[点晴永久免费OA]等保二级还是三级?90%的企业都定错了
|
admin
2026年7月6日 15:21
本文热度 54
|
上个月去见一个客户,老板说:"我们公司小,应该不用做等保吧?"
我问他:"你们有用户数据吗?有会员系统吗?有财务系统吗?"我说:"那不好意思,你们必须做。而且再不做,可能要吃罚单了。"这不是吓唬人。《网络安全法》出台后,因未履行等保义务被罚款、被约谈的企业,名单越来越长。今天这篇文章,把等保这件事彻底讲清楚。建议先收藏再看,因为内容有点干。等保,全称"信息安全等级保护"。简单说,就是国家要求企业对信息系统分等级进行安全保护。这就像你家大门和银行金库,门锁肯定不一样。但不是说普通人家就不用装锁了——不装锁就是"裸奔",出了问题自己担着。《网络安全法》第二十一条明确规定:网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。等保不是选择题,是必答题。不做等保,可能面临罚款、通报批评,严重的还要停业整顿。而且,等保做得好,信息系统更安全,数据泄露风险更低,客户信任度更高。说白了,安全不是成本,是投资。等保是一套完整的安全建设标准。按这个标准做,能系统性地排查安全隐患,堵住漏洞。不是为了应付检查,是为了真正保护系统和数据。等保覆盖各行各业。医疗、教育、金融、政务、电商、物流……只要有信息系统,只要涉及用户数据,都跟等保有关系。尤其是这五类行业,等保是刚需:教育和医疗系统、火车站地铁等交通系统、金融和电力等关键基础设施、政府机关和事业单位、互联网平台。适用于乡镇小系统、中小学一般系统。系统被破坏后,只影响小范围,不损害国家安全。这类系统基本不用做等保测评,但基本的防护还是要有的。适用于县级一般系统、地市级单位内部系统。比如普通的办公系统、管理系统,不涉及敏感信息的。适用于重要信息系统,比如医院的HIS系统、大学的选课系统、企业的核心业务系统。这类系统必须做等保,每年至少测评一次。是市面上最常见的等保级别。适用于国家重要领域系统,比如电力、银行的要害系统。被破坏后会对社会秩序和公共利益造成严重影响。适用于国家核心系统,比如国防系统、机密系统。普通人基本接触不到。重点说三级和二级,因为大多数企业涉及的就是这两个。三级要求最高:每年测评,得分70分以上才算通过,存在高危漏洞直接不合格。
- 《网络安全等级保护制度2.0国家标准》(等保2.0)
这是等保的核心标准,2019年正式实施。提出了"一个中心、三重防护"的理念:管理中心+计算环境安全+区域边界安全+通信网络安全。 - 《中华人民共和国网络安全法》
等保的法律依据。明确了网络运营者的安全保护义务,违法不做的后果写得清清楚楚。 - 《数据安全法》
2021年实施,对数据处理提出了全流程安全管理制度要求。等保和数据安全是配套的。
公安部发布的执行细则,明确了定级、备案、测评等具体流程。这是第一步,也是最关键的一步。定级高了,做起来费钱费力;定级低了,监管部门不答应。怎么定?两个要素:系统被破坏后侵害了什么客体,侵害程度有多深。简单记:涉及公民隐私信息的一般定二级;涉及重要业务的核心系统定三级;涉及国家安全的就是四级起步。有个真实案例:某教育考试院的志愿填报系统,最初定级为二级。等保机构评审后认为,这个系统承载中考高考志愿数据,敏感度极高,建议提升为三级。后来按照三级标准建设,第二年顺利通过测评。备案主体是法人单位。自己运营的系统自己备;卖给别人用的系统,买方负责备案。备案需要准备这些材料:等级保护备案表、定级报告、系统拓扑图、安全组织机构图、管理制度文件、安全建设方案、信息安全产品清单。这个环节有点繁琐,但不用担心,专业机构会协助完成。正常5到15个工作日能拿到备案证明。测评机构会对你系统进行全面检查:物理环境、网络架构、应用数据、安全设备、管理制度……一项一项过。70分是及格线。但注意,不是60分万岁——存在高危风险项的,直接判定不合格,哪怕总分超过70也不行。测评发现了问题,就要整改。高危风险必须立即处理,中低危风险按计划处理。整改的内容包括:打补丁、升级系统、加固配置、完善制度……具体做什么,看测评报告怎么说。有些企业以为买了安全设备就完事了,这是最大的误区。等保看的是整体防护能力,不是你买了多少设备。这份报告要存档备查,监管部门随时可能来检查。而且,在做系统验收、项目投标的时候,这份报告也是有力的资质证明。公安机关会定期检查企业等保落实情况。检查内容包括:制度是否落实、制度是否更新、测评周期是否合规……等保不是一次性的,是持续性的。一次备案、终身有效的想法,已经行不通了。
错。用户数据、业务系统,只要涉及信息资产,就有保护义务。监管部门查的是"你有没有做",不是"你规模大不大"。
错。设备是手段,不是目的。等保看的是整体防护能力,看的是你的安全体系是否健全。
错。二级系统每两年一次,三级系统每年一次。而且,随着业务发展、系统升级,安全要求也在不断变化。
错。等保是系统工程,需要管理层重视、制度流程配套、技术手段支撑。IT部门主导,但业务部门、财务部门、行政部门都要参与。说不难,是因为流程是标准的,机构是专业的,只要配合好,就能顺利通过。说复杂,是因为很多企业一开始不重视,等出了问题才后悔莫及。如果你看完这篇文章,对等保还有疑问,欢迎在评论区留言,我们会一一解答。也可以转发给身边做企业的朋友,别让他们因为不了解,吃了大亏。
阅读原文:https://mp.weixin.qq.com/s/yVTlD73iktVerR6pF1Wiiw
该文章在 2026/7/6 15:21:03 编辑过