等保2.0指南：从系统等级划分到测评全流程攻略

在数字化转型加速的当下，网络安全已然成为企业生存与发展的关键要素。等保2.0，作为我国网络安全等级保护制度的进阶版本，依据《中华人民共和国网络安全法》第二十一条“国家实行网络安全等级保护制度”之规定，不再只是大型企业的专属任务，而是覆盖所有企业单位的刚性要求。对企业而言，如何精准领会等保2.0的要求，并高效落实安全措施，成为亟待解决的重要课题。本文将依据相关法律法规，从等级划分、核心要求、实施路径到体系搭建，为企业提供一套切实可落地的合规指南。

一、等级划分：找准安全“基准线”

等保2.0依据《信息安全等级保护管理办法》及相关配套规定，将信息系统划分为五个安全保护等级，其中一级为最低等级，五级为最高等级。企业在确定自身信息系统的安全保护等级时，应避免盲目追求高等级，而是要结合自身实际情况做到“量体裁衣”。以下为您分别介绍1-5级信息系统的参考示例，供您参考，目前来说最常用的系统等级为二级和三级：

一级信息系统

等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成一般损害，但不损害社会秩序公共利益、国家安全或地区安全、国计民生；

为等级保护中最低的安全保护等级，适用于一般的信息系统。

二级信息系统

等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重和特别严重损害，或者对社会秩序和公共利益造成一般损害，但不损害国家安全。

二级信息系统其重要性和数据敏感性相较于一级有所提升。当这类系统发生安全事件时，可能会对企业或组织的正常运营造成一定影响。

三级信息系统

等级保护对象受到破坏后，会对社会秩序和公共利益产生严重损害，但不损害国家安全；

三级信息系统针对涉及重要业务数据或服务的系统，其安全事件可能引发较大范围的业务中断、数据泄露等问题，会对企业或组织的声誉和经济效益造成较大损害，甚至可能对社会公共利益产生一定影响，但尚未达到危害国家安全的程度。

四级信息系统

等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成一般损害；

四级信息系统属于较高安全保护等级，适用于涉及国家重要信息或关键基础设施的系统。这类系统一旦发生安全事件，可能会对社会公共利益造成严重损害，甚至会威胁到国家安全。

五级信息系统

等级保护对象受到破坏后，会对国家安全造成严重损害或特别严重损害。

五级为最高安全保护等级，适用于涉及国家核心机密和关键基础设施的核心系统。这类系统的安全直接关系到国家安全，一旦发生安全事件，将对国家安全造成特别严重的危害。

二、核心保护要求：覆盖多维度的10个层面

依据《信息安全技术网络安全等级保护基本要求》标准内容，企业需重点关注10个层面的安全防护，以满足《中华人民共和国网络安全法》第二十一条中关于网络运营者安全保护义务的要求。下面为您详细阐述这10个层面的具体要求，助力企业明确在各层面应采取的合规措施与防护行动三级为例（或您可以选择我们测评机构为您提供专业的质询服务）：

（一）物理环境安全

安全物理环境测评的对象主要是部署系统的机房，其核心是评估机房在物理安全方面的保障能力，涉及物理位置选择、物理访问控制、防盗和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应及电磁防护等10个方面的安全保护能力。

在物理位置选择：要求机房处于具有防震、防风和防雨能力的建筑内，需核查建筑物的抗震设防审批文档，确保机房无雨水渗漏、门窗无因风导致的严重尘土，屋顶、墙体等无破损开裂，这是二级和三级系统都必须满足的要求。对于三级系统，若机房位于建筑物顶层或地下室，必须采取加强型防水和防潮措施，如配备防水挡板、抽湿机等，并核查相关措施的落实情况。

