上篇讲了5项基础安全义务。第一项就是"制度建设",而制度建设的起点,是网络安全等级保护。
等保不是可选项,是《网络安全法》第23条明确规定的法定制度。
但很多企业的现状是:听说过等保,不知道怎么做;做了等保,停留在"拿证"阶段。
今天把全流程拆清楚。
一、等保2.0是什么?和1.0有什么区别?
一句话:等保2.0是从"被动合规"到"主动防护"的制度升级。
关键变化: 等保2.0不再是"买个设备、考个分"就完事,而是要求建立持续运营的安全体系。
二、五级划分:你的系统定几级?
| 第三级 | 地市级以上重要系统、跨省联网系统、大型云平台/工控/大数据系统 | 损害社会秩序+公共利益 |
实务中,绝大多数企业的核心业务系统定三级。
三级是分水岭:三级及以上需要备案、每年测评,且须同步完成密评。
三、全流程:五步走
第一步:定级
这是整个等保工作的起点。定错了级,后面的工作全盘偏移。
操作要点:
成立定级小组 — 最高管理者牵头,技术、业务、法务参与 确定定级对象 — 按业务系统划分,不要"一刀切" 开展业务影响分析 — 评估系统重要性、受破坏后的影响程度 撰写定级报告 — 明确系统名称、等级、业务描述、承载数据类型
常见误区: 定级越高越好?
不是。过度定级导致防护成本浪费,资源错配。定级应基于业务实际和风险评估。
第二步:备案
法定程序,不是可选项。
备案对象: 二级及以上系统 备案机关: 属地公安机关(市级以上) 备案时限: 确定等级后10日内提交
备案必备材料:
注意: 2025年11月30日前,所有二级及以上系统需按2025版模板重新备案。三级系统备案证明有效期3年,系统发生重大变更需30日内重新备案。
第三步:建设整改
这是核心落地环节,也是投入最大的阶段。
整改框架:"一个中心、三重防护"
| 安全管理中心 | ||
|
安全通信网络 |
||
|
安全区域边界 |
||
|
安全计算环境 |
整改路径:
差距分析 — 对照等保标准,逐项识别现有系统短板 制定整改方案 — 技术整改(设备采购、配置优化)+管理完善(制度建设、流程规范) 分步实施 — 优先解决高危风险,如身份认证、数据加密、日志审计 系统试运行 — 确保措施有效落地
第四步:等级测评
合规验证环节,必须由有资质的第三方机构开展。
测评不是"考试",是"体检"。 发现问题不可怕,不整改才可怕。
第五步:持续改进
等保不是一次性工程,是持续运营。
定期安全评估和应急演练 系统变更时重新评估安全等级和防护措施 建立安全态势感知机制,及时响应新威胁 三级系统每年12月31日前提交《年度保护工作方案》
四、等保与其他合规义务的关系
很多企业问:做了等保,还要不要做密评、关保、数评?
答案是:都要做,但各有侧重。
| 等保 | ||
| 密评 | ||
| 关保 | ||
| 数评 |
简单理解: 等保搭框架、提要求;密评补密码短板、验落地;关保在等保基础上加码。三者互补,不能互相替代。
五、2026年新规要点
2026年,等保合规进入"精准化、场景化、主动化"时代。几个关键变化:
6项新标准施行(2026年2月1日) — 填补边缘计算、大数据、IPv6、区块链、云计算、5G接入等新技术场景的安全扩展要求 处罚升级 — 三级系统未备案最高罚100万;未按时测评罚50-500万;高风险项未整改可责令停业整顿 监管范围扩展 — 数据安全、个人信息保护、算法安全纳入等保检查视野 年度现场检查 — 三级及以上系统运营者须接受公安机关年度现场检查
六、常见误区
误区一:"等保就是买设备、拿证书"
危害:形式合规,实际安全能力为零。
做法:等保要求融入日常业务流程,技术与管理并重,建立安全文化。
误区二:"测评通过就一劳永逸"
危害:安全威胁是动态变化的,测评通过只代表测评那一刻的状态。
做法:建立持续改进机制,定期评估,及时更新。
误区三:"等保只是技术部门的事"
危害:安全责任不明确,无法形成全员体系。
做法:最高管理者承担安全第一责任,明确各部门安全职责。
误区四:"我司系统小,不需要做等保"
危害:法律没有豁免条款。有网络系统就是网络运营者,就要做等保。
做法:小型系统可从二级起步,但必须走完全流程。
七、一张流程图总结
定级 → 备案(10日内) → 建设整改 → 等级测评 → 持续改进
↓ ↓ ↓ ↓ ↓
定级报告 备案证明 整改方案 测评报告 年度方案
专家评审 三级额外材料 技术管理 30日整改 定期评估
核心逻辑:先定级别,再做防护,定期测评,持续改进。
写在最后
等保是网络安全的"地基"。地基不打牢,上面的制度、技术、管理都是空中楼阁。
从实务角度,建议企业做三件事:
立即自查 — 你的核心业务系统定了几级?有没有备案?上次测评是什么时候? 补齐短板 — 未备案的尽快备案,未测评的尽快安排测评,高风险项30日内必须整改 建立常态 — 等保不是项目制,是运营制。每月自查,每季度报告,每年测评
等保合规窗口期已经过了。2026年的执法力度只会更强,不会更弱。
本文为"企业网络安全合规操作清单"系列第3篇,共10篇。下一篇:6个月日志留存——这条不起眼的规定,罚了多少企业?
优网科技秉承"专业团队、品质服务" 的经营理念,诚信务实的服务了近万家客户,成为众多世界500强、集团和上市公司的长期合作伙伴!
优网科技成立于2001年,擅长网站建设、网站与各类业务系统深度整合,致力于提供完善的企业互联网解决方案。优网科技提供PC端网站建设(品牌展示型、官方门户型、营销商务型、电子商务型、信息门户型、微信小程序定制开发、移动端应用(手机站、APP开发)、微信定制开发(微信官网、微信商城、企业微信)等一系列互联网应用服务。
公安局备案号:
专属顾问
