一、 等保基础概念
1.1. 等保基础概念
1.1.1. 官方定义
等保,全称网络安全等级保护制度 ,是《中华人民共和国网络安全法》第二十一条规定的国家强制安全制度 。核心逻辑是:按信息系统的重要程度、一旦出问题后的危害大小,分五个等级实施差异化保护。
类比理解:你的互联网产品就像一辆车:
- 普通代步车(低等级系统,如企业内部工具类产品):做基础安全检查(系安全带、定期保养);
- 营运客车(高等级系统,如含支付、海量用户数据的产品):必须过严格年检、装安全防护设备、配专业安全员,确保乘客(用户)安全。
核心要点:不做等保 = 违法运营,出事后企业和管理者个人都要担责。
二、 为什么要做等保
2.1. 法律强制要求
| 法律法规 | 关键条款 | 处罚措施 |
|---|---|---|
| 网络安全法 | 第21条:国家实行等级保护制度 | 拒不改正者处1-10万元罚款,直接责任人5千-5万元罚款 |
| 数据安全法 | 第27条:重要数据处理者需明确数据安全负责人 | 最高可处1000万元罚款,责令停业整顿 |
| 个人信息保护法 | 第51条:处理个人信息需采取相应安全措施 | 最高可处5000万元或上一年度营业额5%罚款 |
现实案例:
- 2023年全国查处未履行等保义务案件2.3万起
- 某平台未做等保致用户病历泄露,公司罚200万,CEO个人罚10万
- 科创板IPO尽调100%要求提供等保测评报告
2.2. 商业价值
- 市场竞争力:政府采购、国企、金融机构、大型企业招标通常要求三级等保证明
- 用户信任:可对外宣称"通过国家等保三级认证"
- 风险前置:提前发现系统漏洞,避免业务中断损失(平均整改成本是事后补救的1/10)
- 保险降费率:部分网络安全保险对合规企业优惠30-50%
三、 等保五级划分
各等级关键指标
| 等级 | 测评频率 | 监管力度 | 典型系统 | 互联网产品适用性 |
|---|---|---|---|---|
| 一级 | 自主定级,无需测评 | 自主管理 | 个人博客 | 基本不适用 |
| 二级 | 每2年至少1次 | 县级以上公安机关 | 小型企业OA | 用户<50万,无交易 |
| 三级 | 每年至少1次 | 市级以上公安机关 | 核心业务系统 | 绝大多数互联网产品 |
| 四级 | 每半年1次 | 国家级监管 | 高铁调度、金融清算 | 极少(阿里/腾讯核心) |
| 五级 | 特殊定制 | 国家专门机构 | 军事、顶尖机密 | 不涉及 |
四、 判断互联网产品是否需要做等保
bash
开始定级 → 系统是否存储支付信息? → 是 → 三级
↓否
是否存储>50万用户个人信息? → 是 → 三级
↓否
是否为平台型产品(连接多方)? → 是 → 三级
↓否
系统瘫痪是否导致业务中断? → 是 → 二级
↓否
一级或暂不定级管理者决策建议:
- 90%的互联网产品应定为三级(尤其是To C产品)
- 定低不保:二级系统若发生严重数据泄露,可能被追溯责任
- 定级过高:增加不必要的成本(三级比二级成本高约2-3倍)
4.1. 强制要求场景
| 业务类型 | 具体场景 | 最低等级 |
|---|---|---|
| 用户规模 | 注册用户超过50万 | 二级 |
| 交易支付 | 涉及在线支付、资金结算 | 三级 |
| 公共服务 | 医疗挂号、教育平台、政务服务 | 三级 |
| 数据敏感 | 存储用户身份证、银行卡、健康信息等 | 三级 |
| 平台属性 | 社交平台、短视频、电商平台 | 三级 |
| 特殊行业 | 物流、网约车、民宿短租(平台经济) | 三级 |
4.2. 可暂缓场景
- 纯内部工具系统,无互联网接口 用户量<10万的非交易类
- 展示网站,不存储敏感数据
- 初创MVP验证阶段(但上线前必须完成)
五、 等保实施5步全流程
