个人信息数量 等保要求

一、再次测评须遵循2.0标准

等保2.0于2019年12月1日实施，届时无论是首次开展网络安全等级测评还是进行网络安全等级复测，均需根据等保2.0标准进行。

二、等保定级流程发生变化

等保1.0标准采自主定级，等保2.0标准需经相关部门批准。基本步骤为：

初步确定等级→相关部门和专家进行论证和审定→相关部门批准→公安机关备案。

三、测评周期发生变化

等保1.0对二级没有强制测评要求，三级要求每年测评一次。等保2.0标准则要求二级以上均定期测评，且发生重大变化或级别发生变化时进行测评。

四、新增个人信息合规节点

等保2.0标准对二级以上增加了个人信息合规的要求，即“应仅采集和保存业务必需的用户个人信息；应禁止未授权访问和非法使用用户个人信息。”为满足该节点要求，企业需完善个人信息保护操作和制度，以证明对该要求的满足。

五、强化了对管理制度、机构和人员的要求

等保2.0要求企业针对安全活动中的主要内容建立安全管理制度，还就各节点的内容要求建立专项的管理制度，如网络和系统安全管理制度、安全事件报告和处置管理制度。

在机构设置上，等保2.0标准要求建立安全管理机构，二级以上的要设立安全管理工作的职能部门，并配置相应的人员。