算基本符合要求，基本分调高了，测评要求更加严格。