LOGO 首页 OA教程 ERP教程 模切知识交流 PMS教程 CRM教程 技术文档 其他文档  
 
网站管理员

[点晴永久免费OA]等保二级还是三级?90%的企业都定错了

admin
2026年7月6日 15:21 本文热度 82

上个月去见一个客户,老板说:"我们公司小,应该不用做等保吧?"

我问他:"你们有用户数据吗?有会员系统吗?有财务系统吗?"
他说:"都有啊。"
我说:"那不好意思,你们必须做。而且再不做,可能要吃罚单了。"
老板当时就冒冷汗了。
这不是吓唬人。《网络安全法》出台后,因未履行等保义务被罚款、被约谈的企业,名单越来越长。
今天这篇文章,把等保这件事彻底讲清楚。建议先收藏再看,因为内容有点干。

PART 01


等保到底是什么?


等保,全称"信息安全等级保护"。简单说,就是国家要求企业对信息系统分等级进行安全保护。
你的系统重要,就保护得严;系统一般,就保护得松。
这就像你家大门和银行金库,门锁肯定不一样。但不是说普通人家就不用装锁了——不装锁就是"裸奔",出了问题自己担着。

《网络安全法》第二十一条明确规定:网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。


注意,这是法定义务。不是可做可不做,是必须做。

PART 02


为什么要做等保?三类人必须懂




第一类:企业负责人
等保不是选择题,是必答题。不做等保,可能面临罚款、通报批评,严重的还要停业整顿。
而且,等保做得好,信息系统更安全,数据泄露风险更低,客户信任度更高。说白了,安全不是成本,是投资。


第二类:IT负责人
等保是一套完整的安全建设标准。按这个标准做,能系统性地排查安全隐患,堵住漏洞。不是为了应付检查,是为了真正保护系统和数据。


第三类:所有行业从业者
等保覆盖各行各业。医疗、教育、金融、政务、电商、物流……只要有信息系统,只要涉及用户数据,都跟等保有关系。
尤其是这五类行业,等保是刚需:教育和医疗系统、火车站地铁等交通系统、金融和电力等关键基础设施、政府机关和事业单位、互联网平台。

PART 03


等保到底分几级?一张表讲清楚


等保一共五级,从低到高:


一级(自主保护级)
适用于乡镇小系统、中小学一般系统。系统被破坏后,只影响小范围,不损害国家安全。
这类系统基本不用做等保测评,但基本的防护还是要有的。


二级(指导保护级)
适用于县级一般系统、地市级单位内部系统。比如普通的办公系统、管理系统,不涉及敏感信息的。
这类系统建议做等保,每两年测评一次。


三级(监督保护级)
适用于重要信息系统,比如医院的HIS系统、大学的选课系统、企业的核心业务系统。
这类系统必须做等保,每年至少测评一次。是市面上最常见的等保级别。


四级(强制保护级)
适用于国家重要领域系统,比如电力、银行的要害系统。被破坏后会对社会秩序和公共利益造成严重影响。
这类系统要做等保,而且是强制的。


五级(专控保护级)
适用于国家核心系统,比如国防系统、机密系统。普通人基本接触不到。
重点说三级和二级,因为大多数企业涉及的就是这两个。
三级要求最高:每年测评,得分70分以上才算通过,存在高危漏洞直接不合格。
二级要求次之:每两年测评一次,也是70分及格线。

PART 04


做等保需要哪些法规依据?四个核心文件


  1. 《网络安全等级保护制度2.0国家标准》(等保2.0)
    这是等保的核心标准,2019年正式实施。提出了"一个中心、三重防护"的理念:管理中心+计算环境安全+区域边界安全+通信网络安全。
  2. 《中华人民共和国网络安全法》
    等保的法律依据。明确了网络运营者的安全保护义务,违法不做的后果写得清清楚楚。
  3. 《数据安全法》
    2021年实施,对数据处理提出了全流程安全管理制度要求。等保和数据安全是配套的。
  4. 《信息安全等级保护管理办法》

公安部发布的执行细则,明确了定级、备案、测评等具体流程。

PART 05


等保怎么做?六步走完全流程




第一步:系统定级
这是第一步,也是最关键的一步。定级高了,做起来费钱费力;定级低了,监管部门不答应。
怎么定?两个要素:系统被破坏后侵害了什么客体,侵害程度有多深。
简单记:涉及公民隐私信息的一般定二级;涉及重要业务的核心系统定三级;涉及国家安全的就是四级起步。
有个真实案例:某教育考试院的志愿填报系统,最初定级为二级。等保机构评审后认为,这个系统承载中考高考志愿数据,敏感度极高,建议提升为三级。后来按照三级标准建设,第二年顺利通过测评。
定低了硬着头皮做,不如一开始就想清楚。


