文章总结： 本文档基于2026年网安法及等保新标，提供企业自查清单。核心涵盖AI安全治理、产品标识分级、数据分类分级及异地备份、双因素认证等技术升级要求。建议企业复核定级备案，排查33项重大风险，针对新技术场景落实防护措施，并制定闭环整改计划以满足新规合规性。 综合评分： 90 文章分类： 政策法规,安全建设,数据安全,AI安全,云安全

2026 年网络安全等级保护新规企业自查清单

耶度 耶度

野猪与安全

2026年1月19日 15:00 广东

适用范围：二级及以上信息系统运营单位

自查依据：2026 年 1 月 1 日施行《中华人民共和国网络安全法》修订版、2026 年 2 月 1 日实施六项新技术公安行业标准、等保核心标准（GB/T 22240-2008、GB/T 22239-2008 等）

| 自查模块 | 自查项 | 具体自查内容 | 合规判定标准 | 自查结果（√/×/ 待整改） | 备注 | | — | — | — | — | — | — | | 一、基础合规流程自查 | 1. 定级备案更新 | 1. 是否按新规完成系统定级复核（含新技术场景如 AI、边缘计算系统） 2. 二级及以上系统是否向地级以上公安机关提交更新后的《定级报告》《备案表》 3. 三级及以上系统是否提交表四（第三级以上信息系统提交材料情况） | 1. 定级结果符合《定级指南》及行业细则 2. 备案材料齐全，已取得《备案证明》 | | 一级系统无需备案 | | | 2. 差距分析与整改 | 1. 是否对照 2026 年新规要求开展安全差距分析 2. 是否制定《等级保护安全建设整改方案》，并分阶段落地 3. 整改完成后是否开展内部验收 | 1. 形成合规的《差距分析报告》《整改方案》 2. 验收结果验证整改达标 | | 整改需参考 GB/T25070-2010 | | | 3. 定期测评与复查 | 1. 三级系统是否按 “每年 1 次”、四级系统是否按 “每半年 1 次” 开展第三方测评 2. 是否完成公安部门组织的监督检查整改 | 1. 测评结论为 “符合” 或 “基本符合” 2. 监督检查问题全部闭环 | | 测评机构需具备等保测评资质 | | 二、核心制度创新落实自查 | 1. AI 安全治理 | 1. 是否建立 AI 模型安全评估机制（含模型攻击、数据泄露风险防范） 2. AI 应用是否纳入等保定级范围，是否落实安全防护措施 | 1. 形成 AI 安全评估报告 2. AI 系统防护符合新规法定要求 | | 新规首次将 AI 安全纳入法定责任 | | | 2. 网络安全标识管理 | 1. 所使用的网络安全产品是否具备合规的分级标识（一星 / 基础级、二星 / 增强级、三星 / 领先级） 2. 是否建立产品标识台账 | 1. 核心安全产品标识齐全且合规 2. 台账记录完整 | | 标识需符合 2026 年新技术标准要求 | | | 3. 数据资源摸底 | 1. 二级及以上系统是否填报《数据摸底调查表》 2. 是否建立数据资产台账，实施数据分类分级管理 3. 重要数据是否落实全生命周期安全保护 | 1. 调查表填报完整、准确 2. 数据分类分级清晰，防护措施到位 | | 重点关注客户敏感数据、业务核心数据 | | 三、测评体系适配自查 | 1. 重大风险隐患排查 | 1. 是否对照 33 项重大风险隐患触发项开展排查（如渗透测试覆盖率不足、零日漏洞无热补丁能力等） 2. 发现的重大风险隐患是否制定整改预案 | 1. 无重大风险隐患，或隐患已闭环 2. 整改预案具备可操作性 | | 11 项新增触发项需重点关注 | | | 2. 测评结论适配 | 1. 是否掌握新规三级结论体系（符合 / 基本符合 / 不符合）判定标准 2. 现有系统符合率是否达到对应等级要求 | 1. 明确本系统合规目标值 2. 符合率≥90% 且无重大隐患 = 符合 | | 新规废除百分制评分 | | 四、技术要求升级自查 | 1. 传统安全能力强化 | 1. 三级及以上系统核心网络设备是否实现热冗余（负载≤80%） 2. 重要数据是否落实异地备份（同城≥30 公里，跨省市≥100 公里） 3. 三级及以上系统是否采用双因素认证（如 USBKey + 密码） | 1. 热冗余配置生效，负载达标 2. 异地备份机制正常运行，可恢复 3. 双因素认证覆盖所有管理员及核心业务用户 | | 备份需定期开展恢复演练 | | | 2. 新技术场景防护 | 1. 边缘计算 / 5G / 云计算系统是否落实新规扩展安全要求 2. 云计算服务是否明确 IaaS/PaaS/SaaS 模式下的安全责任边界 | 1. 新技术系统防护措施符合扩展要求 2. 与云服务商签订安全责任协议 | | 云安全需关注租户隔离、数据主权 | | 五、行业专项要求自查 | 1. 行业细则落地 | 1. 电力行业：是否按 “安全分区” 部署专用隔离装置，实现控制区与管理区数据单向流动 2. 医疗行业：患者隐私数据是否加密存储，日志留存是否≥12 个月 3. 金融行业：交易数据是否实现端到端不可篡改、审计可回溯 | 符合所在行业主管部门发布的实施细则要求 | | 各行业细则需及时跟进更新 | | 六、常态化运维自查 | 1. 安全管理制度 | 1. 是否根据新规更新安全策略和管理制度 2. 安全人员是否具备等级保护测评资质（高级资质人员需签字确认测评报告） | 1. 制度文件更新到位，覆盖新规要求 2. 配备足额合规安全人员 | | 定期开展全员安全意识培训 | | | 2. 应急与监测 | 1. 是否建立常态化安全监测、预警机制 2. 是否定期开展应急演练，预案是否适配新规要求 | 1. 监测系统 7×24 小时运行，预警及时 2. 每年至少开展 1 次应急演练，优化预案 | | 演练需覆盖数据泄露、系统瘫痪等场景 |

自查总结与整改建议

1. 结果统计

   ：统计各模块自查项的合规率，重点标记 “×” 项和 “待整改” 项，明确整改优先级。

2. 整改计划

   ：针对重大风险隐患和核心不合规项，制定 “整改责任人 + 整改时限 + 验证方式” 的闭环计划。

3. 专业支持

   ：复杂场景（如 AI 安全评估、云等保合规）建议委托具备资质的第三方机构提供技术支撑。

4. 动态更新

   ：密切关注行业主管部门细则更新，及时调整自查清单和合规策略。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：野猪与安全 耶度 耶度《2026 年网络安全等级保护新规企业自查清单》