三级等保是中国网络安全等级保护制度(等保 2.0)中的重要等级,适用于政务系统、金融业务系统、电子商务平台、医疗信息系统、教育云平台等承载较多敏感信息或社会公众服务的应用系统。许多企业在收到 "需通过三级等保" 的合规要求后,常常面临的困惑是:整改要做哪些事?测评由谁来做?多长时间?预算多少?本文从科普视角系统梳理三级等保从差距分析到通过的完整路径,帮助读者建立清晰认知。
一、三级等保的标准体系
三级等保的合规判定不是单一文件,而是由 8 项核心国家标准共同构成的标准矩阵:
| 标准编号 | 标准名称 | 作用 |
|---|---|---|
| GB/T 22239-2019 | 信息安全技术 网络安全等级保护基本要求 | 核心要求条款 |
| GB/T 22240-2020 | 信息安全技术 网络安全等级保护定级指南 | 系统定级方法 |
| GB/T 28448-2019 | 信息安全技术 网络安全等级保护测评要求 | 测评具体方法 |
| GB/T 28449-2018 | 信息安全技术 网络安全等级保护测评过程指南 | 测评流程规范 |
| GB/T 25058-2019 | 信息安全技术 网络安全等级保护实施指南 | 建设实施指南 |
| GB/T 25070-2019 | 信息安全技术 网络安全等级保护安全设计技术要求 | 架构设计指南 |
| GB/T 36627-2018 | 信息安全技术 网络安全等级保护测试评估技术指南 | 测试技术细则 |
| GB/T 32919-2016 | 信息安全技术 工业控制系统安全控制应用指南 | 工控场景补充 |
其中 GB/T 22239-2019(基本要求)是企业整改的核心依据,GB/T 28448-2019(测评要求)是测评机构出具报告的依据。两者需对照使用。
二、等保 2.0 标准 6 步流程
等保 2.0 体系定义了完整的 6 步合规流程,任何一级等保系统都需依次完成:
- 定级备案——确定系统等级(一级至五级),向所在地公安机关网安部门提交备案表
- 差距分析——对照标准要求做现状盘点,识别整改差距
- 系统建设 / 整改——按差距清单完成技术与管理双线整改
- 等级测评——由具有相应资质的第三方测评机构出具测评报告
- 监督检查——公安机关网安部门做监督抽查
- 持续运维——保持合规状态,系统重大变更时重新触发流程
需注意:许多企业误以为整改完成后 "做一次测评就完事",实际上等保是持续合规体系。系统重大升级、网络架构调整、新增业务模块,都可能触发重新定级与测评。
三、三级等保 5 大类整改对象
GB/T 22239-2019 将三级等保的技术要求分为 5 大类,这也是企业整改的核心抓手。每类下又包含若干具体控制项,以下为典型整改对象矩阵:
| 整改大类 | 典型整改项 | 常见落地手段 |
|---|---|---|
| 安全物理环境 | 机房选址(避开易灾区)、防火、防水、防盗、电力供应(双路市电 + UPS)、电磁防护 | 专业机房托管、UPS 与备用电源、防雷接地、门禁与视频监控 |
| 安全通信网络 | 网络架构合理(冗余、分区)、通信传输加密、可信验证(关键节点完整性校验) | VPN、TLS、IPSec、可信计算芯片、网络拓扑分区 |
| 安全区域边界 | 边界防护(防非授权接入)、访问控制(精细化策略)、入侵防范(IDS / IPS)、恶意代码防范、安全审计 | 下一代防火墙、IPS、上网行为管理、网闸、堡垒机 |
| 安全计算环境 | 身份鉴别(双因素)、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性 / 保密性 / 备份恢复、个人信息保护 | 多因素认证、HIDS、终端杀毒、加密存储、备份系统、操作审计 |
| 安全管理中心 | 系统管理、审计管理、安全管理、集中管控 | SOC / SIEM 平台、日志集中分析、统一运维管理 |
除上述 5 大类技术要求外,GB/T 22239-2019 还规定了管理要求(安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理),技术与管理双线达标,整改才算完整。
四、整改 → 测评的真实时间预算
