等保2.0以GB/T 22239-2019为核心二级指导保护级与三级监督保护级在身份认证、数据加密、备份恢复及管理制度上差异显著。测评作业指导书依据GB/T 28448编制覆盖十大安全类信息安全管理体系文件可参照ISO 27001分层架构融合等保管理要求实现双标覆盖。一、基本概念澄清等保2.0是等级保护制度的标准体系升级核心标准为GB/T 22239-2019不是新的等级。五个等级一级至五级继续沿用等保二级指导保护级、等保三级监督保护级是在2.0框架下的具体等级。二、等保2.0核心标准文件标准号标准名称核心作用GB/T 22239-2019信息安全技术 网络安全等级保护基本要求等保2.0核心规定一级至四级通用扩展要求GB/T 22240-2020信息安全技术 网络安全等级保护定级指南指导定级工作的原理、方法和流程GB/T 28448-2019信息安全技术 网络安全等级保护测评要求规定等级测评的方法、流程和判定准则结构安全通用要求 五个扩展云计算、移动互联、物联网、工业控制系统、大数据十个安全类物理环境、通信网络、区域边界、计算环境、管理中心、管理制度、管理机构、管理人员、建设管理、运维管理。三、定级方法依据GB/T 22240-2020确定定级对象系统、网络设施、数据资源确定受侵害的客体国家安全/社会秩序/公共利益/公民法人权益确定侵害程度一般损害/严重损害/特别严重损害综合判定等级一级至五级定级结果需书面说明并组织专家论证。四、等保二级 vs 等保三级 详细对比表4.1 技术要求差异对比维度等保二级等保三级身份认证用户名密码允许弱密码双因素认证U盾短信/生物密码复杂度≥12位入侵检测日志审计即可IDS/IPS全流量分析拦截率≥99%数据保护敏感数据加密存储传输可明文全流程加密存储传输异地实时备份备份恢复本地备份保留7天异地实时备份RPO≤5分钟RTO≤30分钟网络架构逻辑隔离物理隔离或VLAN隔离NGFW访问控制基于IP基于用户/角色/时间的细粒度控制可信验证无强制通信网络、区域边界、计算环境中增加可信验证4.2 管理要求差异对比维度等保二级等保三级团队配置可兼职无证书要求设CISO团队≥5人70%持CISP/CISSP制度文件约10类基础制度22类制度文件覆盖开发、运维、应急需符合《数安法》《个保法》演练频次每年1次模拟简单攻击每年2次攻防演练含社工、供应链、APT运维要求基础运维7×24h监控应急响应日志留存一般要求操作日志留存≥6个月支持追溯4.3 测评周期与监管力度对比维度等保二级等保三级测评周期建议每2年自主或委托测评每年至少一次等级测评监管力度指导保护级监督保护级强制检查违法可行政处罚备案层级市级网信部门省级网信部门法律责任警告或小额罚款业务停整、高额罚款、刑事责任《网络安全法》第59条4.4 适用场景与成本参考对比维度等保二级等保三级适用系统企业官网、内部OA、普通财务银行核心、医院HIS、政务云、大型电商测评费3-5万元8-15万元整改费10-20万元30-50万元年运维费5-10万元15-30万元含7×24h监控选择建议非核心系统选二级涉及敏感数据、交易支付、公共服务、政务功能必须定三级。五、等保测评作业指导书5.1 测评总体流程依据GB/T 28448测评准备活动掌握被测系统准备工具方案编制活动确定对象、指标编制作业指导书和方案现场测评活动执行单元测评和整体测评获取证据分析及报告编制分析差距和风险形成报告5.2 作业指导书开发步骤从GB/T 22239中选择“控制点”和要求项从GB/T 28448中选择“测评方法”结合实际情况调整形成作业指导书5.3 测评方法访谈基于作业指导书避免倾向性提问核查检查制度文档、操作规程、执行记录、物理环境5.4 作业指导书主要模块10个安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理六、信息安全管理体系ISMS文件架构参照ISO/IEC 27001:2022分为四个层级第一层信息安全管理手册颁布令、任命书、组织环境、领导作用、规划、支持、运行、绩效评价、改进第二层程序文件示例业务持续性管理程序事故、薄弱点与故障管理程序风险评估管理程序内部审核管理程序用户访问控制程序管理评审控制程序重要信息备份管理程序预防措施程序等第三层作业指导书和规定Token管理规定、介质销毁办法、密码管理规定机房安全管理规定、数据加密规定远程工作控制程序、网站信息发布程序各岗位操作规程第四层记录和表单事故调查分析报告、信息发布审查表信息资产识别表、法律法规清单机房值班日志、出入登记表用户访问授权登记表、第三方访问申请表测试报告、验收报告、记录借阅登记表等等保2.0与ISO 27001融合建议体系/标准核心要求融合要点等保2.0GB/T 22239技术要求管理要求10类管理类制度与ISMS管理手册对齐ISO 27001:2022组织环境、领导、规划、支持、运行、评价、改进与等保管理要求整合一套制度双标覆盖GB/T 22240定级定级方法对应ISO 27001风险评估中的业务影响分析七、全套信息安全管理体系文件构建方案7.1 建设步骤顶层设计确定范围成立领导小组任命管理者代表风险识别与评估依据GB/T 22240和ISO 27001附录A策略与制度编制编写手册、程序、作业指导书技术部署按等保2.0部署防火墙、WAF、IPS、备份、日志审计等运行与培训发布制度全员培训建立运行记录内审与改进内审、管理评审、持续改进7.2 等保三级必备制度文件清单22类核心安全管理制度总纲安全管理机构职责人员安全管理制度系统建设管理制度系统运维管理制度安全开发规范数据分类分级指南应急响应预案系统上线安全检查表漏洞修复流程第三方接入规范机房管理制度口令管理规范备份与恢复管理制度各岗位操作规程及记录表单……共计22类可根据实际补充重要提醒制度必须与《数据安全法》《个人信息保护法》同步更新否则测评可能被“一票否决”。7.3 模板资源获取建议标准文本全国标准信息公共服务平台openstd.samr.gov.cn管理体系模板参考ISO/IEC 27001:2022全套手册测评作业指导书测评机构公开指南 云厂商华为云、腾讯云技术文档