等保的历史

等保1.0

给出几个等保重要时间节点：
1994年，国务院颁布国务院147号令《中华人民共和国计算机信息系统安全保护条例》，规定计算机信息系统实行安全等级保护。这是第一次提出等保的概念。
1999年，GB 17859-1999《计算机信息系统安全保护等级划分准则》国家强制标准发布。关于标准的知识可以看这里
2003年，中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。
2005年，公安部四大标准初稿出台（正式稿后面才出来）：
GB/T 22239 基本要求
GB/T 22240 定级指南
GB/T 25058 实施指南
GB/T 28448 测评标准
2007年6月，公通字[2007]43号《信息安全等级保护管理办法》发布。
2007年7月，四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。
2007年7月20日，召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议，标志着信息安全等级保护制度正式开始实施。
2010年4月，公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》，提出等级保护工作的阶段性目标。
2010年12月，公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》，拉开了央企等保工作的序幕。

以上是等保1.0的发展历史，以下则是2.0的发展历史。

等保2.0

2013年，全国信息安全标准化技术委员会授权WG5-信息安全评估工作组开始启动等级保护新标准的研究。
2014年，习总书记出任中央网络安全和信息化领导小组组长，网络安全上升到国家安全战略。
2015年，中央网络安全和信息化领导小组2015年工作要求、落实国家信息安全等级保护制度
2016年11月7日，《中华人民共和国网络安全法》正式颁布（2017年6月1日正式实施），第二十一条明确：国家实行【网络安全等级保护制度】。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。当然，相关条款还有31条和33条。
2017年1至2月，全国信息安全标准化技术委员会发布《 网络安全等级保护基本要求》系列标准、《 网络安全等级保护测评要求 》系列标准等“征求意见稿”。
2017年5月，国家公安部发布《GA/T 1389—2017 网络安全等级保护定级指南》、《GA/T 1390.2—2017 网络安全等级保护基本要求 第 2 部分：云计算安全扩展要求》等4个公共安全行业等级保护标准。
2019年12月1日，等保2.0标准正式实施，发布会沈昌祥院士还做了演讲，记得B站有视频。
从以上历史可以看到，国家对网络安全是越来越重视，等保已经是必然要做的工作（法律规定），但是也还有人想不通，做了等保就安全了吗？当然不是，那不是白做了？其实这个问题很简单，等保是为了加强信息系统（现在不这么叫，要叫等保对象）的安全防护水平，通俗来说，如果信息系统出了安全问题且没有做等保，那么主体单位（使用者）就要承担主要责任，要受到公安部门的网监的处罚，如果做了等保出问题也不是说免责，当然等保里面也相关规定要调查啥啥的流程，但是没有处罚。提升安全防护水平比较主观，于是就有了等保相关标准，来指导我们如何来做，对主体的网络安全会有整体的规划或思路。
关于责任主体的补充：谁主管谁负责、谁运赏谁负责、谁使用谁负责的原则，

流程及参与角色和分工

这块内容之前写过，看这里：
详细流程那个图超大，不贴了，直接看大的步骤：
定级备案：梳理等保对象（信息系统、云大物工移）情况，确定等级，提交定级报告和备案表到当地网监。（按惯例这块工作测评机构代劳）
差距评估：聘请第三方测评机构，进行安全检查和评估，找出现状问题，提交问题报告和整改方案。（当做初评也行）
整改建设：根据差距评估结果，进行技术+产品+人工+管理制度等方面的整改建设工作。（安全厂商这个时候要出场）
等级测评：聘请第三方测评机构，进行等级保护测评工作，提交相应的等级保护测评报告到当地网监。（拿证，这个证不是安全证书，而是安全防护能力的证书）
后面的章节基本就按这几个步骤来展开。
关于分工这块补充一下：
等保一共五级，一到三级都是测评机构做，四五级都是公安部自己搞定。
测评机构和安全厂商虽然职能是分开，但都是“过等保”中不可分开的角色，二者经常狼狈为奸 全面合作，相互介绍客户。

