从零开始做等保:全流程步骤与必备材料完整指南

admin 2026-07-14 04:57:01 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文详细介绍了网络安全等级保护(等保)的全流程步骤与必备材料,涵盖定级、备案、建设整改、等级测评及常态化运维五个阶段。文章强调等保需遵循法定顺序,不可颠倒,并针对二级、三级系统提供了具体操作指南、材料清单及常见误区澄清,旨在帮助企业高效完成等保合规。 综合评分: 87 文章分类: 安全建设,解决方案,技术标准,政策法规,数据安全


cover_image

从零开始做等保:全流程步骤与必备材料完整指南

原创

国源天顺 国源天顺

国源天顺

2026年7月10日 18:15 北京

在小说阅读器读本章

去阅读

如果你正打算启动等保测评,却不清楚第一步该做什么、要准备哪些材料、要走哪些官方流程,这篇指南可以帮你一次性理清全部环节。

很多初次接触等保的企业会误以为”等保就是直接找测评机构做检测”,实际并非如此:等级测评只是等保全流程的最终验证环节,前面的定级确认、官方备案、对标整改每一步都有法定要求,顺序错了、材料缺了都会导致备案驳回、测评不通过,白白浪费时间与成本。

本文严格依据《中华人民共和国网络安全法》、GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》、GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、公网安〔2025〕1846号《关于对网络安全等级保护有关工作事项进一步说明的函》、2025版官方测评模板等标准编写,适用于企业最常见的二级、三级等保场景。

等保全流程遵循官方法定顺序:定级→专家评审→备案→建设整改→等级测评→常态化运维,不可颠倒顺序。整体周期参考:二级系统 3-4 个月,三级系统 4-6 个月,视系统整改难度浮动。


第一阶段:定级阶段(启动等保的第一步)

定级是等保的起点,核心是确定系统的保护等级,由企业自主定级,公安最终审核确认,等级一旦确定,所有建设、测评标准均对应等级执行。

1. 明确定级对象

不能以”整个企业”为单位定级,需以独立运行、单独承载业务的信息系统为单个定级对象,例如企业官网、业务交易系统、OA办公系统需分开定级。

强制要求:二级及以上系统必须完成备案与定期测评;一级系统为自主保护级,无需强制备案测评。

2. 初步自主定级

按照「受侵害客体 + 侵害程度」两个维度判定等级,企业常见的二级、三级判定标准如下:

| | | | | — | — | — | | 等级 | 适用场景 | 侵害影响 | | 二级 | 小型官网、内部OA系统、用户量10万以下的非敏感业务系统 | 系统遭到破坏后,对公民、法人合法权益造成严重损害,对社会公共利益造成一般损害 | | 三级 | 10万以上用户个人信息系统、金融/医疗/政务核心业务、电商交易平台、大数据中台 | 系统遭到破坏后,对社会公共利益造成严重损害,或对国家安全造成轻微危害 |

3. 专家评审(二级及以上系统需要)

依据公网安〔2025〕1846号官方释疑:

  • 二级及以上系统定级、级别变更、系统重大重构时,必须组织不少于3名网络安全/对应行业专家出具评审意见;
  • 鼓励行业主管部门统一组织本行业批量专家评审。

4. 行业主管审核(仅监管类行业需要)

政务、医疗、教育、能源等监管行业的系统,需先报上级行业主管部门审核定级结果;普通商事企业无需此步骤。

本阶段输出必备材料

  • 《信息系统安全等级保护定级报告》(2025版官方统一模板)
  • 二级及以上系统专家评审意见书(含专家签字、专家资质证明)
  • 行业主管部门定级审核文件(如有)

第二阶段:备案阶段(获取官方备案证明)

定级完成后,向属地公安网安部门提交备案材料,审核通过后发放《网络安全等级保护备案证明》,即企业常说的”等保备案号”。

1. 确定备案受理机关

依据公网安〔2025〕1846号全国统一规则:

