联合课程

第02课：合规起点——等保+分类分级

网安法第21条 数据安全法第21条

🎯 课程定位：两法合规的标准"两步走"
⏱ 时长：约7-8分钟

🎬 开场：合规第一步从哪里开始

上一课我们讲了网安法和数据安全法的关系——网安法管门锁，数据安全法管屋里东西。

那问题来了：企业要合规，第一步做什么？

答案很明确，两法各有一个起点：

🔶 网安法的起点

等保

网络安全等级保护制度

🟩 数据安全法的起点

分类分级

数据分类分级保护制度

而且这两个起点是有顺序的。先做等保，再做分类分级。这节课把它们讲透。

🔶 第一步：等保——网安法的地基

等保是网安法第21条规定的。很多企业听过这个名字，但并不清楚它到底要做什么。

等保分五级，数字越大越严：

一级 · 自主保护

系统被破坏了没啥影响——比如一个内部论坛。你只需要基本的密码、防火墙、备份就够了。公安机关不强制备案，自己管着就行。

二级 · 指导保护 ⭐ 大多数企业的起点

系统被破坏了有一定影响——大部分中小企业的OA、官网落在这个级别。要求：去公安机关备案 + 找测评机构做测评 + 基本安全措施。这是很多企业的起点。

三级 · 监督保护 ⭐ 多数企业的最高等级

系统被破坏了会有严重后果——这是很多企业能拿到的最高等级。要求最硬核：备案 + 每年测评 + 严格的安全技术措施（双因素认证、数据加密、日志审计、异地备份）+ 发现高危漏洞还要立即整改。这个等级，很多企业做到这里已经很有水平了。

