随着网络安全等级保护进入2.0时代，等级保护对象范围在传统系统的基础上扩大到了云计算、移动互联、物联网、工业控制系统、大数据等。等级保护基本要求也相应地分为通用要求和扩展要求（云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求）。而等保2.0三大推荐性国家标准——《信息安全技术 网络安全等级保护基本要求》（GB/T22239-2019）、《信息安全技术 网络安全等级保护测评要求》（GB/T28448-2019）、《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T25070-2019）已于2019年5月13日颁布，于2019年12月1日正式实施。

2019年12月3日，陈立彤律师团队携手测评机构进场，协助某国际物流企业（云服务客户）完成第三级系统的定期等级保护测评（根据《信息安全等级保护管理办法》等相关规定，第三级系统应当每年至少进行一次等级测评）。这是2019年12月1日等保2.0三大标准实施后陈立彤律师团队开展的首个等保项目。同时也是该企业取得《信息系统安全等级保护备案证明》后第一年的等级保护测评。经过各方近5个月的共同努力，该项目终于在近期圆满结束！

那么律师团队在等级保护实务工作当中到底发挥什么样的作用呢？跟着以下流程走就一目了然了：

• 被测单位与测评机构以及律所分别签订服务合同，确定各方权利义务。测评机构提供测评服务，律所提供咨询和整改服务。
• 入场前律师团队会向被测单位提供需要查看的文档和记录列表，单位可依据该列表提前准备文件。企业、律师团队与测评机构确认进场时间。
• 律师团队提前入场，提前协助被测单位准备文件。
• 测评机构入场。测评机构首先确认系统有无重大变化，若有重大变化，可能需要进行重新定级；其次，再进行技术测评和制度测评。律师团队协助被测单位进行制度测评，对于缺少的制度文件，及时与企业负责人沟通。
• 被测单位签署测评机构提供的《验证测试确认书》，确认渗透测试的时间要求以及被测单位认为需要注意的其他事项。测评机构根据确认的时间点进行渗透测试。
• 测评机构反馈问题清单，律师团队依据问题清单协助被测单位进行整改。整改过程中需要着重整改高风险项，因为这与最终的测评结果有着紧密联系（具体可参见下文对等保2.0下测评结果的介绍）。
• 律师团队将整改文件（包括技术和制度方面）一并提交给测评机构。
• 测评机构出具测评报告。测评机构在编写测评报告过程中，可能还需要向被测单位确认一些信息，例如关于堡垒机的信息，以及如何登陆堡垒机？堡垒机日志存储在哪里？堡垒机日志备份和配置备份策略是什么？律师团队均可协助完成上述信息的确认。

总而言之，律师团队可以帮助被测单位“多”、“快”、“好”、“省”地解决测评项目中的难题，包括与测评机构有效的沟通协作、整改等。

了解了工作流程之后，那么在实务中，等保2.0和1.0相比到底有什么变化呢？我们以此次项目为背景来谈谈等保2.0的“三变”。

一变：等保测评结论

相对于等保1.0来说，等保2.0的测评结论已由1.0时代的“符合”、“基本符合”以及“不符合”变为“优”、“良”、“中”、“差”，具体如下：

本次测评项目经过5个月的共同努力，被测单位终于在近期拿到了测评报告，取得“良”的结果，总分值接近90分。

二变：通用要求

由于本次项目的被测评系统部署在云计算平台上（该平台通过了等级保护三级测评），使用了云计算平台的虚拟机等服务，由云服务商负责这部分物理环境、基础网络结构等的安全，这些要求对被测单位不适用。因此，本次仅对被测单位可控范围进行安全测评并给出测评结论，共计153项安全通用要求（第三级系统通用要求中共计58项不适用本次被测评系统），对于云服务商及云平台自身的安全性以及可能对被测评系统带来的风险未作进一步评价。其中，通用要求与1.0下的基本要求相比，在本次项目中新增加制度要求主要包括以下：

个人信息保护纳入测评范围，要求提供关于个人信息保护的有关制度规定。关于等保2.0下个人信息方面的要求，我们在之前的“肥4系列”——等保2.0是怎么肥4？（003）| 数据安全与个人信息安全有详细介绍。

等保2.0是怎么肥4（004）| 安全管理要求

等保2.0是怎么肥4？（003）| 数据安全与个人信息安全

等保2.0是这么肥4！（002）| 安全管理中心

等保2.0到底是怎么肥4？

• 要求制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置等。
• 增加对基本配置信息的要求。要求应记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。基本配置信息改变应纳入变更范畴，实施对配置信息改变的控制，并及时更新基本配置信息库。
• 增加对供应商管理的要求，制定服务供应商评价审核管理制度，明确服务供应商的评价指标、考核内容，定期监督、评审和审核服务供应商提供的服务，并对服务内容的变更加以控制。
• 要求严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据。
• 增加密码管理制度，要求密码管理应遵循密码相关国家标准和行业标准。