  • 原则上由地市级以上公安机关网安部门受理备案,省级公安机关可指定符合条件的县级公安机关受理;
  • 注册地、运维地、机房所在地不一致时,以安全管理机构、运维团队所在地为主受理;若安全管理与运维地分离,以安全管理机构所在地为准;
  • 跨省或全国联网运行系统的分支系统,由所在地地市级以上公安机关网安部门受理备案。

2. 全套备案材料清单(全部加盖单位公章)

【二级/三级系统通用必备材料】

  • 《网络安全等级保护备案表》(2025版官方模板,法定代表人签字 + 公章)
  • 《信息系统安全等级保护定级报告》(2025版模板)
  • 单位主体资质:营业执照/事业单位法人证书复印件、法定代表人身份证复印件
  • 系统基础资料:标注清晰的网络拓扑图(含安全设备、服务器、网络分区)、系统业务功能说明、软硬件资产清单
  • 《数据摸底调查表》(1846号文强制要求,二级及以上必须提交,需梳理数据类型、量级、跨系统流向,2025年11月30日前完成)
  • 安全负责人任命文件、专职安全管理人员基本信息

【三级系统额外必备材料】

  • 三级系统专家评审意见书(3名及以上专家签字 + 资质证明)
  • 行业主管部门审批文件(政务、医疗等监管行业需提供)

3. 备案审核流程

  1. 线上提交:通过属地公安等保备案系统上传全部电子材料;
  2. 官方初审:公安网安8-15个工作日内完成审核,材料不符会驳回修正;
  3. 线下核验:初审通过后,10个工作日内提交纸质原件到窗口核验;
  4. 发放证明:核验通过后,发放带唯一备案编号的《网络安全等级保护备案证明》。

关键规则提醒

  • 备案证明有效期3年(2025年1月1日前备案的,有效期自2025年1月1日起算);
  • 完成等级测评后有效期自动延长1年(累计延期一般不超过6年);
  • 期满需延期的,应当于期满前3个月内向受理备案的公安机关申请延期;
  • 系统等级、架构、核心业务、数据范围发生重大变更,需30日内重新备案更新。

第三阶段:建设整改阶段(对标标准补齐短板)

拿到备案证明后,需对照对应等级的等保标准完成技术、管理双维度建设整改,是决定测评能否通过的核心环节。

1. 第一步:差距评估

建议委托具备资质的测评机构或安全服务商,对照GB/T 22239-2019等保基本要求、数据安全专项要求,全面排查技术与管理短板,出具正式差距分析报告,避免盲目整改。

2. 技术维度整改(五大层面)

物理安全:自建机房需配齐防火、防雷、防水、门禁、视频监控;云上系统需获取云服务商等保备案证明、安全责任划分协议。

网络安全:部署边界防火墙、入侵防御系统,完成内外网分区隔离,启用登录双因素认证,日志留存不少于6个月(180天)

主机安全:完成服务器基线加固,定期漏洞扫描修复,部署终端安全管控,落实特权账号双人复核、最小权限管控。

应用安全:配齐接口防攻击、文件上传下载管控、全操作审计、异常访问拦截能力。

数据安全:完成数据分类分级、敏感数据加密存储传输、严格执行异地加密备份策略、数据全生命周期操作留痕、批量导出多级审批。

3. 管理维度整改(五大模块)

本阶段输出必备材料

差距分析报告、安全设备部署清单、全套安全管理制度、运维全流程台账、应急演练记录、数据分类分级报告、年度保护工作方案。

| | | | | — | — | — | | 管理维度 | 核心内容 | 留存台账 | | 安全管理机构 | 明确安全负责人、数据安全负责人,成文任命文件与组织架构 | 任命文件、组织架构图 | | 安全管理制度 | 搭建覆盖人员管理、机房运维、设备管理、漏洞整改、数据安全、外包管理、变更管理的全套制度体系 | 制度文本、修订记录 | | 运维管理 | 留存权限申请审批、漏洞整改、机房巡检、安全培训全流程台账 | 巡检记录、扫描报告、培训档案 | | 应急管理 | 编制通用网络安全应急预案 + 数据泄露专项应急预案,每年至少开展1次实战演练并留存完整记录 | 预案文本、演练记录、处置报告 | | 三级系统额外要求 | 每年编制《网络安全保护工作方案》,明确年度风险清单与整改计划,定期报送属地公安 | 保护工作方案、年度更新记录 |