四级 · 强制保护

涉及国家安全和国计民生。要求严于三级，全国范围内都没多少。

五级 · 专控保护

国家机密级别，不公开讨论。

💡 核心结论：对99%的企业来说，做等保就是在二级和三级之间选。选二级还是三级，取决于你的系统出事了影响多大。

📋 等保实操流程——五步走

这个流程企业要走一遍：

① 定级

企业自己初步定级，邀请专家评审，最终报公安机关审核确定。定高了成本高，定低了有合规风险。

② 备案

向当地公安机关网安部门提交备案材料，拿到备案证明。

③ 安全建设整改

根据定级对应的安全要求，建设或改造网络安全体系。这一步最花时间——买设备、建制度、培训人员。

④ 等级测评

找有资质的测评机构来做测评。测评不合格要整改后重新测评。

⑤ 持续合规

测评通过后不是完事了——二级每两年复测，三级每年复测。测评机构会定期来查。等保不是一次性项目，是持续义务。

⏱ 整个周期：从定级到拿到测评通过，中型企业一般6到12个月。

🟩 等保跟数据安全法的关系：

没有等保这个"地基"，数据安全法要求的保护措施很难落地——数据跑在系统上，系统不安全，数据怎么安全？

等保做完了，系统定级了，"门"锁好了。下一步：把"屋里东西"也管起来。

🟩 第二步：分类分级——数据安全法的起点

数据安全法第21条。这一条我跟所有做合规的人都说：背下来。

为什么？因为数据安全法里所有企业的义务——风险评估、出境管理、报送报告——全部取决于一个前提：你的数据属于哪一类。

数据安全法建立了一套三级分类体系：

🔵 一级：一般数据

日常运营产生的数据。比如公司的业务报表、公开产品信息、内部流程记录。泄露了会怎么样？公司内部有麻烦，但不至于出大事。

保护要求：按照数据安全管理制度的基本要求来做。不用额外折腾。

📌 案例：一家电商公司，用户的浏览记录、商品点击数据——这些属于一般数据。分级后，给个基本的访问控制和日志记录就够了。

🟢 二级：重要数据

一旦被泄露或篡改，可能危害国家安全、公共利益或者个人、组织合法权益。

注意"国家安全"——评判标准是从国家视角看的，不是企业视角。你觉得"没什么"的数据，法律可能觉得是国家层面的重要数据。

什么算重要数据？工信部、央行、卫健委等各行业主管部门正在陆续出台行业重要数据识别指南。比如金融行业的重要数据可能包括：金融交易流水、客户风险评级、反洗钱数据。

保护要求（比一般数据严格很多）：除了基本管理制度，还要做数据安全风险评估（第29条）和年度评估报告（第30条）。

📌 案例：同一家电商公司，手上还有每年数千万条的用户交易记录、用户的收货地址集合——这些一旦被批量泄露，可能被用于大规模诈骗，危害公共利益，很大概率会被认定为重要数据。

🟢 三级：核心数据

关系国家安全、国民经济命脉、重要民生、重大公共利益。

这是数据安全法独创的概念，在之前的法律里没有出现过。核心数据的保护要求——"更加严格的管理制度"，具体细则还在出台中。

举例：国家电网的电力调度数据、银行的支付清算系统核心数据、航运交通的实时流量监控数据。

⚠️ 关键警示：数据一旦被归类为重要数据或核心数据，合规的级别就完全不同了。

🔗 第三步：等保和分类分级的"对接"——实务怎么合并做

这是很多企业最容易糊涂的地方——等保做完了，分类分级也做了，两件事怎么接在一起？

用一个对照表说明：

🔑 最关键的一句：

重要数据要跑在至少等保三级系统上。

你不能把重要数据存放在一个等保二级的服务器上，然后说"我数据安全合规做了"——等保二级系统的安全防护水平，按法律要求，不足以保护重要数据。

反过来也是：你的系统做到了等保三级，但你都没做过数据分类分级，不知道系统里跑的是什么东西——你也不知道你到底做得够不够。可能你的三级系统里跑的全是一般数据，安全投入可能过度了。又或者你的三级系统里混着核心数据，安全投入还不够。

💡 核心结论：所以两件事必须做到位，还必须对应上。

⚠️ 再讲一个容易混淆的问题

有人会问：等保有五级，数据分级有三级，是不是对应关系？

❌ 不对。这是两个完全不同的体系，别混在一起。

等保衡量的是系统的安全等级——你的服务器、网络设备、应用系统有多重要。数据分级衡量的是数据的重要程度——你手里的数据有多敏感。

你的等保三级系统，跑的可能是一般数据，也可能是重要数据。系统等级高不代表里面跑的数据就一定重要；系统等级低也不代表里面跑的数据就一定不重要。

🚫 实务中常见的一种错误：

企业把核心数据放在了等保二级系统上。等保二级的基本防护级别，挡不住针对核心数据的攻击。这就是合规漏洞了。做了分类分级，但没按分类分级的结果去调整系统配置，等于白做。

💡 小结

第02课的核心要点：

🔶 一、两个起点。等保是网安法的基础，分类分级是数据安全法的基础。两边各有一个起点，都得做。

🟩 二、标准流程：先等保，后分类分级，再对接。先把系统定级，做完等保；再做数据资产梳理和分类分级；最后把不同等级的数据放在对应等级的系统上保护。

🔶 三、等保五级，数据三级，不是一一对应。等保管系统，数据管内容。系统等级高不意味着数据就重要，数据重要也不意味着系统等级自动就高了——得动手去做。

🟩 四、关键对接：重要数据必须跑在至少等保三级系统上。这是两法合并落地的核心要点。

📢 下期预告

CII+数据处理者——谁是义务主体

优网科技秉承"专业团队、品质服务" 的经营理念，诚信务实的服务了近万家客户，成为众多世界500强、集团和上市公司的长期合作伙伴！

优网科技成立于2001年，擅长网站建设、网站与各类业务系统深度整合，致力于提供完善的企业互联网解决方案。优网科技提供PC端网站建设（品牌展示型、官方门户型、营销商务型、电子商务型、信息门户型、微信小程序定制开发、移动端应用（手机站、APP开发）、微信定制开发（微信官网、微信商城、企业微信）等一系列互联网应用服务。