物理访问控制：机房出入口都应配置电子门禁系统，该系统需能控制、鉴别和记录进入人员的信息。

防盗和防破坏：将设备或主要部件固定并设置不易除去的标识，通信线缆铺设在隐蔽安全处（如桥架中）并设置机房防盗报警系统或有专人值守的视频监控系统，并确保其启用。

防雷击措施：机柜、设施和设备等通过接地系统安全接地；采取防感应雷措施，如设置防雷保安器，且防雷装置需通过验收或国家有关部门的技术检测。

防火：设置能自动检测火情、报警和灭火的火灾自动消防系统，机房及相关房间采用耐火等级建筑材料；三级系统还对机房划分区域管理，区域间设置隔离防火措施。

防水和防潮：防止雨水渗透、水蒸气结露及地下积水渗透；需安装水敏感检测仪表或元件进行防水检测和报警。

防静电：需采用防静电地板或地面并接地；并采取防止静电产生的措施，如配备静电消除器、防静电手环等。

温湿度：应设置自动调节设施，保证机房温湿度在设备允许范围内，测评时会核查专用空调的配备及温湿度状况。

电力供应：要在供电线路配置稳压器和过电压防护设备，提供满足设备断电后正常运行的短期备用电力；并设置冗余或并行电力电缆线路供电。

电磁防护：电源线和通信线缆隔离铺设，关键设备实施电磁屏蔽。

（二）安全通信网络

安全通信网络测评对象主要为网络设备、安全设备和网络架构，涉及网络架构、通信传输及可信验证3个方面的安全保护能力。

网络架构：网络设备业务处理能力和各部分带宽满足业务高峰期需求；划分不同网络区域，按方便管理和控制原则分配地址；重要网络区域不部署在边界处，与其他区域采取可靠技术隔离；三级系统还需提供通信线路、关键网络设备和计算设备的硬件冗余。

通信传输：二级和三级系统需采用校验或密码技术保证数据传输完整性；三级系统还需用密码技术保证传输过程中数据的保密性，测评时会核查相关技术的应用及效果。

可信验证：二级和三级系统可基于可信根对通信设备的系统引导程序、系统程序等进行可信验证，在应用程序关键执行环节进行动态验证，检测到可信性受破坏后报警，并将结果形成审计记录送至安全管理中心。

（三）安全区域边界

安全区域边界：主要为网络设备、安全设备和网络边界，涉及边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计及可信验证6个方面的安全保护能力。

边界防护：保证跨越边界的访问和数据流通过边界设备受控接口通信，核查边界是否部署访问控制设备及端口配置；非授权设备私自联入内部网络、内部用户非授权联到外部网络，限制无线网络使用，确保其通过受控边界设备接入内部网络。

访问控制：在网络边界或区域间根据策略设置访问控制规则，默认拒绝未允许的通信；删除多余或无效规则；检查源地址、目的地址等以允许/拒绝数据包进出；根据会话状态信息提供明确访问控制能力；三级系统还需对进出网络的数据流实现基于应用协议和内容的访问控制。

入侵防范：在关键网络节点检测、防止或限制外部发起的网络攻击，规则库或威胁情报库需更新；检测内部发起的攻击，分析网络行为以应对新型攻击，检测到攻击时记录相关信息，严重入侵时报警。

恶意代码和垃圾邮件防范：在关键网络节点检测和清除恶意代码，维护防护机制升级；检测和防护垃圾邮件，保持防护机制更新。

安全审计：在网络边界、重要节点进行审计，覆盖每个用户，记录事件日期、时间等信息，保护审计记录并定期备份；对远程访问用户及互联网访问用户行为单独审计和分析。

可信验证：基于可信根对边界设备的相关程序和参数进行可信验证，动态验证应用程序关键环节，可信性受破坏时报警并将结果送至安全管理中心。

（四）安全计算环境

安全计算环境测评对象主要：网络设备、安全设备、数据库、服务器、操作系统和应用系统及中间件等，涉及身份鉴别、访问控制、安全审计、入侵防范、恶意码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护10个方面的安全保护能力。

身份鉴别：对登录用户进行唯一身份标识和鉴别，鉴别信息有复杂度要求并定期更换，具备登录失败处理功能，远程管理时防止鉴别信息被窃听；采用两种及以上组合的鉴别技术（其中一种用密码技术）。

访问控制：二级和三级系统要为登录用户分配账户和权限，重命名或删除默认账户并修改默认口令，及时删除或停用多余、过期账户，授予管理用户最小权限并实现权限分离；由授权主体配置访问控制策略，控制粒度达到用户级或进程级与文件、数据库表级，对重要主体和客体设置安全标记并控制访问。

安全审计：启用审计功能，覆盖每个用户，记录事件相关信息，保护审计记录并定期备份；三级系统还需保护审计进程防止未授权中断。

入侵防范中：遵循最小安装原则，关闭不需要的服务、共享和高危端口，限制管理终端接入，提供数据有效性检验功能，发现已知漏洞并及时修补；还需能检测对重要节点的入侵行为，严重时报警。

