等保 2.0(信息安全等级保护 2.0)是国内信息系统安全合规的核心制度,依据 GB/T 22239-2019 国家标准,主管机关为公安部网络安全保卫局。完整流程包括 5 个环节:系统定级 → 公安部备案 → 安全建设整改 → 等级测评 → 监督检查。三级及以上系统每年至少做 1 次等级测评,测评指标多达 211 项(三级)或 135 项(二级)。本文系统讲解定级到测评的全流程要点,附企业实操资料清单与 6 大整改重点。
等保 2.0 标准体系:8 项核心国家标准
等保 2.0 由以下 8 项核心国家标准组成完整体系(覆盖从定级到测评全流程):
- GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》— 核心安全要求
- GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》— 定级方法论
- GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》— 测评条款细则
- GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》— 作业流程
- GB/T 25058-2019《信息安全技术 网络安全等级保护实施指南》— 实施路径
- GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》— 技术设计
- GB/T 36627-2018《信息安全技术 网络安全等级保护测试评估技术指南》— 评估技术
- GB/T 32919-2016《信息安全技术 工业控制系统安全控制应用指南》— 工控专项
一、什么是等保 2.0?
全称:信息安全等级保护 2.0
核心标准:GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》
主管机关:公安部网络安全保卫局 + 各级网安部门
实施依据:《网络安全法》《数据安全法》《个人信息保护法》
等保 2.0 是「等保 1.0」(GB/T 22239-2008)的升级版,2019 年正式发布,2020 年 1 月强制实施。2.0 的核心变化:
- 对象从传统信息系统扩展到云计算、大数据、物联网、移动互联、工业控制
- 从「以系统为中心」转向「一个中心、三重防护」(管理中心 + 安全通信网络 + 安全区域边界 + 安全计算环境)
- 强化主动防御理念
- 测评指标更细致、更可量化
二、5 个等保级别的判定
| 等级 | 损害对象 | 典型系统 |
|---|---|---|
| 一级 | 对公民、法人和其他组织的合法权益造成损害 | 普通官网、内部 OA |
| 二级 | 对公民、法人和其他组织合法权益造成严重损害,或对社会秩序、公共利益造成损害 | 市级政务系统、企业核心业务系统 |
| 三级 | 对社会秩序、公共利益造成严重损害,或对国家安全造成损害 | 省级及以上政务系统、银行核心系统、三甲医院 HIS |
| 四级 | 对社会秩序、公共利益造成特别严重损害,或对国家安全造成严重损害 | 国家重要基础设施、核电、电网 |
| 五级 | 对国家安全造成特别严重损害 | 极少见,国家级核心机密系统 |
实际工作中,二级和三级是最常见的。
三、五步流程详解
第 1 步:系统定级
由系统运营单位(甲方)自主定级,并请专家评审。
关键产出:
- 定级报告(说明定级理由)
- 专家评审意见(5 名以上信息安全专家)
- 主管部门审批意见(如有上级主管)
常见错误:定级偏低,遇审计时被强制提级,导致已建设备需要返工。
第 2 步:公安机关备案
定级完成后,到属地公安网安部门办理备案。
关键产出:
- 《信息系统安全等级保护备案表》
- 系统拓扑图、资产清单
- 定级报告 + 专家评审意见
办理时长:受理后通常 10 个工作日内完成审核。
第 3 步:建设整改
对照 GB/T 22239-2019 中对应等级的要求,对照「10 大安全控制项」开展安全建设:
- 安全物理环境
- 安全通信网络
- 安全区域边界
- 安全计算环境
- 安全管理中心
- 安全管理制度
- 安全管理机构
- 安全管理人员
- 安全建设管理
- 安全运维管理
每个控制项下又有详细的「测评项」,三级共 211 个测评项,二级 135 个。