在技术要求方面，本次项目反映出等保2.0增加的高风险是：未在关键网络节点部署检测外部攻击行为的入侵检测系统。如果该高风险无法消除或降低，对最终的测评结果有决定性影响。该风险在本次项目中表现为：被测单位部署了相应的入侵检测系统，却没有任何受到攻击的日志，这非常不符合常理，因此测评机构仍然将该情形列为高风险。不过，经过多方沟通、协助，我们最终将该风险降低了！

错过《合规管理体系指南》培训？不能错过录播！更不能错过做合规讲师！！

三变：扩展要求

本次项目的被测单位为云租户，在扩展要求方面的测评项目共计17项（第三级系统扩展要求中共计29项不适用本次被测评系统）。关于云计算平台扩展要求，此次测评中尤其突出了对云服务客户的数据保护，要求在云服务商与云服务客户之间的服务协议中规定，服务合约到期时应完整提供云服务客户数据，并承诺在云计算平台上清除相关数据。

经过此次等保测评实战，我们深切感受到，等保要求虽然越来越“严苛”，但更加合理、完善！所以，等保2.0貌似“严苛”，其实是对客户的保护，也印证了那就老话，合规是金色盾牌、合规创造价值！

【医药医械专场】ISO 19600《合规管理体系 指南》在线培训

附：等保2.0二级和三级，拓扑图怎么画？

一、二级等保（基础版）规划设计

• 【主机杀毒软件】【必配】：解决安全计算环境要求

• 【日志审计系统】【必配】：解决安全管理中心要求
• 【数据库审计】【必配】：解决安全管理中心审计要求

二、三级等保（基础版）规划设计

• 【接入边界NGFW】【必配】：融合防火墙安全策略、访问控制功能。解决安全区域边界要求，并开启AV模块功能；配置网络接入控制功能（802.1X）；配置SSL VPN功能；

• 【分区边界NGFW 】【必配】：用于解决安全分区边界的访问控制问题；

• 【主机杀毒软件】【必配】：解决安全计算环境要求；

• 【日志审计系统】【必配】：解决安全管理中心要求；

• 【堡垒机】【必配】：解决集中管控、安全审计要求；

• 【数据库审计】【必选】：解决数据库操作行为和内容等进行细粒度的审计和管理，需要根据系统内是否包含数据库业务系统选择；

• 【漏洞扫描】【必配】;

• 【上网行为管理】【必选】；
• 【WAF】【选配】。

三、三级等保（增强版）规划设计

• 【NGFW】（必选）；开启VPN，AV特性；

• 【IPS】（必选）；解决区域边界入侵防御；

• 【Anti-DDoS】【必选】;

• 【APT沙箱】【必选】：新型网络攻击行为

• 【上网行为管理】【必选】；

• 【日志审计系统】（必选）；

• 【数据库审计系统】（必选）；

• 【漏洞扫描】（必选）；

• 【主机杀毒软件】（必选）；

• 【态势感知】【必选】;

• 【WAF应用防火墙】【必选】；

• 【运维堡垒机】【必选】；

• 【网络准入控制系统】【必选】；

• 【认证服务器】【必选】；

• 【网页防篡改】【可选】；

• 【主机入侵防御HIPS】【可选】；

• 【DLP数据防泄漏】【可选】；

• 【IAM身份鉴别平台】【可选】；

• 【态势感知探针】【可选】：可复用NGFW的能力

四、三级等保（豪华版）规划设计

本栏目由大成律师事务所陈立彤、赵云虎、刘骥、赵中星、张建民、马朗、朱海斌律师等组成的网络安全与数据治理团队主持。

陈立彤律师

陈立彤律师为中国律师、美国纽约州律师、福特公司前亚太区合规总监；香港国际仲裁中心仲裁员、国际风险与合规协会副会长、国际标准组织ISO技术委员会TC309相关工作组成员，作为中国代表团成员参与制定组织治理、合规管理体系、反贿赂管理体系、法律风险管理等ISO标准并担任中国国家标准《合规管理体系指南》工作组副组长、担任中兴康讯的独董及出口委员会委员；入选司法部“全国千名涉外律师人才名单”，钱伯斯2020亚太榜公司调查/反腐败领域受认可律师。陈立彤律师为某世界知名互联网搜索引擎公司的无人驾驶项目提供全方位的法律与合规服务，是“数据120”首席数据合规顾问，该平台运营公司是全国信息安全标准化技术委员会SWG-BDS大数据安全特别工作组——该工作组负责起草修订的标准之一包括《信息安全技术 个人信息安全规范》。

赵云虎律师

赵云虎律师执业于北京大成（上海）律师事务所，上海交通大学金融学士、工学硕士，华东政法大学法律硕士，拥有律师执业资格、基金从业人员资格、专利代理人资格以及高级程序员资格，曾任职于华为、中兴、先进半导体等企业。赵律师的执业领域主要为公司法、争议解决、以及科技法，包括高新技术企业投资、知识产权等高新科技领域的法律业务，能够将数理逻辑和法律相结合为客户提供更专业、差异化的法律服务。赵律师曾经或正在服务的客户主要来自于高科技行业及金融类机构。