恶意代码防范：采用技术措施或主动免疫可信验证机制识别并阻断入侵和病毒行为。

可信验证：可基于可信根对计算设备的相关程序和参数进行可信验证，动态验证应用程序关键环节，可信性受破坏时报警并将结果送至安全管理中心。

数据完整性：用校验或密码技术保证重要数据在传输和存储过程中的完整性。

数据保密性：采用密码技术保证重要数据在传输和存储过程中的保密性。

数据备份恢复：要提供重要数据的本地备份与恢复功能，二级系统可异地实时备份，三级系统还需提供重要数据处理系统的热冗余。

剩余信息保护：保证鉴别信息在存储空间释放或重新分配前被完全清除；保证敏感数据存储空间在相同情况下被完全清除。

个人信息保护：采集和保存业务必需的用户个人信息，禁止未授权访问和非法使用。

（五）安全管理中心

安全管理中心测评涉及：系统管理、审计管理、安全管理及集中管控4个方面的安全保护能力。

系统管理：对系统管理员进行身份鉴别，只允许其通过特定命令或界面进行系统管理操作并审计，管理员需对系统资源和运行进行配置、控制和管理。

审计管理：对审计管理员进行身份鉴别，允许其通过特定方式进行安全审计操作并审计，审计管理员需分析审计记录并处理。

安全管理：对安全管理员进行身份鉴别，允许其通过特定方式进行安全管理操作并审计，安全管理员需配置系统中的安全策略。

集中管控：划分特定管理区域管控安全设备或组件，建立安全信息传输路径进行管理，集中监测网络链路等的运行状况，收集汇总分析分散的审计数据，集中管理安全策略等事项，识别、报警和分析各类安全事件。

（六）安全管理制度

安全管理制度测评涉及：安全策略、管理制度、制定和发布、评审和修订4个方面的安全保护能力。

安全策略：制定网络安全工作的总体方针和策略，阐明总体目标、范围等。

管理制度：对安全管理活动各类内容建立制度，为管理人员或操作人员的日常管理操作建立操作规程；三级系统还需形成由安全策略、管理制度等构成的全面体系。

制定和发布：指定或授权专门部门或人员负责制度制定，通过正式有效的方式发布制度并进行版本控制。

评审和修订：定期论证和审定制度的合理性和适用性，修订存在不足或需改进的制度。

（七）安全管理机构

安全管理机构测评涉及：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查5个方面的安全保护能力。

岗位设置：成立由单位主管领导担任或授权最高领导的网络安全工作委员会或领导小组；二级和三级系统需设立网络安全管理职能部门，明确安全主管等岗位及职责，设立系统管理员等岗位并定义职责。

人员配备：配备一定数量的系统管理员等，二级和三级系统需配备专职安全管理员且不可兼任。

授权和审批：根据部门和岗位职责明确授权审批事项等，针对系统变更等事项建立审批程序，定期审查审批事项并更新信息。

（八）安全管理人员

安全管理人员测评涉及：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理4个方面的安全保护能力。

人员录用：指定或授权专门部门或人员负责，审查被录用人员的身份等，对其技术技能考核；三级系统还需与被录用人员签署保密协议，与关键岗位人员签署岗位责任协议。

人员离岗：要及时终止离岗人员的访问权限，取回相关物品；并办理严格调离手续，离岗人员承诺保密义务后方可离开。

安全意识教育和培训：对各类人员进行教育和培训，告知安全责任和惩戒措施；二级和三级系统需针对不同岗位制定培训计划，培训安全基础知识等，定期对不同岗位人员进行技能考核。

外部人员访问管理：外部人员物理访问受控区域前书面申请，批准后专人陪同并登记，外部人员接入受控网络访问系统前需书面申请，批准后专人开设账户并登记，外部人员离场后及时清除访问权限；并获得系统访问授权的外部人员签署保密协议。

（九）安全建设管理

安全建设管理测评涉及：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择10个方面的安全保护能力。

定级备案：以书面形式说明保护对象的安全保护等级及确定方法和理由，组织相关部门和专家论证审定定级结果，保证结果经相关部门批准，并将备案材料报主管部门和公安机关备案。

安全方案设计：根据安全保护等级选择基本安全措施，依据风险分析补充调整；根据保护对象等级及与其他级别对象的关系进行整体规划和方案设计，包含密码技术内容，组织相关部门和专家论证审定方案。

产品采购和使用：确保网络安全产品和密码产品及服务的采购使用符合国家规定；需预先对产品选型测试，确定候选范围并定期更新。

自行软件开发：将开发环境与实际运行环境物理分开，控制测试数据和结果，在软件开发过程中测试安全性，安装前检测恶意代码；制定软件开发管理制度和代码编写安全规范，具备相关文档并控制使用，对程序资源库的修改等进行授权批准和版本控制，保证开发人员为专职且活动受控制。