第 4 步:等级测评
由公安部网络安全等级保护测评机构推荐目录内的测评机构开展。
主要内容:
- 访谈:与系统运维 / 安全人员沟通
- 查看:核查制度、文档、配置
- 测试:技术手段验证(漏洞扫描、渗透测试)
- 分析:对照 211 / 135 项要求逐条评估
关键产出:
- 《等级测评报告》
- 测评结论(符合 / 基本符合 / 不符合)
- 整改建议清单
典型周期:测评 7-15 天 + 报告撰写 5-7 天,总 15-30 天。
第 5 步:监督检查
各级网安部门会定期开展飞行检查、专项检查,重点核查整改落实情况、变更管理记录、安全事件应急响应能力。
第 6 步:持续运维(年度复测)
三级及以上系统每年至少做 1 次等级测评,二级每 2 年 1 次。系统重大变更(架构改造、迁移上云、新增模块)后需要重新评估、变更备案,必要时重新测评。
四、企业准备清单
A 类:技术资料
- 系统拓扑图(含网络架构、安全设备)
- 资产清单(服务器、存储、网络、安全设备)
- 软件清单(操作系统、中间件、数据库、应用)
- 数据流图(敏感数据如何流转)
- 接口清单(与外部系统的对接)
B 类:管理制度
- 信息安全总体方针、策略
- 人员安全管理制度(入职/离职/考核)
- 访问控制制度(账号 / 权限 / 密码策略)
- 变更管理、应急响应、备份恢复制度
- 第三方接入、外包人员管理制度
C 类:日志与记录
- 系统操作日志(保留 ≥ 6 个月)
- 安全设备告警日志
- 应急演练记录
- 变更审批记录、漏洞修复记录
D 类:人员安全
- 安全管理岗位职责
- 关键岗位人员审查记录
- 安全培训记录
- 保密协议(NDA)签订情况
五、最常见的 6 个整改重点
① 边界防护不足
外网边界没有 IPS / WAF / 流量审计设备;缺乏访问控制策略。
② 主机加固不到位
未关闭非必要端口;默认账号未修改;未安装防病毒;未启用日志审计。
③ 应用层漏洞
SQL 注入、XSS、CSRF、弱密码、敏感信息泄露。建议同步做 OWASP TOP10 扫描。
④ 数据加密缺失
敏感数据存储未加密、传输未加密(仅 HTTP 而非 HTTPS)、密钥管理不规范。
⑤ 备份与恢复
无完整备份策略、备份未异地、未做恢复演练。
⑥ 安全管理制度缺失
有些单位「重技术、轻管理」,制度文件不全,导致测评扣分。
六、等保 2.0 与软件测试报告的关系
| 对比项 | 软件测试报告(GB/T 25000.51-2016) | 等保测评报告(GB/T 22239-2019) |
|---|---|---|
| 侧重 | 软件本身的功能/性能/安全 | 系统整体的安全合规 |
| 对象 | 软件产品 | 信息系统(含网络、主机、应用、数据) |
| 主管 | 市场监管、行业主管 | 公安部 |
| 测评机构 | 具备相应能力的测评机构 | 必须在公安部推荐目录内 |
| 使用场景 | 项目验收、招投标、产品发布 | 信息系统合规、上线必备 |
结论:这是两份不同的报告。涉及关键信息系统的项目通常都需要。
七、企业实操建议
- 提前规划:等保 2.0 测评涉及定级 + 备案 + 整改 + 测评,全流程通常需要 3-6 个月,预留充足时间
- 同步开展软件测试:在系统上线前同时做 GB/T 25000.51-2016 软件测试,提前发现应用层问题
- 选择合规机构:等保测评必须由公安部推荐目录内的机构出具,软件测试可由更灵活的第三方
- 建立持续合规机制:三级及以上每年复测,不要等到下一年再临时抱佛脚
八、总结
等保 2.0 不是一次性的「过关考试」,而是一套持续的信息安全管理机制。理解了 定级 → 备案 → 整改 → 测评 → 监督 五个环节,企业就能有条不紊地完成合规建设。
如果你的项目同时涉及软件测试报告和等保测评,欢迎联系新亿诚 400-9876-512(咨询热线)或李经理直拨 19928841680,我们与多家具备等保测评资质的机构合作,可以为你提供一站式的合规对接。
新亿诚专注于软件测评的第三方技术服务,与具备公安部等保测评资质的合作机构联合服务,覆盖软件测试 + 等保合规一站式需求。
具体的软件测试报告用途与报价咨询可直接联系顾问,1 小时内回电沟通。新亿诚作为持有 CMA + CNAS + ilac-MRA 国际互认协议的第三方软件测评机构,可为您提供本文场景下的检测服务。