第二步:系统备案
备案主体是法人单位。自己运营的系统自己备;卖给别人用的系统,买方负责备案。
备案需要准备这些材料:等级保护备案表、定级报告、系统拓扑图、安全组织机构图、管理制度文件、安全建设方案、信息安全产品清单。
这个环节有点繁琐,但不用担心,专业机构会协助完成。正常5到15个工作日能拿到备案证明。


第三步:等级测评
备案完成后,就要做测评了。
测评机构会对你系统进行全面检查:物理环境、网络架构、应用数据、安全设备、管理制度……一项一项过。
测评结论三个:不符合、基本符合、符合。
70分是及格线。但注意,不是60分万岁——存在高危风险项的,直接判定不合格,哪怕总分超过70也不行。
所以,建设整改一定要认真做。


第四步:建设整改
测评发现了问题,就要整改。高危风险必须立即处理,中低危风险按计划处理。
整改的内容包括:打补丁、升级系统、加固配置、完善制度……具体做什么,看测评报告怎么说。
有些企业以为买了安全设备就完事了,这是最大的误区。等保看的是整体防护能力,不是你买了多少设备。


第五步:取得测评报告
整改完成后,测评机构会出具正式的测评报告。
这份报告要存档备查,监管部门随时可能来检查。而且,在做系统验收、项目投标的时候,这份报告也是有力的资质证明。


第六步:接受监督检查
这不是终点,是持续的过程。
公安机关会定期检查企业等保落实情况。检查内容包括:制度是否落实、制度是否更新、测评周期是否合规……
等保不是一次性的,是持续性的。一次备案、终身有效的想法,已经行不通了。

PART 06


四个常见误区,坑了很多企业


  • 误区一:我们公司小,不用做等保

错。用户数据、业务系统,只要涉及信息资产,就有保护义务。监管部门查的是"你有没有做",不是"你规模大不大"。

  • 误区二:买了安全设备就合规了

错。设备是手段,不是目的。等保看的是整体防护能力,看的是你的安全体系是否健全。

  • 误区三:等保测评做一次就行了

错。二级系统每两年一次,三级系统每年一次。而且,随着业务发展、系统升级,安全要求也在不断变化。

  • 误区四:等保是IT部门的事

错。等保是系统工程,需要管理层重视、制度流程配套、技术手段支撑。IT部门主导,但业务部门、财务部门、行政部门都要参与。

PART 07


写在最后


等保这件事,说难不难,说简单也不简单。
说不难,是因为流程是标准的,机构是专业的,只要配合好,就能顺利通过。
说复杂,是因为很多企业一开始不重视,等出了问题才后悔莫及。
与其被动挨打,不如主动合规。
安全这件事,做好了是保护,做不好就是隐患。
如果你看完这篇文章,对等保还有疑问,欢迎在评论区留言,我们会一一解答。
也可以转发给身边做企业的朋友,别让他们因为不了解,吃了大亏。
安全无小事,等保要趁早。


阅读原文:https://mp.weixin.qq.com/s/yVTlD73iktVerR6pF1Wiiw


该文章在 2026/7/6 15:21:03 编辑过
关键字查询
相关文章
正在查询...
点晴ERP是一款针对中小制造业的专业生产管理软件系统,系统成熟度和易用性得到了国内大量中小企业的青睐。
点晴PMS码头管理系统主要针对港口码头集装箱与散货日常运作、调度、堆场、车队、财务费用、相关报表等业务管理,结合码头的业务特点,围绕调度、堆场作业而开发的。集技术的先进性、管理的有效性于一体,是物流码头及其他港口类企业的高效ERP管理信息系统。
点晴WMS仓储管理系统提供了货物产品管理,销售管理,采购管理,仓储管理,仓库管理,保质期管理,货位管理,库位管理,生产管理,WMS管理系统,标签打印,条形码,二维码管理,批号管理软件。
点晴免费OA是一款软件和通用服务都免费,不限功能、不限时间、不限用户的免费OA协同办公管理系统。
Copyright 2010-2026 ClickSun All Rights Reserved  粤ICP备13012886号-2  粤公网安备44030602007207号