今年5月，随着《信息安全技术网络安全等级保护基本要求》（GBT22239-2019）的公布，宣告等保2.0时代正式开启，并将于2019年12月1日正式实施。也就意味着，到今年年底，所有的信息系统，只要对外的，就要做定级备案，对于重要系统同时还要定为关键信息基础设施，在等保之上还要满足《关键信息基础设施安全保护条例》的要求。而等保中新增的个人信息保护中，也要满足《互联网个人信息安全保护指引》的要求，对于漏洞也应参考《网络安全漏洞管理规定》要求。

标准的东西其实不是硬性规定，其具备灵活性，同样一条标准可以通过不同方式来实现，完全可以结合企业自身环境特点来应对，我一直以来的原则是做好安全的过程中顺便将合规一起做掉，而不是为了应付检查而被动的去对标标准做合规。而且，做安全也不要太局限于技术层面，管理其实更为重要，这就是为何等保中有技术也有管理的原因。

国家网络安全工作规划是：一个中心，三重防护。对应到等2中即安全管理中心、安全通信网络、安全区域边界、安全计算环境（物理环境安全属于独立科目），此外网安法中要求系统建设必须做到三同步，即同步规划、同步建设、同步使用。

《网安法》第三十三条规定：

建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

在业务规划的阶段，应当同步纳入安全要求，引入安全措施。如同步建立信息资产管理情况检查机制，指定专人负责信息资产管理，对信息资产进行统一编号、统一标识、 统一发放，并及时记录信息资产状态和使用情况等安全保障措施。

在项目建设阶段，通过合同条款落实设备供应商、厂商和其他合作方的责任，保证相关安全技术措施的顺利准时建设。保证项目上线时，安全措施的验收和工程验收同步，外包开发的系统需要进行上线前安全检测，确保只有符合安全要求的系统才能上线。

安全验收后的日常运营维护中，应当保持系统处于持续安全防护水平，且运营者每年对关键信息基础设施需要进行一次安全检测评估。