等保2.0三级认证新标准发布，强化云安全要求

国家互联网信息办公室近日发布新版《信息安全等级保护管理办法》（以下简称《管理办法》），针对云计算、大数据、人工智能等新技术应用，明确了信息安全等级保护2.0（简称"等保2.0"）三级认证的新标准和要求。这是自2019年等保2.0正式实施以来，首次对认证标准进行重大调整，将进一步强化我国网络信息安全防护体系。

强化云安全要求，明确云计算安全责任边界

新版《管理办法》对云计算环境下的等保2.0三级认证提出了更为严格的要求。明确了云服务提供商（CSP）与云服务客户（CSC）之间的安全责任边界，要求双方签订安全协议，明确各自的安全责任和义务。

对于云服务提供商，《管理办法》要求其：

• 建立完善的云安全管理体系，包括安全策略、安全组织、安全技术等方面
• 提供安全可靠的云计算服务，确保客户数据的安全性和完整性
• 定期进行安全评估和漏洞扫描，及时修复安全漏洞
• 建立安全事件响应机制，及时处理安全事件
• 向客户提供安全审计日志和安全报告

对于云服务客户，《管理办法》要求其：

• 选择符合等保要求的云服务提供商
• 对上传至云端的数据进行分类分级管理
• 加强云端应用的安全防护，定期进行安全测试
• 建立云端数据备份和恢复机制
• 配合云服务提供商进行安全审计和检查

新增大数据安全要求，加强数据安全保护

随着大数据技术的广泛应用，数据安全问题日益突出。新版《管理办法》新增了大数据安全要求，明确了大数据平台的安全防护措施：

1. 数据分类分级

要求大数据平台对数据进行分类分级管理，根据数据的敏感程度和重要性，采取不同的安全防护措施。

2. 数据访问控制

建立严格的数据访问控制机制，确保只有授权人员能够访问敏感数据。采用最小权限原则，限制用户的数据访问范围。

3. 数据加密

要求对敏感数据进行加密存储和传输，采用国密算法进行加密，确保数据的安全性。

4. 数据脱敏

对涉及个人隐私的数据进行脱敏处理，保护个人信息安全。

5. 数据审计

建立完善的数据审计机制，记录数据的访问、使用和修改情况，便于追溯和审计。

加强人工智能安全要求，规范AI应用

随着人工智能技术的快速发展，AI安全问题也引起了广泛关注。新版《管理办法》加强了对人工智能系统的安全要求：

1. AI模型安全

要求AI模型的训练数据合法合规，模型本身具备安全性和可靠性，能够抵御对抗样本攻击。

2. AI应用安全

要求AI应用具备可解释性和可控性，避免AI系统做出错误决策。建立AI系统的安全评估机制，定期对AI系统进行安全测试。

3. AI数据安全

加强AI训练数据和测试数据的安全保护，避免数据泄露和滥用。

供应链安全成为重点，加强全链条安全防护

新版《管理办法》将供应链安全列为等保2.0三级认证的重点内容，要求企业加强供应链安全管理：

• 对供应链进行安全风险评估，选择安全可靠的供应商
• 与供应商签订安全协议，明确安全责任和义务
• 对供应链产品进行安全检测和验证
• 建立供应链安全事件响应机制
• 定期对供应链进行安全审计

实施过渡期为6个月，企业需尽快适应新标准

新版《管理办法》将于2026年1月1日正式实施，实施过渡期为6个月。在此期间，已获得等保2.0三级认证的企业需要按照新标准进行整改，未获得认证的企业需要按照新标准进行准备。

专家建议，企业应尽快组织人员学习新版《管理办法》，对照新标准进行差距分析，制定整改方案，确保在过渡期内完成整改工作，顺利通过等保2.0三级认证。

总结

新版《管理办法》的发布，标志着我国等保2.0体系的进一步完善。新标准针对云计算、大数据、人工智能等新技术应用，提出了更为严格的安全要求，将有助于强化我国网络信息安全防护体系，保障国家关键信息基础设施的安全。企业应高度重视，尽快适应新标准，加强自身的网络信息安全防护能力。