等保 2.0 三级 vs 二级最核心的区别在于「监管强度」与「测评频率」——三级要求每年测评一次,二级要求每两年测评一次、技术控制项数量少近一半;两级测评均须由公安部认可的等保测评机构(资质 II 级及以上)执行。依据 GB/T 22239-2019《网络安全等级保护基本要求》,定级原则是「业务信息安全性 + 系统服务安全性」对国家安全、社会秩序、公共利益、公民权益造成的损害程度。本文给出三级 vs 二级的完整对照与定级决策路径。
等保 2.0 是什么?
等保 2.0 全称「网络安全等级保护制度 2.0」,是中国网络安全监管的基础性框架。核心标准是 GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》,于 2019 年 12 月 1 日正式实施,取代旧版 GB/T 22239-2008。
等保 2.0 将信息系统按重要性分为 5 个级别:
- 一级(自主保护级):损害公民、法人合法权益,不损害国家安全、社会秩序、公共利益
- 二级(指导保护级):损害公民、法人合法权益,或影响社会秩序、公共利益
- 三级(监督保护级):严重损害公民权益,或影响国家安全、社会秩序、公共利益
- 四级(强制保护级):特别严重损害社会秩序与公共利益,或对国家安全造成严重损害
- 五级(专控保护级):对国家安全造成特别严重损害
实际市场上,95% 的等保需求集中在二级和三级,本文重点对照这两级。
等保三级 vs 二级核心区别一览
| 对比维度 | 等保二级 | 等保三级 |
|---|---|---|
| 定级原则 | 受损害对象为公民权益或社会秩序 | 损害涉及国家安全或严重影响社会秩序 |
| 测评频率 | 每 2 年 1 次 | 每 1 年 1 次 |
| 测评项数(基本要求) | 135 项 | 211 项 |
| 安全控制点 | 4 大类 23 项 | 4 大类 33 项 |
| 测评机构资质 | 公安部认可的测评机构(资质 II 级及以上) | 公安部认可的测评机构(资质 II 级及以上) |
| 整改投入(估算) | 1–3 万元(视基础) | 3–10 万元(视基础) |
| 测评费用(估算) | 1–3 万元/次 | 3–6 万元/次 |
| 报告备案要求 | 公安网安部门备案 | 公安网安部门备案 + 网信办抄送 |
| 处罚强度 | 最高 100 万元 | 最高 100 万元 + 业务暂停 |
什么情况一定要做等保三级?
以下场景按法规属于「应当」定为三级及以上:
- 政务云、政务系统——涉及党政机关、行政事业单位
- 关键信息基础设施——能源、金融、交通、水利、医疗、教育、社保等行业核心系统
- 面向公众的大型互联网平台——日活百万级以上,涉及个人信息
- 金融业务系统——银行、证券、保险、第三方支付
- 电信运营商核心网
- 大数据交易、个人征信
- 跨境数据传输平台
- 采集 100 万人以上个人信息的系统(按《数据安全法》《个人信息保护法》要求)
什么情况做等保二级就够了?
- 中小企业内部办公系统(ERP、OA、CRM)
- 面向特定行业的 SaaS 应用(用户量 < 50 万)
- 区县级政务非核心系统
- 校园网、医院 HIS 系统(视具体业务定,部分需三级)
- 商业互联网应用,未涉及大量个人信息
等保 2.0 完整 6 步流程
不论二级还是三级,等保流程统一为以下 6 步:
- 01 · 定级:组织内部评审编制《定级报告》,邀请 3–5 名信息安全专家评审确定系统等级(依据 GB/T 22240-2020)
- 02 · 备案:携定级报告、专家评审意见到属地公安网安部门完成备案,获取《等级保护备案证明》
- 03 · 差距分析:依据 GB/T 22239-2019、GB/T 28448-2019 对系统现状做差距分析,结合漏洞扫描、渗透测试形成《差距分析报告》
- 04 · 安全建设整改:依据差距分析结论补齐缺失项;整改建议由系统集成商承担,符合「整改机构 ≠ 测评机构」要求
- 05 · 等级测评:由具备公安部认可资质(资质 II 级及以上)的第三方测评机构现场测评,出具盖章的《网络安全等级保护测评报告》
- 06 · 监督检查:报告 30 个工作日内须报属地公安网安部门备案;后续配合网监日常监督检查与年度复评
二级 vs 三级硬件配置差异(概要)
三级系统在二级基础上额外要求以下专项设备 / 措施:
- 边界:准入控制系统、上网行为管理、防垃圾邮件、WAF(涉互联网必需)、关键链路冗余部署
- 计算:堡垒机、数据库审计、准入控制设备、上网行为管理
- 通信:SSL / VPN 数据传输保密性
- 管理中心:集中安全管理系统、态势感知平台、综合管控
- 物理:漏水检测、区域隔离(彩钢板或防火门)、电磁屏蔽柜
完整二/三级 5 维度硬件对比表参见 等保 2.0 完整科普页。
常见误区
等保过了就完全安全了吗?
不是。等保是合规底线,不是安全终点。通过等保测评仅说明在评估周期内符合 GB/T 22239-2019 的基本要求;持续安全运维、应急响应、威胁情报订阅同样关键。
云上系统怎么过等保?
采用 「云平台 + 应用系统」分层定级、合并测评 模式。阿里云、腾讯云、华为云等主流公有云已通过等保三级,应用系统只需测评应用层 + 数据层。详见 等保 2.0 测评服务。
不做等保会怎样?
《网络安全法》第 21 条明确规定网络运营者应当履行等级保护义务。未按要求落实等保的,可被责令改正、处 1–10 万元罚款,情节严重的可处 10–100 万元罚款并暂停业务。等保是法律义务,不是选择题。
选机构注意什么?
- 必须是公安部第三研究所认可的等保测评机构(可在 www.djbh.net 查询)
- 三级测评必须由具备「测评机构资质 II 级以上」的单位执行
- 避免「保证通过」承诺——合规测评机构不能保证通过率,只能客观评估
- 报告内容应符合 GB/T 28448-2019《网络安全等级保护测评要求》格式
新亿诚为您提供 等保 2.0 全流程顾问服务,从定级辅导、差距评估、整改建议到测评落地,一站式服务。