外包软件开发：在软件交付前检测恶意代码，保证开发单位提供软件设计文档和使用指南；保证开发单位提供软件源代码，并审查其中的后门和隐蔽信道。

工程实施：指定或授权专门部门或人员负责工程实施管理，制定安全工程实施方案；三级系统还需通过第三方工程监理控制项目实施过程。

测试验收：制订测试验收方案并实施，形成报告，进行上线前安全性测试（包含密码应用安全性测试）并出具报告。

系统交付：制定交付清单并清点交接物品，对运维技术人员进行技能培训，提供建设过程和运维文档。

等级测评：定期进行等级测评，及时整改不符合项，在发生重大变更或级别变化时进行等级测评，确保测评机构选择符合国家规定。

服务供应商：要确保供应商选择符合国家规定，与其签订协议明确网络安全义务；定期监督、评审和审核供应商服务，控制其服务内容变更。

（十）安全运维管理

安全运维管理测评涉及：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理14个方面的安全保护能力。

环境管理：指定专门部门或人员负责机房安全，管理机房出入，定期维护机房设施，不在重要区域接待来访人员，不随意放置敏感信息载体；三级系统还需建立机房安全管理制度。

资产管理：要编制并保存资产清单，对信息分类与标识方法作出规定并规范管理；三级系统还需根据资产重要程度进行标识管理，选择相应管理措施。

介质管理：要将介质存放在安全环境中，控制和保护各类介质，专人管理存储环境，定期盘点，控制介质物理传输过程，登记介质归档和查询等情况。

设备维护管理：指定专门部门或人员定期维护各种设备和线路，建立配套设施和软硬件维护管理制度；三级系统还需审批信息处理设备带离机房或办公地点（含重要数据的设备带出时需加密），在含有存储介质的设备报废或重用前完全清除或安全覆盖数据。

漏洞风险管理方面：要识别安全漏洞和隐患并及时修补或评估后修补；三级系统还需定期开展安全测评，采取措施应对发现的安全问题。

网络和系统安全管理：划分不同管理员角色进行运维管理，指定专门部门或人员进行账户管理，建立网络和系统安全管理制度，制定重要设备配置和操作手册，详细记录运维操作日志；三级系统还需指定专门部门或人员分析日志等数据，严格控制变更性运维、运维工具使用和远程运维，保证所有与外部的连接均得到授权和批准，定期检查违规联网行为。

恶意代码防范管理：提高用户防恶意代码意识，对外来计算机或存储设备接入前进行恶意代码检查，定期验证防范技术措施的有效性。

配置管理：记录和保存基本配置信息；基本配置信息改变纳入变更范畴，及时更新基本配置信息库。

密码管理：遵循密码相关国家标准和行业标准，使用国家密码管理主管部门认证核准的密码技术和产品。

变更管理：明确变更需求，制定变更方案并经评审、审批后实施；三级系统还需建立变更申报和审批控制程序，建立中止变更和从失败变更中恢复的程序。

备份与恢复管理：识别需要定期备份的信息和系统，规定备份方式等，根据数据重要性和对系统运行的影响制定备份和恢复策略及程序。

安全事件处置：要及时报告发现的安全弱点和可疑事件，制定安全事件报告和处置管理制度，在处置过程中分析原因、收集证据等；三级系统还需对造成系统中断和信息泄露的重大安全事件采用不同处理和报告程序。

应急预案管理：制定重要事件的应急预案，定期对相关人员进行培训和演练；三级系统还需规定统一的应急预案框架，定期重新评估和修订应急预案。

外包运维管理：确保外包运维服务商选择符合国家规定，与其签订协议明确运维范围和工作内容；保证服务商选择符合国家规定，与其签订协议明确运维范围和工作内容；保证服务商在技术和管理方面具有按照等级保护要求开展工作的能力并将能力要求在签订的协议中明确；与外包运维服务商签订的协议中明确所有相关的安全要求，如可能涉及对敏感信息的访问、处理、存储要求，对IT基础设施中断服务的应急保障要求等。

三、等级保护测评服务流程

了解等保测评的内容之后，我们能够为您提供哪些服务呢，时代新威提供一站式服务流程助力您高效顺利地完成等保测评。

定级备案：协助您确定信息系统的等级，准备备案所需的相关材料，并协助完成资料提交，直至您获取备案证明。

建设整改：在本阶段，将先为您开展一次完整的等保测评流程，明确与标准存在的差异，给出相关修改建议，助力您满足等保合规要求。

等保测评：在确保整改完成后，开展二次等保测评流程，并为您出具《网络安全等级保护测评报告》。

监督检查：为您提供监督检查支撑服务，协助您完成监管要求。

四、复测周期

等保三级信息系统为每年开展1次，等保二级信息系统建议每2年开展一次。

客服电话：400 788 5839
官网：www.powertime.cn