等保1.0 vs 2.0

这块内容在中级测评师教材里面有，里面是按每个标准进行描述的，这里还是稍微整理一下，整合到一起：

1. 名称发生变化：这里的名称主要是指标准的名称，为了与《网络安全法》中第21条（看上面）提出的“网络安全等级保护制度”保持一致，例如：

这里要点就是信息系统换成了网络安全，从整体范围来看，信息系统安全∈网络安全∈信息安全。

2. 定级对象的变化：名称的变化导致定级对象的变化，原来只考虑信息系统安全，现在要考虑网络安全，即：
   $$网络=信息系统+关基+云大物工移$$
3. 等保安全要求的变化：由于对象变多了，所以等保安全要求也就发生了变化，我们把信息系统对应的安全要求称为安全通用要求，把其他系统或网络对应的安全要求称为安全扩展要求。（关键信息基础设施没有单独列扩展要求，应根据其具体形态或者说类型选择相应要求）
4. 控制点和要求项的变化：都是分为技术和管理两个大类，在对应关系和名称上有变化，不用解释，2.0更加好背（都是安全两个字打头，然后加居然要求）。里面的具体控制点还有变化，有减少也有增加。这里面可以看到比较明显的就是多了一个安全管理中心，也就说等保2.0对于网络安全的集中管控也有新的要求，具体可以参考安全厂商推出的各种相关管控软硬件介绍。当然还增加一些类似可信计算之类的控制点。
   
5. 流程的变化（增加）：等保1.0中对于整套流程的规定为：定级备案、差距评估、安全整改、等级测评、监督检查，五个。等保2.0中在以上五个步骤上，还增加了风险评估、安全监测、通报预警、安全事件调查、数据防护、灾备、应急处置等安全要求。这点其实还可以和第四点结合起来理解
6. 效力变化：从原来的强制标准变成法律法规，因此最近出现了一些不做等保被处罚的一些案例。
7. 其他变化：例如理念的变化，正如沈院士所说，从原来的被动的防御变成主动防御；测评细节如测评结果的公式和分数要求有变化，加入了权重，不再眉毛胡子一把抓。

等保常见误区

1.等保的级别仅能代表等保对象的重要程度；过等保，仅能代表等保对象无高危漏洞，（基本）符合安全防护等级的大部分要求。并不能反映等保对象主体的具体情况，从最近几年的等保测评来看一些单位为了省钱都想方设法把等保级别定低一些，但是一些民间金融机构上来就是三级系统，虽然涉及到金融方面定三级无可厚非，但是这些机构确将过等保三级作为一种实力的象征（也代表一丢丢实力，毕竟这玩意每年都要烧一笔钱）但不代表这个机构不会倒闭或者跑路。
2.过等保仅能代表等保对象当前一段时间内容的安全状态，对于安全风险而言，它是一个动态的一个过程，例如某系统突然爆发出一个高危漏洞，而你未及时关注并修复，那么等保对象就处于一种危险状态，这也是为什么二级以上系统每一年都要整一次（原来1.0里面四级系统是半年整一波）。因此，等保也是一个动态的过程，在等保的测评报告中还专门有对上一次等保遗留问题的如何解决描述。
3.物理隔离的系统也需要做等保。有研究表明，70%-80%网络攻击都是从网络内部发起的，因此等保等级的划分标准并不是按照网络的隔离效果来区分，只要属于等保对象，就要纳入等保的范畴。
4.部署在云上的系统，尤其是网站，也要做等保。很多单位的主管，认为网站或系统放在别人的云上，出了安全事故就和自己没有关系，这个想法是错误的（通常云平台只负责物理环境安全），具体看上面对安全主体的定义。这里要注意两点：第一，部署在云上的系统/网站的等保级别≤云的等保级别；第二，将已经通过等保的系统/网站，迁移到未定级的云平台的，应该先将云平台定级做等保，然后通过等保的系统/网站要重新做等保（定级标准里面有说明，这属于重大变更）。
5.不能自己定等保级别，新定级标准还未实施，新标准加入了专家评审机制。但是仍然不能自己定级别，定低了没有起到保护等保对象的作用，定高了白白烧钱。一般有行业标准按行业标准，没有行业标准看上级部门，没有上级部分看兄弟单位的类似系统，再就是根据基本，例如市级系统定三级，县级就可以考虑降一级。不过一般这个事都是测评机构代劳。