刘骥律师

刘骥律师是耶鲁创新学者、全国律协涉外领军人才与司法部涉外人才千人计划双入库律师、广东省律协涉外领军人才、广东省律协信息网络与高新技术法律专业委员会委员，大成律师事务所中国区科技、传媒、通讯行业领导人、大成律师事务所知识产权专业委员会理事。刘骥律师对高科技产业的趋势和方向具有极高的敏锐度，为创业技术与新兴成长企业提供融资、股权激励、投资并购、合规等创造性的解决方案和灵活的策略，帮助企业迅速应对，推动事业发展。

赵中星律师

赵中星律师的执业领域为网络安全和数据合规、外商直接投资、境外投资和公司事务。赵中星律师专注于为科技、媒体和电信行业客户的日常运营、投融资、行业监管和数据合规等方面提供法律解决方案。赵中星律师曾为全球知名电商企业、数据分析公司、网络营销公司、互联网和手机安全产品公司、互联网金融公司、区块链、共享单车平台等商业模式所涉及的诸多与数据相关的前沿法律和监管问题提供咨询和建议。赵中星律师也是汤森路透Practical Law数据库的特约作者之一，曾就网络安全和数据合规、外商投资、境投融资、互联网行业监管多个专题撰写律师实务指引文章。

张建民律师

张建民律师为狗熊会联合创始人，数据合规研究中心主任。主要从事私募股权、证券投资基金，投融资并购以及衍生的争议解决业务，张律师是数据资产调查（数据FTA）法律服务产品的首创者，对数据合规、隐私保护、数据治理有着长期、深入的研究。

马朗律师

马朗律师执业以来，共办理各类刑事案件200多件，尤其在职务犯罪、金融犯罪和知识产权犯罪领域有丰富的办案经验。基于丰富的刑事诉讼经验，马律师在企业合规领域所遇刑事法律风险的识别与控制，亦有独到且专业的法律见解与方案。马律师兼任中国案例法学研究会理事、上海市刑法学研究会理事、华东政法大学司法改革与判例研究中心副主任、上海市律师协会刑事法律业务研究会委员、大成律师事务所企业合规与刑事法律风险防范研究中心执行主任等职。

朱海斌律师

朱海斌律师专注于金融证券、贪污贿赂、合同诈骗、涉税、非法集资、挪用侵占等各类型白领犯罪及金融领域犯罪案件的研究与办理。曾办理多起具有重大社会影响力的刑事犯罪案件，曾荣获大成首届“十佳刑辩律师”。曾在上海市公安局普陀分局、经济犯罪侦查总队办理经济犯罪案件十余年，侦办过百余起重特大经济金融犯罪案件。具有丰富的办案实战经验，获得上海市公安局、中国证监会授予的多项荣誉。

我们的服务范围包括：

政府调查与刑事辩护：

-行政监管调查应对

-刑事调查应对

-刑事辩护

-政府调查应对

监管分析

结合行业监管要求，对于数据驱动或涉及数据的业务模式或活动进行监管分析，包括：

-自动驾驶；

-大数据分析和应用；

-电商平台（包括跨境电商业务）；

-智能硬件；

-网络营销；

-线上销售保险产品；

-政务数据的合作和使用。

网络安全等级保护制度

将网络划分为不同的安全保护等级并对其实施不同的保护和监管。网络安全等级保护工作包括以下：

-定级：确定系统等级

-备案：向公安机关备案

-安全建设整改：安全技术建设整改、安全管理建设整改

-等级保护测评（需要具有网络安全等级保护测评资质的机构进行，并且不能是安全建设整改供应商）；

-安全自评。

数据自由应用尽职调查（FTA调查）

指对数据控制者/数据处理者获取、存储、流通以及商业应用数据是否可能侵犯数据主体的权利和是否违反其他法律法规的规定而进行的调查和分析。FTA调查适用于以下情景：

-以数据资产为标的的交易；

-包含数据资产的投资并购项目；

-以数据为纽带的企业间合作项目；

-基于数据衍生的数据类创业项目；

-数据企业的自我合规诊断与提升。

差距分析

对现时的数据收集和使用活动进行梳理，生成数据地图，并根据相关法律法规和内部数据治理制度的要求，评估违法违规的数据处理活动，并提出建议，协助实施建议。差距分析可适用于特定的数据处理活动或特定的产品或业务线。

数据影响评估

-个人隐私影响评估：为涉及个人信息收集和使用的业务开展个人隐私影响评估，出具评估报告，提示风险和建议

-供应商（上游）评估

-供应商（下游）评估

-第三方数据接收方评估

-第三方数据提供方评估。

数据合规体系建设

为客户建立全面的网络安全和数据治理合规体系制度，包括：

-《网络安全和数据保护政策》（纲领）

-《个人信息管理规范》

-《数据分类分级和权限管理规范》

-《实现数据主体权利管理规范》

-《向第三方输出数据管理规范》

-《从第三方接收数据管理规范》

-《数据安全事件管理制度》

区块链

-区块链赋能场景合规评估

-区块链监管与合规咨询

-区块链境外监管、合规及商用项目咨询

扫描二维码

关注我们