企业网站
网络安全等保基础(什么情况要做)
网络安全等级保护(等保)是中国法规要求的安全合规制度。本文讲清等保是什么、什么企业要做、几级怎么定、流程和成本,帮你判断要不要做。
很多企业听说要做"等保",但不知道是不是必须、要做到几级、要花多少钱。等保不是想做就做、不想做就不做的——它是《网络安全法》要求的强制义务,违反会面临罚款甚至停业整顿。 这篇文章讲清等保的基础概念、什么情况要做、几级怎么定、流程和成本,帮你判断要不要做。
等保是什么
等保全称"网络安全等级保护",是中国依据《网络安全法》《信息安全等级保护管理办法》建立的网络安全保护制度。2019 年发布的"等保 2.0"是现行标准(GB/T 22239-2019)。
等保的核心要求
- 定级:根据系统重要性定级(一到五级)。
- 备案:等级系统到公安机关备案。
- 建设整改:按等级要求建设安全防护。
- 等级测评:定期测评,三级及以上每年一次。
- 监督检查:公安机关监督检查。
等保 1.0 vs 2.0
| 维度 | 等保 1.0 | 等保 2.0 |
|---|---|---|
| 发布时间 | 2008 年 | 2019 年 |
| 保护对象 | 信息系统 | 信息系统、云计算、移动互联、物联网、工业控制、大数据 |
| 法律依据 | 行政法规 | 《网络安全法》 |
| 安全要求 | 基础 | 增加 API、数据、个人信息保护 |
等保的等级划分
等保分为五级,绝大多数企业实际涉及的是二级和三级:
| 等级 | 名称 | 受损害对象 | 适用 | 测评频率 |
|---|---|---|---|---|
| 一级 | 自主保护级 | 公民、法人权益 | 一般小型系统 | 建议自查 |
| 二级 | 指导保护级 | 社会秩序、公共利益(一般损害) | 一般企业信息系统 | 建议两年一次 |
| 三级 | 监督保护级 | 社会秩序、公共利益(严重损害) | 重要业务系统 | 每年一次(强制) |
| 四级 | 强制保护级 | 国家安全 | 关键信息基础设施 | 每半年一次 |
| 五级 | 专门保护级 | 国家安全(特别严重) | 极少 | 特殊 |
哪些企业需要做等保
按现行法规和行业监管,下列企业通常需要做等保:
1. 关键信息基础设施运营者(CIIO)
- 政府、能源、金融、交通、水利、医疗卫生、教育、科研、新闻、电信等领域的重要系统。
2. 收集大量个人信息的企业
- 用户数超过规定阈值的信息系统。
- 处理敏感个人信息(医疗、金融、生物识别等)的系统。
3. 行业监管要求
| 行业 | 通常要求 |
|---|---|
| 金融(银行、保险、支付) | 三级及以上 |
| 医疗(医院 HIS 系统) | 三级 |
| 政务(政府部门业务系统) | 三级 |
| 教育(学校教务、学籍系统) | 二级或三级 |
| 电商(涉及交易和个人信息) | 二级或三级 |
| 通用企业官网(仅展示) | 通常不强制 |
| SaaS 平台(多租户业务) | 通常三级 |
4. 普通企业官网要不要做
| 官网类型 | 是否需要 |
|---|---|
| 纯展示型官网(不收集敏感信息) | 通常不强制 |
| 收集大量询盘和客户信息 | 建议二级 |
| 含在线交易 | 通常二级或三级 |
| 涉及政务、医疗、金融业务 | 按行业要求 |
建议:拿不准时咨询专业等保测评机构,做一次预评估。
等保的流程
第 1 步:定级
- 评估系统重要性,确定等级(一至五级)。
- 形成《定级报告》。
第 2 步:备案
- 二级及以上到所在地的公安机关网安部门备案。
- 提交《备案表》、定级报告等材料。
- 取得《备案证明》。
第 3 步:建设整改
- 按等级要求建设安全防护:
- 物理:机房、环境。
- 网络:防火墙、入侵检测、安全审计。
- 主机:操作系统加固、防病毒。
- 应用:身份认证、访问控制、日志审计。
- 数据:备份、加密、个人信息保护。
- 制度:安全管理制度、应急预案。
第 4 步:等级测评
- 找有资质的测评机构(公安部认可)测评。
- 出具《测评报告》,三级要求"良"及以上。
第 5 步:监督检查
- 三级及以上每年一次复测。
- 公安机关监督检查,发现隐患整改。
等保的技术和制度要求(三级为例)
技术要求
- 物理安全:机房门禁、监控、防火防潮。
- 网络安全:边界防护、访问控制、入侵防范、恶意代码防范、安全审计。
- 主机安全:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制。
- 应用安全:身份鉴别、访问控制、安全审计、通信完整性、软件容错。
- 数据安全:数据完整性、保密性、备份恢复。
管理要求
- 安全管理制度。
- 安全管理机构。
- 人员安全管理。
- 安全建设管理。
- 安全运维管理。
成本参考
| 项目 | 二级 | 三级 |
|---|---|---|
| 测评费(一次) | 几万到十万 | 十几万到几十万 |
| 整改费(一次性) | 几万到几十万 | 几十万到上百万 |
| 复测费(每年) | 几万 | 十几万到几十万 |
| 周期 | 3 到 6 个月 | 6 到 12 个月 |
说明:成本受系统复杂度、地区、整改难度影响很大,以上仅为参考区间。
常见误区
- "小公司不用做":业务涉及敏感数据或行业监管的,再小也要做。
- "等保是一次性投入":三级及以上每年复测,是持续成本。
- "做了等保就安全":等保是底线,不等于安全无忧,还要持续运营。
- "挂个等保证书就行":公安机关会监督检查,整改不到位会被处罚。
- "等保就是买设备":管理制度占很大比重,不是买设备就过。
- "延期不备案没事":《网络安全法》最高罚 100 万、停业整顿。
怎么开始
- 评估你的业务系统是否需要做等保(咨询专业机构)。
- 确定等级(定级报告)。
- 到公安机关备案,取得备案证明。
- 找有资质的测评机构做预评估,列整改清单。
- 按要求整改(技术 + 制度)。
- 正式测评,拿测评报告。
- 三级及以上每年复测,持续维护。
广州市汉诺雷斯(HNREIS)做企业官网和业务系统会按等保要求规划安全架构(身份认证、访问控制、日志审计、数据保护),并提供等保合规咨询。把你的业务系统情况告诉我们,我们给出合规方案与报价。
常见问题
本文由 广州市汉诺雷斯(HNREIS) 整理。我们专注微信小程序开发、企业网站建设、外贸 B2B 独立站与 AI 智能体搭建,为企业提供从需求梳理到上线运维的全流程软件开发服务。
免费咨询需求