2.关注新考点：一个中心+三重防护

相对于等保1.0来说，等保2.0对企业安全提出的最核心调整在于“一个中心，三重防护“的网络安全技术设计总体思路，要求企业从战略视角对安全进行整体的规划和设计。所谓战略视角就是要更加注重安全的整体性。

针对这一新要求，我们认为企业：

一应当建立基于企业云端安全数据的云安全运营平台，实现对漏洞情报、威胁发现、事件处置、基线合规、泄漏监测及风险可视等的安全管理，确保云上资源和业务安全的集中管控；

二是强化密匙管理，构建完整的数据加密和密匙管理方案，确保重要数据在传输、存储、使用过程中的安全，满足多重防护的要求；

三是在云平台安全建设方面，企业一般来说要从合规和安全管理的角度入手，把资产、配置和基线做好，建立安全管理的基础，并完善漏洞运营管理、安全渗透测试以及安全检查改进等机制。

3．关注重点：个人信息、数据安全保护

鉴于数据单点防御的日趋失效，我们认为企业在思考数据安全保护的时候，一应该提高防护技术水平来应对数据流每个环节上的风险；二是通过统一的治理平台，串联其孤立的单点防护能力，扫除防护间的盲区，实现数据的持续治理；三则需要重视数据安全管理策略的制定。

基于此思路，腾讯安全推出的数盾企业数据安全综合治理中心，即可帮助企业重点强化数据资产感知、安全治理和联防联控等能力，借助AI实现各孤立安全防护节点的联动与整合，切实协助企业解决用户、行为、数据流的全面防护问题。

4.警惕本次“大考”的易“挂”点

首先，从等级保护基本要求的调整上来说，除原有行业通用要求外，明晰等保2.0关于云计算、移动互联网、工业互联网和物联网等领域新增的“拓展要求”，是避免规则误判导致“补考”的重要前提；

其次，除传统攻击防御外，等保2.0还要求企业做好事前、事中、事后的防御。防不住就要审计，出现问题须通过事后溯源找到问题的根源所在并做好下次防护准备。防御能力上须从被动保障向态势感知预警、动态防护和应急响应等转变；

再者，应当重视等保定级的准确性。如若定级不准确，则会对后续企业安全建设和等级测评工作产生误导，直接影响企业安全保护和防御的效果。引入专业的安全企业和行业专家服务来帮助完成持续性的服务建设，能达到降低成本和人力切提升效率的目的。

5.案例分享

有家企业，其业务类似网约车，没有提前准备。在其初次申请时，被要求通过等级保护测评，还有其他的一些监管部门的审核。最终该企业因拖延了一定时间没通过等保，导致业务申请上线整体延后，造成了很大的损失。

还有一家企业，找了一个小的系统集成商，检测后被要求买一堆的安全设备。最后虽然花了100多万买设备，但也没发挥到设备的作用。

所以，这里我建议找全国网络安全等级保护测评机构推荐目录中的机构来测评

最后，提醒各位一句：本次大考将于2019年12月1日正式开启。请尽早准备，以免面临责令整改、行政处罚、暂停注册、暂停运营等“补考”或“挂科”风险。