等保不是 "交钱拿证",是一套完整的 "定级 - 备案 - 整改 - 测评 - 监督" 流程,每一步都不能省:
5.1. 步骤 1:定级(自己先判断等级)
-
谁来做:你(软件管理者)牵头,联合技术负责人(架构师、安全负责人);
-
怎么做:
- 梳理产品核心信息:是否含支付、处理什么数据、用户规模、业务影响(如中断 1 小时损失多少);
- 对照上面的 "定级标准",初步判定是二级还是三级;
- 形成《定级报告》(可找测评机构协助编写,避免定错级)。
5.2. 步骤 2:备案(去公安局网安部门登记)
-
核心目的:告诉监管部门 "我的产品要做等保了,请备案",拿到官方认可的《备案证明》;
-
谁来做:行政或法务同事配合技术部门;
-
去哪里办:
○ 市级产品(如面向全省 / 全国用户):找当地市公安局网安支队;
○ 县级产品(如仅面向本地用户):先找县网安大队,再转交市支队;
-
准备材料:《定级报告》、企业营业执照、产品系统拓扑图、负责人身份证明等(网安部门会给清单,或测评机构可协助准备);
5.3. 步骤 3:建设整改(管理者主导,行政 / HR 配合)
这是投入时间和成本最多的一步,核心是 "按等级要求,补设备、改代码、建制度",让产品达到等保标准。
(1)技术层面整改(软件 / 技术团队主导)
| 整改方向 | 二级等保要求 | 三级等保要求 |
|---|---|---|
| 物理环境 | 服务器托管在合规机房(如阿里云、腾讯云等服务商) | 机房有防火、防盗、防静电、温湿度控制(云服务器可忽略,服务商已达标) |
| 通信网络 | 数据传输加密(如 HTTPS) | 全链路加密(API、数据库传输、用户登录)、带宽冗余备份 |
| 区域边界 | 装基础防火墙(云服务商自带即可) | 必须装 WAF(Web 应用防火墙) + 下一代防火墙,做访问控制(如限制非法 IP 访问) |
| 计算环境 | 服务器装杀毒软件、密码复杂度要求(8 位以上含字母 + 数字) | 服务器加固(关闭无用端口)、多因素认证(如用户登录需短信验证)、数据库审计 |
| 数据安全 | 数据定期备份(每天 1 次) | 数据加密存储(如用户密码哈希加盐)、备份异地存放、数据脱敏(如展示手机号隐藏中间 4 位) |
(2)管理整改清单(12项核心制度):
| 序号 | 制度名称 | 核心内容 | 完成标准 |
|---|---|---|---|
| 1 | 安全管理制度 | 明确安全方针、目标、组织架构 | 文档签字盖章 |
| 2 | 安全管理机构与人员 | 指定安全负责人,岗位职责清晰 | 任命书+职责说明书 |
| 3 | 安全建设管理 | 系统开发、上线、变更流程规范 | 流程图+审批记录 |
| 4 | 安全运维管理 | 日常运维操作规范、监控告警 | 操作手册+日志 |
| 5 | 应急预案与演练 | 定义攻击、泄露等场景处理流程 | 预案文档+演练记录 |
| 6 | 人员安全管理 | 背景调查、保密协议、离职交接 | 人事档案 |
| 7 | 数据分类分级管理 | 区分健康/支付/普通数据,不同策略 | 数据清单+策略表 |
| 8 | 第三方服务商管理 | 云服务商、外包商安全责任划分 | 合同+安全协议 |
| 9 | 漏洞与风险管理 | 定期扫描、漏洞修复流程 | 扫描报告+修复记录 |
| 10 | 信息安全事件管理 | 事件报告、处置、复盘流程 | 事件台账 |
| 11 | 信息系统变更管理 | 代码发布、配置变更审批流程 | 变更记录 |
| 12 | 备份与恢复管理 | 备份策略、恢复演练 | 备份日志+演练报告 |
整改小技巧:
-
优先用云服务商的合规产品(如阿里云的 WAF、腾讯云的安全中心),比自建成本低、效率高;
-
找测评机构提前做 "预测评",针对性整改(避免盲目花钱买设备);
-
