等保2.0合规要点

网络安全等级保护2.0是企业信息安全的基本门槛，所有网络运营者必须按照定级备案、安全建设、等级测评和安全整改四个步骤完成等保合规，安全保护等级分为五级且分别对应不同的安全要求。

网络安全等级保护2.0——企业信息安全的基本门槛

网络安全等级保护制度是我国网络安全领域的基础性制度，通常简称为等保。等保2.0于2019年12月1日正式实施，取代原有的等保1.0标准，对企业信息系统的安全保护提出了更加全面的要求。对于所有在中国境内建设运营信息系统的企业来说，等保合规已经不再是可选项，而是法律法规强制要求的基本门槛。本文详细解读等保2.0的核心要点和落地路径。

一、等保2.0的适用范围

等保2.0的适用范围比等保1.0有了大幅扩展。等保1.0主要针对基础信息网络和重要信息系统，而等保2.0将保护对象扩展到了所有网络运营者，包括基础信息网络、云计算平台、大数据平台、物联网、工业控制系统、移动互联网等。这意味着几乎所有企业，只要建设和运营信息系统，都有可能被纳入等保的保护范围。

根据网络安全法的规定，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务。不履行等保义务导致网络安全事件的，将承担相应的法律责任。因此，等保合规不仅是技术问题，也是企业必须面对的法律合规问题。

二、等级划分与定级

等保2.0将信息系统的安全保护等级分为五级。第一级是最低保护等级，适用于不涉及国家秘密、国家安全和社会公共利益的一般信息系统，受到破坏后对公民和法人的合法权益造成损害但不损害国家安全和社会公共利益。第二级适用于受到破坏后会对公民和法人的合法权益产生严重损害的信息系统。第三级适用于受到破坏后会对国家安全和社会公共利益造成损害的信息系统。第四级适用于受到破坏后会对国家安全和社会公共利益造成严重损害的信息系统。第五级适用于国家安全中特别重要的信息系统。

定级是企业等保工作的第一步。企业应当根据信息系统的业务属性和安全需求，参照定级指南自主确定安全保护等级。定级完成后，企业应当向公安机关备案，取得备案证明。第三级以上的信息系统需要每年进行一次等级测评。

三、安全建设与整改

确定安全保护等级后，企业应当按照对应等级的安全要求进行安全建设和整改。等保2.0的安全要求分为安全技术要求和安全管理要求两大类，每大类又包含若干控制项。安全技术要求包括物理安全、网络安全、主机安全、应用安全和数据安全五个方面。安全管理要求包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面。

对于第一级和第二级信息系统，安全要求相对基础，企业可以按照标准自行实施。对于第三级以上的信息系统，安全要求较为严格，通常需要聘请专业的安全服务机构进行安全建设方案设计和实施指导。整改完成后应当进行自查，确认所有安全要求都已落实到位。

四、等级测评

等级测评是验证信息系统安全保护水平是否达到相应等级要求的关键环节。等级测评由具备资质的测评机构实施，测评内容包括对安全技术和安全管理两大类的逐项检测和评估。测评完成后，测评机构出具等级测评报告，明确信息系统的安全保护状况是否符合等保要求。

测评结果分为符合、基本符合和不符合三个等级。符合是指所有安全要求项全部达标，基本符合是指部分安全要求项未达标但不影响整体安全。不符合是指存在严重的安全缺陷，需要立即整改。对于测评中发现的问题，企业应当在规定期限内完成整改，并接受复查。第三级以上信息系统的等级测评报告应当在测评完成后三十日内报送公安机关。

五、等保合规的持续运行

等保合规不是一次性的工作，而是需要持续坚持的任务。信息系统在建设和改扩建过程中，安全保护措施应当同步规划、同步建设和同步运行。信息系统投入运行后，安全保护措施应当持续有效，安全管理制度应当持续执行。企业应当每年对信息系统的安全状况进行自评，第三级以上信息系统每年接受一次等级测评。

六、等保2.0与保密管理的关系

等保2.0与保密管理之间存在密切联系但又有显著区别。等保2.0覆盖的是信息系统的通用安全保护，适用于所有网络运营者。保密管理覆盖的是涉密信息系统的特殊安全保护，适用于处理国家秘密的信息系统。涉密信息系统在满足等保要求的基础上，还需要满足保密管理相关法规和标准的更严格要求。对于同时涉及两类信息的信息系统，应当同时满足等保和保密管理的要求。

七、常见问题解答

问：哪些企业必须做等保？ 答：根据网络安全法的规定，所有网络运营者都有按照等保制度履行安全保护义务的法定义务。但实际监管中，监管部门重点关注的是一般以上的信息系统和涉及大量用户个人信息的信息系统。建议企业主动开展等保定级和备案工作。

问：等保定级是否越高越好？ 答：等保定级应当实事求是，按照信息系统的实际安全需求确定，不是越高越好。安全保护等级越高，安全要求越严格，建设和运行成本也越高。盲目提高保护等级会导致不必要的资金投入和运营负担。

问：等保测评不合格会有什么后果？ 答：等保测评不合格的信息系统需要限期整改，整改完成后重新接受测评。如果拒不整改或者因安全缺陷导致网络攻击和信息泄露事件，企业可能面临行政处罚，包括警告、罚款和责令暂停相关业务。

北京企密安信息安全技术有限公司提供等保咨询、定级备案、安全建设和测评整改一站式服务，帮助企业高效完成等保合规。如需服务咨询，请致电010-63711822或发送邮件至jess@baomiwang.com。