第四阶段:等级测评阶段(第三方权威测评)

整改完成后,由公安部备案的正规测评机构开展全维度测评,出具具备法律效力的正式测评报告。

1. 选择合规测评机构

硬性要求:

  • 必须在公安部等级保护测评机构官方目录内;
  • 跨省开展测评的机构,需提前在属地公安网安完成项目备案,否则出具的报告不予认可。

2. 测评完整流程

  1. 预约提交材料:向测评机构提交备案证明、系统资料、整改全套材料;
  2. 现场测评:分为两部分,技术测试(漏洞扫描、渗透测试、配置核查)+ 管理核查(制度核验、人员访谈、台账检查);
  3. 问题整改复测:测评机构出具隐患清单,企业完成重大风险整改后申请复测,重大隐患必须清零
  4. 出具正式报告:测评达标后,出具2025版《网络安全等级保护测评报告》。

3. 2025版最新测评结论规则(已取消百分制)

| | | | | — | — | — | | 符合率 | 重大风险隐患 | 测评结论 | | ≥90% | 无 | 符合 | | ≥90% | 有 | 基本符合 | | 60%(含)-90%(不含) | – | 基本符合 | | <60% | - | 不符合 |

本阶段输出材料

正式等级保护测评报告、整改复测记录。


第五阶段:测评报备与常态化运维(持续合规)

1. 测评报告报备

拿到正式测评报告后,30日内提交给备案属地公安网安部门,完成年度测评报备。法定测评周期:

  • 第三级系统:每年至少开展1次正式测评;
  • 第四级系统:每半年至少开展1次正式测评;
  • 第五级系统:依据特殊安全需求进行等级测评;
  • 第二级系统:每两年至少开展1次正式测评。

2. 常态化合规运维

等保不是一次性项目,需持续运维满足动态监管要求:

  • 每季度开展漏洞扫描与整改,留存完整运维台账;
  • 每年全员安全培训、应急演练至少1次;
  • 系统业务、架构、数据发生重大变更时,及时更新定级备案;
  • 配合公安网安不定期的远程检测、现场抽查。

常见新手误区澄清

| | | | — | — | | 误区 | 纠正 | | 测评通过了才能备案 | 官方法定流程是先定级备案、确认保护等级,再开展建设整改与测评;备案是对系统等级的官方确认,不是对安全能力的认证 | | 备案证明终身有效 | 备案证明有效期3年,完成测评后自动延长1年(累计一般不超过6年),期满需提前3个月申请延期;系统重大变更需30日内重新备案 | | 买齐安全设备就能过等保 | 等保为技术+管理双维度考核,设备只是基础,核心看策略配置、制度落地、运维执行实效 | | 二级系统不用备案 | 二级系统需要专家评审和备案,且每两年需完成一次测评,未备案未测评可面临行政处罚 | | 日志存够6个月就达标**** | 日志留存≥6个月是基本要求,但还需具备日志关联分析、异常检测能力,单纯存储原始日志不等于合规 |

国源天顺科技产业集团成立于2017年,是公安部推荐的专业等级保护测评机构,致力于提供网络安全整体解决方案。

现有客户类型涵盖政府、医疗、连锁、纺织、能源、金融、教育及运营商、互联网等行业领域,赢得网络完全服务市场优异口碑,并凭借自身专业能力,积极参与网络安全相关制度建设。

我们拥有专业等级保护测评师团队、丰富的等级保护项目服务经验,实施周期短,一站式高效率通过等保测评,欢迎咨询交流。热线:13263158653

欢迎关注国源天顺官方公众号

国源天顺科技产业集团 TEL:13263158653

北京市朝阳区绿地中国锦大厦32层


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:国源天顺 国源天顺 国源天顺《从零开始做等保:全流程步骤与必备材料完整指南》

评论:0   参与:  0