如果你正打算启动等保测评,却不清楚第一步该做什么、要准备哪些材料、要走哪些官方流程,这篇指南可以帮你一次性理清全部环节。
很多初次接触等保的企业会误以为"等保就是直接找测评机构做检测",实际并非如此:等级测评只是等保全流程的最终验证环节,前面的定级确认、官方备案、对标整改每一步都有法定要求,顺序错了、材料缺了都会导致备案驳回、测评不通过,白白浪费时间与成本。
本文严格依据《中华人民共和国网络安全法》、GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》、GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、公网安〔2025〕1846号《关于对网络安全等级保护有关工作事项进一步说明的函》、2025版官方测评模板等标准编写,适用于企业最常见的二级、三级等保场景。
等保全流程遵循官方法定顺序:定级→专家评审→备案→建设整改→等级测评→常态化运维,不可颠倒顺序。整体周期参考:二级系统 3-4 个月,三级系统 4-6 个月,视系统整改难度浮动。
定级是等保的起点,核心是确定系统的保护等级,由企业自主定级,公安最终审核确认,等级一旦确定,所有建设、测评标准均对应等级执行。
按照「受侵害客体 + 侵害程度」两个维度判定等级,企业常见的二级、三级判定标准如下:
等级 | 适用场景 | 侵害影响 |
二级 | 小型官网、内部OA系统、用户量10万以下的非敏感业务系统 | 系统遭到破坏后,对公民、法人合法权益造成严重损害,对社会公共利益造成一般损害 |
三级 | 10万以上用户个人信息系统、金融/医疗/政务核心业务、电商交易平台、大数据中台 | 系统遭到破坏后,对社会公共利益造成严重损害,或对国家安全造成轻微危害 |
依据公网安〔2025〕1846号官方释疑:
二级及以上系统定级、级别变更、系统重大重构时,必须组织不少于3名网络安全/对应行业专家出具评审意见;
鼓励行业主管部门统一组织本行业批量专家评审。
政务、医疗、教育、能源等监管行业的系统,需先报上级行业主管部门审核定级结果;普通商事企业无需此步骤。
定级完成后,向属地公安网安部门提交备案材料,审核通过后发放《网络安全等级保护备案证明》,即企业常说的"等保备案号"。
依据公网安〔2025〕1846号全国统一规则:
原则上由地市级以上公安机关网安部门受理备案,省级公安机关可指定符合条件的县级公安机关受理;
注册地、运维地、机房所在地不一致时,以安全管理机构、运维团队所在地为主受理;若安全管理与运维地分离,以安全管理机构所在地为准;
跨省或全国联网运行系统的分支系统,由所在地地市级以上公安机关网安部门受理备案。
管理维度 | 核心内容 | 留存台账 |
安全管理机构 | 明确安全负责人、数据安全负责人,成文任命文件与组织架构 | 任命文件、组织架构图 |
安全管理制度 | 搭建覆盖人员管理、机房运维、设备管理、漏洞整改、数据安全、外包管理、变更管理的全套制度体系 | 制度文本、修订记录 |
运维管理 | 留存权限申请审批、漏洞整改、机房巡检、安全培训全流程台账 | 巡检记录、扫描报告、培训档案 |
应急管理 | 编制通用网络安全应急预案 + 数据泄露专项应急预案,每年至少开展1次实战演练并留存完整记录 | 预案文本、演练记录、处置报告 |
三级系统额外要求 | 每年编制《网络安全保护工作方案》,明确年度风险清单与整改计划,定期报送属地公安 | 保护工作方案、年度更新记录 |
整改完成后,由公安部备案的正规测评机构开展全维度测评,出具具备法律效力的正式测评报告。
符合率 | 重大风险隐患 | 测评结论 |
≥90% | 无 | 符合 |
≥90% | 有 | 基本符合 |
60%(含)-90%(不含) | - | 基本符合 |
<60% | - | 不符合 |
误区 | 纠正 |
测评通过了才能备案 | 官方法定流程是先定级备案、确认保护等级,再开展建设整改与测评;备案是对系统等级的官方确认,不是对安全能力的认证 |
备案证明终身有效 | 备案证明有效期3年,完成测评后自动延长1年(累计一般不超过6年),期满需提前3个月申请延期;系统重大变更需30日内重新备案 |
买齐安全设备就能过等保 | 等保为技术+管理双维度考核,设备只是基础,核心看策略配置、制度落地、运维执行实效 |
二级系统不用备案 | 二级系统需要专家评审和备案,且每两年需完成一次测评,未备案未测评可面临行政处罚 |
日志存够6个月就达标 | 日志留存≥6个月是基本要求,但还需具备日志关联分析、异常检测能力,单纯存储原始日志不等于合规 |