作者:周知ISO | 发布时间:2026-06-09
2019年12月1日,GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》(即”等保2.0″)正式实施。三年多过去了,仍有大量企业对等保合规存在认知误区——有人觉得”我这是小公司不用做”,有人说”做了等保就安全了”,还有人被安全厂商的报价单吓退。
本文从实务角度出发,把等保2.0的核心要求、实施路径和常见坑点一次性讲清楚。
一、等保2.0 是什么?不是什么?
核心定义
等级保护(简称”等保”)是中国网络安全的基本制度,依据《网络安全法》第二十一条规定:国家实行网络安全等级保护制度。等保2.0是其2019年升级后的版本。
它不是什么
| 误区 | 实际情况 |
|---|---|
| “等保 = 安全认证” | 等保是合规底线要求,不是安全能力的认证标识 |
| “做了等保就不会被黑客攻击” | 等保解决的是”基本安全措施有没有”,不保证”绝对安全” |
| “只有大企业才需要做” | 只要运营信息系统且涉及公民个人信息,原则上都需要 |
| “等保是一次性项目” | 等保需要持续运维,定期复测 |
与 ISO 27001 的关系
很多企业同时在做 ISO 27001 和等保。两者的定位不同:
| 维度 | 等 保 2.0 | ISO 27001 |
|---|---|---|
| 性质 | 中国强制合规要求(有法律依据) | 国际标准(自愿采用) |
| 适用范围 | 中国境内所有网络运营者 | 全球适用 |
| 关注重点 | 技术防护 + 合规达标 | 风险管理 + 体系化运作 |
| 输出物 | 备案证明 + 测评报告 | 认证证书 |
| 关系 | 可以理解为”最低安全基线” | 更全面的风险管理框架 |
💡 实务建议:先做等保(满足合规底线),再做 ISO 27001(提升管理水平),两者在控制措施上有大量重叠,可以复用证据。
二、五级保护等级:你属于哪一级?
等保将信息系统划分为五个安全等级:
| 等级 | 侵害对象 | 侵害程度 | 典型场景 |
|---|---|---|---|
| 第一级 | 公民/法人/组织合法权益 | 损害 | 一般企业内部系统(自主保护) |
| 第二级 | 公民/法人合法权益 + 社会秩序/公共利益 | 一般损害 | 一般非涉密系统(最常见) |
| 第三级 | 公民权益+社会秩序+公共利益 | 严重损害 | 涉及大量个人信息的系统 |
| 第四级 | 社会秩序+公共利益+国家安全 | 特别严重损害 | 关键信息基础设施相关 |
| 第五级 | 国家安全 | 特别严重损害 | 涉密系统(不适用公开测评) |
绝大多数企业的实际情况
- 普通中小企业的信息系统通常定为 二级
- 涉及大量用户个人信息(注册用户数万以上)、支付功能或敏感业务数据的系统,大概率要定 三级
- 定级由企业自己初步确定 → 请专家评审 → 向公安机关备案
三、等保2.0 的核心控制要求
等保2.0 的控制要求分为两大类:技术要求和管理要求。每一类又细分为多个层面。
技术要求(三级为例)
| 层面 | 核心要点 | 常见问题 |
|---|---|---|
| 安全物理环境 | 机房访问控制、防火防水防盗窃 | 很多企业用云服务器,此层由云厂商负责 |
| 安全通信网络 | 网络架构划分、通信加密、边界防护 | 缺乏网络分区,开发环境和生产环境混在一起 |
| 安全区域边界 | 防火墙策略、入侵检测/防御、恶意代码防范 | 防火墙策略”允许所有”,形同虚设 |
| 安全计算环境 | 身份鉴别、访问控制、加密、日志审计 | 仍使用弱口令、未启用双因素认证 |
| 安全管理中心 | 集中管控、审计分析、事件告警 | 各系统各自为政,没有统一的安全运营视角 |
管理要求(三级为例)
| 层面 | 核心要点 | 与 ISO 27001 对应关系 |