技术整改可同步推进(如改代码、装 WAF),管理整改提前准备(制度、日志)。
5.4. 步骤 4:等级测评(找第三方机构 "考试")
-
整改完成后,需要找 有国家认证资质的第三方测评机构 来现场测评(相当于 "安全考试")。
-
怎么选机构:在当地网安部门公布的 "等级测评机构名录" 里选(避免找无资质的机构,报告无效);
-
测评过程:机构会带几百项检查表,现场查技术(如扫描漏洞、检查 WAF 配置)和管理(如查制度文档、日志、人员培训记录),然后出具《等级测评报告》;
-
结果:
○ 达标:拿到 "合格报告",流程进入下一步;
○ 不达标:机构会给《整改建议》,你组织团队补短板(如缺日志补日志、漏洞没修复就修复),然后复测,直到达标(不会罚款或追责,放心整改)。
5.5. 步骤 5:监督检查(长期合规,不是一劳永逸)
-
提交报告:将《等级测评报告》一式四份,1 份给测评机构,2 份自己留存,1 份报送备案的网安部门(这步最关键,证明你已合规);
-
定期复测:
○ 三级系统:每年至少测 1 次(网安抽查频繁,必须严格执行);
○ 二级系统:建议每 2 年测 1 次(部分行业强制要求,如教育、医疗);
-
日常检查:网安部门会不定期抽查(如电话询问、现场检查),要留存好制度、日志、测评报告等材料,随时备查。
六、 等保相关高频疑问
| 问题 | 答案 |
|---|---|
| 做等保要花多少钱? | 二级 :3-8万(测评费2-3万,整改费1-5万,云产品年费); 三级:8-20万(测评费3-5万,整改费5-15万,WAF、数据库审计等产品年费)。 |
| 整个流程要多久? | 二级 :2-3个月(定级备案1周,整改1-2个月,测评2周); 三级:3-6个月(整改更复杂);建议:提前3个月启动,避免被抽查时未完成。 |
| 产品迭代时,等保要重新做吗? | 不需要完整重做,但如涉及核心安全功能(新增支付模块、扩容用户数据),需补充整改,并在下次复测时纳入。 |
| 只有APP,没有机房,需要做等保吗? | 需要APP的后台系统、数据传输/存储都属于信息系统,必须做等保(机房部分依赖云服务商资质,你负责应用层安全)。 |
| 不做等保先上线,后续补可以吗? | 不建议!上线后被抽查到会被责令下架、罚款;发生安全事件损失更大。建议上线前6个月或上线后1个月内启动。 |
| SaaS服务客户要求提供测评报告 | 自建IDC :每个客户独立部署 → 各自定级备案公有云SaaS:你自己做三级等保 → 向客户提供"合规证明" + "安全责任共担协议" |
| 微服务/容器化架构如何过等保? | 服务网格(Service Mesh) + 可观测性(Observability)○ 身份从"IP"转变为"服务身份"。○ 隔离从"硬件边界"转变为"软件定义微隔离"。○ 审计从"服务器日志"转变为"集中式可观测性数据"。 |
| DevSecOps如何融入等保? | 将等保要求转化为CI/CD流水线检查项。 |
七、 关键资源
相关网址
| 网站名称 | 网址 | 主要用途建议 |
|---|---|---|
| 网络安全等级保护网 | www.djbh.net | 用于查询政策、标准、通知、测评机构名单、下载官方模板、办理备案指导等。 |
| 全国网络安全标准化技术委员会 | www.tc260.org.cn | 查阅和跟踪等保及相关安全国家标准的制定过程与官方文本。 |
| 中国网络安全审查技术与认证中心 | www.isccc.gov.cn | 了解与等保要求相关的产品认证和管理体系认证信息。 |
标准文档
-
GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》
-
GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》