网络安全等级保护（等保2.0）

网络安全等级保护（等保2.0）工作全流程指南

等级保护（全称“网络安全等级保护”）是我国网络安全领域的核心制度，是《网络安全法》规定的法定义务，等保2.0相关国家标准于2019年5月10日正式发布。2019年12月1日开始实施。。其流程围绕“定级→备案→测评→整改→监督检查”五大核心环节展开，形成闭环管理。以下是基于《网络安全法》《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）等法律法规与标准体系的详细流程拆解，适用于企业、事业单位等组织开展等级保护工作。

一、核心流程：五阶段闭环管理

等级保护流程需遵循“先定级别，再做防护，定期测评，持续改进”的逻辑，具体分为5个阶段，每个阶段有明确的目标、操作步骤和输出物：

阶段1：定级（确定系统安全等级）

目标：明确待保护信息系统的安全保护等级（1-5级），是后续所有工作的基础。
主要依据：《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）

操作步骤：

1. 确定定级对象
   梳理组织内的信息系统（如业务系统、数据库、云平台、物联网系统、工业控制系统、大数据平台等），明确“定级对象”——需满足“独立的业务应用”“独立的网络边界”“独立的安全责任”三个条件（例如：企业的OA系统、电商平台的交易系统需分别作为定级对象）。

2. 初步定级
   依据两个核心要素确定等级：

   • 受侵害的客体：根据系统处理数据的“保密性、完整性、可用性”被破坏后，或系统服务中断后，对国家安全、社会秩序和公共利益、公民法人和其他组织的合法权益的侵害程度。
   • 受侵害的程度：对上述客体的侵害程度，分为一般损害、严重损害和特别严重损害。
     综合两方面确定业务信息安全等级（A） 和系统服务安全等级（B），最终等级取两者中的较高值。

3. 定级评审与审批

   • 组织内部评审：由技术、业务、管理、安全等部门共同评审定级结果的合理性。
   • 专家评审（二级及以上系统建议进行，三级及以上系统必须进行）：需邀请行业专家或等级保护专家进行评审，出具《定级专家评审意见》。
   • 主管部门审批：最终定级结果需获得上级主管部门或单位的审批同意。
   • 网安部门审核：对于拟定为第三级及以上的系统，定级结论需报属地公安机关网络安全保卫部门进行备案前审核。

4. 输出物：《信息系统安全等级保护定级报告》（需盖章确认）、《定级专家评审意见》（如需）。

阶段2：备案（向公安网安部门报备）

目标：将定级结果正式告知公安网安部门，纳入监管范围，获取备案证明。
适用范围：2级及以上信息系统（1级系统无需备案，但需依据相关标准进行安全保护）。

操作步骤：

1. 准备备案材料
   需提交以下材料（通常通过“全国网络安全等级保护测评与备案管理平台”线上提交，线下需纸质版盖章）：

   • 《信息系统安全等级保护备案表》；
   • 《信息系统安全等级保护定级报告》；
   • 《定级专家评审意见》（三级及以上系统）；
   • 系统拓扑图及说明；
   • 安全管理制度清单；
   • 使用的网络安全产品清单及认证许可材料；
   • 其他相关材料（如单位法人证书等）。

2. 提交备案申请

   • 备案部门：根据系统运营使用单位的属地管辖原则，向属地公安网安部门提交。跨省全国联网系统由部级单位向公安部备案。

3. 备案审核与领证

   • 公安网安部门在收到备案材料后的10个工作日内进行审核。
   • 审核通过后，发放《信息系统安全等级保护备案证明》，备案编号是系统在监管体系中的唯一身份标识。

4. 输出物：《信息系统安全等级保护备案证明》。

阶段3：测评（第三方测评机构进行安全测评）

目标：通过独立第三方测评，检验系统是否满足对应等级的安全要求，发现安全漏洞和隐患。
主要依据：《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）

适用范围：

• 3级系统：每年至少1次测评；
• 4级系统：每半年至少1次测评；
• 2级系统：建议每2年1次（金融、医疗等行业有强制要求）；
• 1级系统：无需强制测评，建议组织自行评估。

操作步骤：

1. 选择合规测评机构
   必须选择具备“国家网络安全等级保护工作协调小组办公室”认定的《网络安全等级保护测评机构推荐证书》的机构（名单可在“中国网络安全等级保护网”查询）。

