等保测评的核心流程
深信安辅导机构
2025年12月10日 16:37

一、什么是等保测评?

等保测评全称“网络安全等级保护测评”,是指依据国家网络安全等级保护制度(简称“等保2.0”),由具备资质的测评机构对网络运营者(如企业、政府单位、事业单位等)的信息系统和网络进行安全性评估,验证其是否符合对应等级的安全保护要求,并出具客观测评报告的过程。

核心目标:通过“定级-备案-建设整改-等级测评-监督检查”的闭环管理,确保信息系统达到与其重要程度匹配的安全防护水平,防范网络攻击、数据泄露等风险。

二、等保制度的背景与演进

  • 起源:2007年我国发布《信息安全等级保护管理办法》(等保1.0),主要针对传统信息系统;

  • 升级:2019年《网络安全等级保护基本要求》(GB/T 22239-2019)正式实施,即“等保2.0”,覆盖范围扩展至云计算、大数据、物联网、移动互联网、工业控制系统等新型场景,强调“一个中心、三重防护”(安全管理中心,安全计算环境、安全区域边界、安全通信网络)的核心框架。

三、等保测评的核心流程

等保测评需严格遵循“定级→备案→建设整改→等级测评→监督检查”五步流程:

1. 定级:确定系统安全保护等级

  • 定级对象:包括信息系统、基础信息网络、云计算平台/资源、大数据平台、物联网系统、工业控制系统等(如企业的ERP系统、医院的HIS系统、政务服务平台等)。

  • 定级要素:根据系统的社会影响力(对国家安全、公共利益、公民/法人合法权益的影响程度)和业务重要性(业务中断造成的损失)分为5个等级:

  • 等级

  • 名称

  • 适用场景示例

  • 第一级

  • 自主保护级

  • 小型企业内部非关键系统(如内部OA)

  • 第二级

  • 指导保护级

  • 一般企事业单位核心系统(如企业官网、普通电商系统)

  • 第三级

  • 监督保护级

  • 涉及公共利益或大量用户信息的系统(如医院HIS、金融核心交易系统、政务服务平台)

  • 第四级

  • 强制保护级

  • 涉及国家安全或重大公共利益的系统(如国家级政务系统、电力调度系统)

  • 第五级

  • 专控保护级

  • 极端重要的系统(如国防指挥系统,极少应用)

  • 定级原则:需组织专家评审(三级及以上必须),并报主管部门审核。

2. 备案:向公安机关提交材料

  • 定级完成后,第二级及以上系统需在30日内向县级以上公安机关网安部门备案:

    • 提交材料:《信息系统安全等级保护备案表》、定级报告、系统拓扑结构及说明等;

    • 结果:公安机关审核通过后发放《备案证明》,作为后续测评的依据。

3. 建设整改:对标要求补短板

  • 依据《网络安全等级保护基本要求》(GB/T 22239-2019)中对应等级的“技术要求”(物理安全、网络安全、主机安全、应用安全、数据安全)和“管理要求”(安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理),对系统进行安全加固:

    • 例如:三级系统需部署防火墙、入侵检测系统(IDS)、数据加密、日志审计、应急响应机制等;

    • 可自主整改或委托第三方安全厂商协助。

4. 等级测评:第三方机构独立评估

  • 测评主体:需选择具备《网络安全等级保护测评机构推荐证书》的第三方机构(可在公安部“全国网络安全等级保护测评机构目录”查询);

  • 测评周期:二级系统每3年测评1次,三级系统每年至少1次,四级及以上按需频繁测评;

  • 测评内容:对照等级保护要求进行“符合性检查+风险评估”,覆盖技术和管理层面,输出《等级测评报告》;

  • 测评结果:分为“符合”“基本符合”“不符合”——“不符合”需限期整改后重新测评。

5. 监督检查:公安机关持续监管

  • 公安机关及行业主管部门会对网络运营者的等保落实情况进行抽查,重点检查备案情况、测评结果整改情况、安全措施有效性等;

  • 未履行等保义务的单位可能面临警告、罚款甚至停业整顿等处罚(依据《网络安全法》《数据安全法》)。

四、等保2.0的核心变化(vs 等保1.0)

  1. 覆盖范围扩大:从传统信息系统延伸至云计算、大数据、物联网等“新基建”场景;

  2. 防护理念升级:从“被动防御”转向“主动防御、动态防御、整体防控”;

  3. 要求更细化:新增“安全管理中心”(集中管控安全设备、日志、策略)、“数据安全防护”(如数据分类分级、脱敏、备份恢复)等要求;

  4. 责任更明确:强化“网络运营者主体责任”,要求建立“一把手负责”的安全管理体系。

五、不同行业的等保重点

  • 金融行业:侧重交易安全、数据完整性、反洗钱合规(三级及以上为刚需);

  • 医疗行业:侧重患者隐私保护(HIPAA类似要求)、医疗数据加密(三级系统普遍要求);

  • 教育行业:侧重校园网、在线教育系统防攻击、学生信息保护;

  • 政府部门:需满足“政务云”“数字政府”安全要求,四级系统常见;

  • 互联网企业:侧重用户数据(如手机号、身份证号)的收集/存储/使用合规,防止数据泄露。

六、常见问题解答

  1. 小公司需要做等保吗?

  2. 若系统涉及用户个人信息(如电商、教育APP)或属于关键信息基础设施(CII),即使规模小也可能需要二级及以上等保;纯内部非公开系统可参考一级自主保护。

  3. 等保测评费用多少?

  4. 按系统规模、等级、复杂度定价:二级系统约几万到十几万,三级系统约十几万到几十万(含测评费、整改辅助费)。

  5. 等保测评不通过怎么办?

  6. 测评机构会出具“问题清单”,需在规定期限内完成整改(如补部署安全设备、完善制度文档),然后申请复测。

  7. 等保与关基(关键信息基础设施)的关系?

  8. 关基是等保的“加强版”:关基运营者需先落实等保要求,再额外满足《关键信息基础设施安全保护条例》的特殊规定(如每年至少1次国家级测评)。

总结

等保测评不是“一次性任务”,而是持续的安全管理过程。随着数字化深入,等保已成为企业合规经营的“必选项”(尤其是涉及用户数据的行业),也是防范网络攻击、保障业务连续性的核心手段。建议企业尽早规划,避免因未落实等保导致合规风险或安全事故。