|---|---|---|
| 安全管理制度 | 制度体系建立、评审和发布 | 对应 A.5 / ISO 27001 第7.5条 |
| 安全管理机构 | 岗位设置、人员授权、沟通协调 | 对应 A.6 / ISO 27001 第5-7章 |
| 安全管理人员 | 人员录用、培训考核、离岗保密 | 对应 A.7 / ISO 27001 第7.2-7.3条 |
| 安全建设管理 | 系统定级、方案设计、采购开发 | 对应 A.14 / ISO 27001 第8章 |
| 安全运维管理 | 资产管理、设备维护、监控审计 | 对应 A.8-A.16 / ISO 27001 运行控制 |
⚠️ 注意:等保2.0 扩展了对云计算、移动互联、物联网、工业控制系统和大数据的特殊要求。如果你的系统涉及这些领域,需要额外满足对应扩展要求。
四、等保合规全流程(六步法)
第一步:定级 → 第二步:备案 → 第三步:建设整改 → 第四步:等级测评 → 第五步:监督检查 → 持续运维
第一步:定级
确定系统的安全保护等级。依据是:
– 信息系统被侵害后对国家安全、社会秩序、公共利益以及公民/法人合法权益的危害程度
– 参考GB/T 22240《信息安全技术 网络安全等级保护定级指南》
输出物: 定级报告
第二步:备案
向所在地公安机关网安部门提交备案材料:
– 《信息系统安全等级保护备案表》
– 定级报告
– 系统拓扑图
– 相关证明材料
公安机关审核后发放备案证明。
💡 备案本身免费。但大多数企业会请第三方机构协助准备材料。
第三步:建设整改
根据对应等级的保护要求,补齐缺失的控制措施。这是花钱最多的一步。
典型整改项:
| 整改方向 | 具体内容 | 预估投入级别 |
|---|---|---|
| 身份认证 | 启用双因素认证(MFA)、强密码策略 | 低 |
| 网络隔离 | 划分DMZ/内网/运维区,配置防火墙策略 | 中 |
| 日志审计 | 部署日志审计系统,集中收集各系统日志 | 中高 |
| 加密传输 | 全站 HTTPS、数据库连接加密 | 低 |
| 入侵检测 | 部署 IDS/IPS 或 WAF | 中 |
| 渗透测试 | 聘请第三方进行渗透测试 | 中 |
| 安全设备 | 防火墙、堡垒机、数据库审计等 | 高 |
第四步:等级测评
聘请具有资质的等保测评机构(注意:不是随便一家安全公司都能做),对系统进行全面测评。
测评流程:
1. 准备阶段:提交资料、确定测评范围
2. 现场测评:访谈、检查、测试、扫描
3. 分析与报告:出具测评报告,给出评分
测评结果判定:
| 结果 | 含义 | 后续处理 |
|---|---|---|
| 优(90分以上) | 符合度很高 | 正常运行,定期复测 |
| 良(80-89分) | 基本符合,有小项扣分 | 针对性整改 |
| 中(70-79分) | 存在较多问题 | 需要限期整改后复测 |
| 差(70分以下) | 不符合基本要求 | 必须重大整改 |
第五步:监督检查
公安机关定期或不定期对已备案系统进行检查。主要包括:
– 是否按备案等级落实安全措施
– 发生安全事件是否及时报告
– 备案信息是否变更但未更新
第六步:持续运维(最容易被忽略)
等保不是一劳永逸的。需要持续做的事情包括:
– 定期更新风险评估(至少每年一次)
– 监控安全设备的告警并响应
– 定期进行漏洞扫描和渗透测试
– 人员变更时及时调整权限
– 每两年进行一次复测(二级)/ 每年复测(三级)
五、等保合规的五个常见坑
坑一:”我们用了云就不用操心等保了”
❌ 大错特错。云服务采用责任共担模型:
| 责任方 | 负责 |
|---|---|
| 云厂商(阿里云/腾讯云/AWS等) | 物理安全、虚拟化层安全、云平台自身安全 |
| 你(租户) | 云上部署的业务系统安全、数据安全、访问控制、应用加固 |