2. 签订测评合同与准备
   明确测评范围、时间、费用和交付物，并组建联合项目组，准备系统文档、网络拓扑、账户权限等。

3. 开展测评工作
   测评机构依据GB/T 22239和GB/T 28448开展：

   • 技术安全测评：包括物理和环境、网络和通信、设备和计算、应用和数据四个层面的安全控制措施验证，采用工具扫描、配置检查、渗透测试等方法。
   • 管理安全测评：包括安全策略、管理制度、管理机构、人员管理、建设管理、运维管理等方面的制度建设和执行情况核查。

4. 出具测评报告
   测评机构出具《网络安全等级保护测评报告》，结论分为：

   • 符合：所有要求项均达标；
   • 基本符合：存在一般性安全问题，但不影响整体安全；
   • 不符合：存在严重安全问题，整体安全无法保证。
     报告需附带详细《问题清单》，列明不符合项及整改建议。

5. 输出物：《网络安全等级保护测评报告》。

阶段4：整改（针对测评问题优化防护）

目标：对测评中发现的安全隐患进行修复和加固，使系统达到对应等级的安全要求。

操作步骤：

1. 问题分析与优先级排序
   根据测评报告中的《问题清单》，根据风险高低（高、中、低）制定整改计划，优先解决高风险问题（如高危漏洞、弱口令等）。

2. 制定整改方案
   针对技术和管理问题制定详细方案：

   • 技术整改：部署或调整安全设备（WAF、IPS、防火墙）、修补漏洞、强化访问控制策略、完善数据备份与加密措施等。
   • 管理整改：制定或修订安全管理制度（如《安全管理办法》《应急预案》）、落实安全责任人员、开展安全培训与演练、完善运维操作记录等。

3. 实施整改与验证
   执行整改措施后，需进行验证：

   • 技术问题可通过复测、扫描等方式验证；
   • 管理问题需检查制度文档和执行记录。
     可要求测评机构对关键问题进行复核。

4. 输出物：《安全整改方案》、《整改实施报告》、《整改验证记录》。

阶段5：监督检查（接受主管/监管部门的持续监管）

目标：公安网安部门、行业主管部门对组织的等级保护工作进行持续监督，确保其长期合规。
法律依据：《网络安全法》第五十九条等条款明确了未履行等保义务的法律责任。

操作方式：

1. 自查与报告：运营者需定期（每年）对等级保护落实情况开展自查，发现安全风险隐患及时整改，并按规定向主管/监管部门报告。
2. 日常监督：公安网安部门通过线上监测、电话问询、抽检等方式，核查系统是否按要求开展备案、测评和整改工作。
3. 现场检查：针对三级及以上系统，公安网安部门会定期（如每1-2年）开展现场检查，重点核查：
   • 备案证明、测评报告的真实性和有效性；
   • 安全管理制度体系的完整性和执行情况；
   • 安全技术措施的有效性；
   • 整改措施的落实情况。
4. 违规处理：对于未履行等保义务的单位，公安机关将依法责令整改，给予警告；拒不改正或导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。情节严重的，依法追究刑事责任。

二、关键注意事项

1. 定级准确性：定级是基石。定级过低会导致防护不足，面临合规风险和安全风险；定级过高会增加不必要的成本和复杂度。务必结合业务影响客观定级。
2. 测评机构合规性：必须选择经国家认证的合规测评机构，否则测评报告无效，无法通过公安检查。
3. 持续性与动态性：等级保护是持续过程。当系统发生重大变更（如架构调整、业务扩张、承载重要数据）、所处环境变化或发生重大安全事件时，应重新评估安全等级并调整防护措施。
4. 特殊系统要求：
   • 云计算平台：遵循“责任共担”模型，云平台本身需通过等保测评（通常由云服务商完成），租户也需对其部署在云上的业务系统单独定级和测评（“云等保”）。
   • 物联网/工控系统：需额外关注设备接入安全、传输加密、控制指令安全等特殊要求。
   • 数据安全：必须与《数据安全法》《个人信息保护法》相结合，在测评和整改中重点关注数据分类分级、数据加密、个人信息保护、数据出境安全等要求。

通过以上流程，组织可系统性地构建“防护、检测、响应、恢复”的安全能力，不仅满足国家网络安全合规性要求，更能有效提升整体网络安全防护水平，保障业务稳定运行。