等保 2.0 自查清单：上等保测评前应该先做的 8 项准备（陪跑顾问视角）

等保 2.0 测评通常做 1-3 月、整改另算 1-3 月——时间紧又复杂。但在正式找测评机构前，先做好 8 项准备能让整改阶段成本大幅降低。本文以「陪跑顾问」视角整理一份「上正式测评前的自查清单」。注：新亿诚是 CMA + CNAS 软件测评机构，不是公安部认证的等保测评机构，本页提供等保整改咨询 + 软件测试报告作为合规材料。

一、为什么要做自查

等保测评是公安部认证的等级测评机构按 GB/T 22239-2019 控制要求逐条核查——三级系统有 211 项控制点、二级 135 项。如果整改前不做自查，正式测评时发现的问题会非常多，整改 + 复测周期容易拖到 3-6 个月。

自查的目的：

1. 提前识别差距，整改阶段不至于「边测边改」
2. 识别需要外部支持的项（如软件测试报告、安全设备采购等）
3. 合理预算整改 + 测评的时间和费用

二、8 项自查准备

准备 1：完成系统定级

依据 GB/T 22240-2020 自主定级。常见误区：

• 把面向公众的业务系统按二级定级 — 实际三级
• 把跨地市运营的系统按二级定级 — 实际三级
• 把承载大量个人信息的系统按二级定级 — 实际三级

建议组织内部专家评审 + 必要时向公安网安部门咨询。

准备 2：完成公安备案

携带定级报告 + 专家评审意见到属地公安网安部门完成等级备案。流程时间 5-10 工作日。备案号是后续所有等保流程的必要凭据。

准备 3：技术控制差距分析

对照 GB/T 22239-2019 技术控制要求逐项自查：

1. 安全物理环境（机房 / 电源 / 防火 / 防盗）
2. 安全通信网络（边界防护 / VPN / 加密）
3. 安全区域边界（防火墙 / 入侵检测 / 流量分析）
4. 安全计算环境（操作系统加固 / 数据库安全 / 主机防护）
5. 安全管理中心（运维管理平台 / 日志审计 / SOC）

每一项给出「已具备 / 部分具备 / 未具备」三档判定。

准备 4：管理体系差距分析

管理类要求包括：

1. 安全方针与策略文档
2. 安全责任制（CISO / 安全主管 / 各部门责任人）
3. 安全风险评估与处置流程
4. 事件响应与应急预案
5. 安全教育培训记录
6. 第三方与外包安全管理

管理类整改通常比技术类便宜，但耗时间——文档撰写 + 制度落地 + 培训需要 2-6 周。

准备 5：软件层面的安全测试

这是甲方最容易忽略、但等保测评必查的项。如果系统包含自研软件，等保测评机构会要求你提供：

1. 软件功能性测试报告
2. 软件安全测试报告（OWASP / 渗透 / 代码审计）
3. 软件性能压力测试报告
4. 软件兼容性测试报告（涉及多终端时）

这些报告应在等保测评启动前由CMA + CNAS 第三方测评机构出具——我们可以协助这部分工作。报告作为等保整改的「软件层面」合规证据。

准备 6：第三方组件审查

等保 2.0 对第三方组件审查比 1.0 更严：

1. 开源软件许可证合规（避免使用 GPL 类有传染性许可证）
2. 第三方 SDK 的个人信息流向审查
3. 第三方组件已知漏洞（CVE 库扫描）
4. 第三方组件供应商可持续性（供应商是否可能停服）

准备 7：数据安全与个人信息保护

等保 2.0 强化了数据安全要求：

1. 数据分级分类管理
2. 数据加密策略（传输 / 存储）
3. 个人信息处理合规（《个人信息保护法》）
4. 数据出境合规（涉及跨境业务时）
5. 敏感数据脱敏 / 隔离

准备 8：应急与连续性

1. 应急预案文档 + 关键人员清单
2. 近 1 年内至少 1 次应急演练记录
3. 数据备份策略 + 备份验证记录
4. 业务连续性 / 灾难恢复策略

三、自查报告结构

自查完成后建议形成一份「等保自查报告」，结构：

• 1. 系统基本情况
• 2. 定级 + 备案情况
• 3. 技术控制差距分析（按 5 层逐项给出「已具备 / 部分 / 未具备」）
• 4. 管理体系差距分析
• 5. 第三方组件审查结论
• 6. 软件测试报告引用（如已具备）
• 7. 整改清单（按优先级排序）
• 8. 整改时间表 + 预算估算

这份自查报告会成为后续整改的工作底稿 + 与等保测评机构沟通的桥梁。

四、整改阶段的常见问题

问题 1：整改预算超支

常见原因：未做自查直接上测评，测评机构发现大量问题后才整改，导致设备采购、外包服务费用大增。自查可降低 30-50% 整改预算。

问题 2：复测周期拉长

测评机构出报告后再整改，整改完再复测，复测又发现新问题——这种循环可能持续 2-3 轮。提前自查能压缩到 1-2 轮。

问题 3：软件层面的缺陷整改难

等保测评发现的软件漏洞，开发团队修复需要时间。建议在等保测评前 1-2 个月就完成软件安全测试，提前修复。

五、新亿诚在等保中的角色

新亿诚作为 CMA + CNAS 软件测评机构，不出具等保测评报告（那需要公安部认证），但提供以下配套服务：

1. 等保整改前自查咨询——按本文 8 项清单协助梳理
2. 软件测试报告——作为等保整改的「软件层面」合规材料（功能 / 性能 / 安全 / 兼容性等维度）
3. 第三方组件审查——SDK、开源组件合规审查
4. 个人信息保护合规检测——配合等保数据安全要求

正式的等保测评请联系公安部认证的等级测评机构（可在 djbh.net 查询全国约 200 家持证机构）。本文涉及的软件层面合规服务，欢迎联系顾问。