云厂商可以提供”等保合规镜像”和”等保预检工具”,但最终的等保责任在你自己身上。
坑二:”找最便宜的测评机构就行”
⚠️ 测评机构的资质和能力差异很大。低价测评可能意味着:
– 测评深度不够(该测的项目没测完)
– 发现的问题少(看起来”通过”了但实际隐患还在)
– 出具的报告不被监管认可
建议选择当地公安机关认可的权威测评机构。
坑三:”测评通过了就万事大吉”
测评只是某个时间点的快照。如果你的系统在测评第二天就新增了一个没有鉴权的 API 接口,那等保合规状态就已经被打破了。
坑四:”只关注技术要求,不管管理要求”
很多企业花大价钱买了防火墙、WAF、堡垒机,但:
– 没有账号管理制度
– 人员入职离职没有流程
– 日志没人看
技术和管理必须两手抓。等保测评中管理层面的分数占比并不低。
坑五:”等保和 ISO 27001 完全两码事”
虽然两者框架不同,但控制措施高度重合。如果已经建立了 ISO 27001 体系,等保合规的基础已经打好了 60-70%,只需要补充一些中国特有的要求(如备案、特定技术指标)。不要重复建设。
六、成本参考与 ROI 思考
等保合规的大致成本构成(以三级为例)
| 项目 | 费用范围 | 说明 |
|---|---|---|
| 咨询服务费 | 3-8万元 | 协助定级、差距分析、整改方案设计 |
| 安全设备采购 | 5-30万元(差异极大) | 取决于现有基础,云端可降低 |
| 等保测评费 | 5-15万元 | 取决于系统规模和测评机构 |
| 年度运维成本 | 3-10万元/年 | 持续监控、复测、人员投入 |
以上为市场参考价,实际因行业、地区、系统复杂度差异很大。二级的费用大约是三级的 50-70%。
为什么值得做?
- 法律合规:《网络安全法》《数据安全法》都有明确法律要求,违规最高可罚 100万或营收5%
- 客户要求:越来越多的招投标项目中,等保备案证明已成为准入条件
- 安全基线:即使不考虑合规,等保要求的控制措施本身就是合理的安全实践
- 品牌信任:等保合规是企业安全治理能力的一种背书
七、快速自查清单
你的系统等保合规情况如何?用这个清单快速评估:
技术层面(10项)
- [ ] 全站使用 HTTPS 加密传输
- [ ] 采用强密码策略(长度≥8位,含大小写字母+数字+特殊字符)
- [ ] 管理员登录启用双因素认证(2FA/MFA)
- [ ] 防火墙策略遵循”默认拒绝”原则
- [ ] 服务器已关闭不必要的服务和端口
- [ ] 操作系统和应用已安装最新安全补丁
- [ ] 开启了操作日志审计功能
- [ ] 重要数据进行了加密存储
- [ ] 有定期的备份机制和恢复演练
- [ ] 进行过漏洞扫描或渗透测试
管理层面(10项)
- [ ] 已完成等保定级并向公安机关备案
- [ ] 有明确的信息安全责任人
- [ ] 建立了账号权限管理制度(含审批流程)
- [ ] 新员工接受安全培训,离职员工及时回收权限
- [ ] 有安全事件应急预案并进行过演练
- [ ] 第三方供应商合同中包含安全条款
- [ ] 个人信息处理活动有记录清单
- [ ] 至少每年开展一次风险评估
- [ ] 进行过内部安全审计或自评
- [ ] 有信息安全相关的管理制度文件体系
✅ 得分 15/20 以上:基础较好,可以启动正式等保测评;10-14/20:有明显差距,需先整改;< 10/20:建议尽快启动体系建设。
八、写在最后
等保2.0 不是负担,而是企业网络安全建设的路线图和检查清单。它告诉你要做什么、做到什么程度、怎么验证效果。
与其被动应对监管检查,不如主动把等保合规作为提升安全治理水平的抓手。毕竟,在数字化时代,安全不是可选项——而是生存必需品。
下一篇预告:ISO 27001 与等保 2.0 如何整合实施?敬请期待。
作者:周知ISO,CCAA注册第三方审核员,专注信息安全合规与管理体系审核实务。