基于公开行业经验,三级等保从启动到通过的真实时间分布如下:
| 阶段 | 典型周期 | 关键产出 |
|---|---|---|
| 系统差距分析 | 1-2 周 | 差距清单、整改优先级 |
| 整改实施 | 1-3 个月 | 设备采购上线、制度落地、人员培训 |
| 等级测评 | 2-3 周 | 现场测评、漏洞验证 |
| 整改回归 + 报告 | 1-2 周 | 测评报告、整改建议 |
总周期一般为 3-6 个月。实际周期受三个因素影响最大:
- 差距大小——已有较好基础的系统可在 3 个月内完成,从零起步则需 6 个月以上
- 采购周期——硬件设备(防火墙、堡垒机、日志审计)采购与上线需要预留时间
- 整改资源——是否有充足的内部 IT 团队配合实施
五、预算参考
三级等保的费用分为测评费与整改投入两部分,需分别预估:
| 费用项 | 参考范围 | 说明 |
|---|---|---|
| 等级测评费 | 8-20 万元 | 由系统规模、节点数、复杂度决定;一线城市 / 复杂系统更高 |
| 差距分析咨询 | 3-8 万元 | 视系统规模与咨询深度而定 |
| 整改设备 / 服务投入 | 视差距而定,常见 20-100 万 | 含防火墙、堡垒机、日志审计、终端安全等 |
| 年度运维投入 | 视方案而定 | 设备运维、人员培训、应急演练 |
提醒:测评费用的差异往往来自于测评机构的资质等级与经验,而非品牌溢价。低于市场价格区间的报价需警惕——可能压缩现场测评天数,影响报告含金量。
六、整改与测评:角色分工
三级等保流程中,核心角色分工如下:
- 被测方(企业)——负责系统建设 / 整改,提供测评所需的环境、文档、配合人员
- 第三方测评机构——负责出具等级测评报告,必须由具有相应资质的第三方机构承担
- 顾问 / 陪跑机构——可在整改前提供差距分析、整改方案咨询、测评对接陪跑等服务,但不出具测评报告本身
- 公安机关网安部门——负责定级备案、监督检查
新亿诚定位为科普性渠道顾问与整改陪跑机构,在三级等保流程中可提供 GAP 分析、整改方案规划、测评机构对接等前端服务,帮助企业在真正进入测评前完成充分准备,从而提高一次通过率、降低整改回归成本。
七、等保测评机构资质查询渠道
企业选择测评机构时,应优先核实其资质。公开的权威查询入口为:
https://www.djbh.net/agency?q=agencyIn&tab=2(等级保护测评机构推荐目录)
该入口由全国信息安全等级保护测评机构推荐目录管理办公室维护,可查询全国具备相应资质的测评机构清单。建议企业在选择测评机构时:
- 核实机构是否在上述目录内
- 核实机构资质的有效期
- 核实机构在本地是否有交付能力(部分机构总部在外地,本地分公司能力参差)
- 了解机构在所在行业的项目经验
八、整改实操建议
结合行业经验,以下整改实操建议可显著降低时间与预算成本:
- 先做差距分析——不要盲目采购设备。先用 1-2 周完成系统化盘点,明确哪些是 "必须做"、哪些是 "建议做"、哪些是 "可暂缓"
- 技术与管理同步——许多企业偏重技术整改,忽视管理制度建设。测评中管理要求权重不低,制度文档缺失会直接影响通过
- 提前测评预演——在正式测评前进行内部预演,提前发现问题
- 预留回归时间——测评中发现的问题需要时间整改回归,不要把测评安排在合规截止日前最后一周
- 保留全部证据——配置截图、日志、流程记录、培训签到等都是测评证据,缺失证据等同于该控制项未落实
结语
三级等保不是一道 "考完即过" 的考试,而是企业网络安全建设的体系化基线。从差距分析到测评通过的 3-6 个月路径,本质上是一次企业安全能力的系统化升级。对于初次接触等保的企业,合理的做法是:先理解标准体系、再做差距盘点、再分阶段整改、最后对接具有相应资质的测评机构完成测评。新亿诚作为科普性渠道顾问,愿在整改前的 GAP 分析、方案规划、测评对接陪跑等环节,与企业一同走完这条路径,把合规压力转化为可落地的安全资产。
具体的软件测试报告用途与报价咨询可直接联系顾问,1 小时内回电沟通。新亿诚作为持有 CMA + CNAS + ilac-MRA 国际互认协议的第三方软件测评机构,可为您提供本文场景下的检测服务。
