网络安全等级保护测评（以下简称“等保测评”）是企业落实网络安全合规要求、提升整体安全防护能力的核心环节。对于初次开展等保测评的主体而言，清晰掌握启动流程、提前备齐相关材料，是确保测评工作高效推进、避免流程卡顿的关键。本文将从“流程拆解”和“材料准备”两大核心维度，结合初次启动的实际场景，提供全面、可落地的操作指南。

初次开展等保测评需遵循“先定级、再备案、后测评”的核心逻辑，整个启动流程可拆解为6个关键环节，每个环节都有明确的操作目标和前置要求，环环相扣、缺一不可。

这是等保测评启动的基础前提，核心是明确“测什么”和“按什么等级测”。

操作要点：1.全面梳理企业内部网络系统，明确测评对象的边界，包括系统涵盖的网络设备、服务器、终端、应用程序、数据资源及相关业务场景（如办公系统、业务核心系统、客户管理系统等）；2.依据《网络安全等级保护定级指南》（GB/T 22240-2020），结合系统的重要程度（是否支撑核心业务）、数据敏感级别（是否涉及个人信息、商业秘密、国家秘密）、影响范围（故障或泄露后影响的用户规模、社会影响），研判系统的安全等级（常见为二级或三级，特殊关键系统可定为四级）。

注意事项：多个功能关联、数据互通的系统可整合为一个“定级对象”；若系统包含多个独立子系统，需分别研判等级。

核心目标是将定级研判结果形成正式文档，完成内部流程确认，为后续备案提供依据。

操作要点：1.编制《网络安全等级保护定级报告》，明确定级对象的基本信息、定级依据、等级确定过程及结论；2.组织企业内部技术、法务、业务等相关部门审核定级报告，确保定级逻辑合理、覆盖全面；3.完成内部审批流程，由企业负责人签字确认，形成正式的定级报告文本。

这是法定合规要求，二级系统向地市级公安机关网络安全保卫部门备案，三级系统向省级公安机关网络安全保卫部门备案（部分地区已实现线上备案）。

操作要点：1.准备备案所需材料（详见下文“备案类材料”），提交至对应层级的公安机关网安部门；2.配合公安机关对定级报告的审核，若存在定级不合理的情况，按要求调整后重新提交；3.审核通过后，领取《网络安全等级保护备案证明》，备案手续完成。

注意事项：备案需在系统投入运行前完成，未备案即开展业务可能面临合规风险；部分地区支持线上备案平台提交材料，可提前咨询当地网安部门了解具体要求。

核心是为后续测评机构入场做准备，减少现场测评的问题反馈，提升测评效率。

操作要点：1.依据《网络安全等级保护基本要求》（GB/T 22239-2019），对照对应等级的技术要求（物理环境、网络、主机、应用、数据安全）和管理要求（机构、制度、人员、建设、运维），开展内部自查，提前整改明显的安全隐患（如弱口令、未开启审计日志、缺少应急预案等）；2.按要求整理并归档测评所需的各类材料（详见下文“材料准备清单”）；3.确定企业内部的测评对接人，明确对接职责（如配合现场核查、提供材料补充、协调技术人员答疑等）。

等保测评需由具备“网络安全等级保护测评机构资质”的第三方机构开展，选型质量直接影响测评的专业性和效率。

操作要点：1.筛选具备合法资质的测评机构（可通过公安部网络安全保卫局官网查询公示名单），优先选择服务经验丰富、口碑良好、熟悉本行业业务场景的机构；2.与测评机构沟通测评范围、周期、费用、交付成果（测评报告）等核心事项，签订正式的测评委托合同；3.向测评机构提供前期准备的基础材料，协助机构制定针对性的测评方案。

这是测评启动的核心执行环节，核心是配合测评机构完成技术检测和管理核查。

操作要点：1.安排对接人全程配合测评机构入场，协助技术人员开展设备检测（如网络设备配置核查、服务器漏洞扫描）、数据安全核查（如加密措施验证）等工作；2.及时补充测评过程中机构要求的额外材料，解答关于系统架构、管理制度、运维流程等方面的疑问；3.记录测评机构现场反馈的问题，形成初步的问题清单，为后续整改做准备。

初次启动等保测评需准备的材料涵盖“备案类、系统基础类、安全技术类、安全管理类”四大类别，不同等级的系统材料要求基本一致，三级系统对部分材料的完整性要求更高。以下为详细清单及准备要点：

（一）备案类材料：用于完成监管备案，核心是证明定级合规

1.《网络安全等级保护定级报告》（正式版，需企业负责人签字、加盖企业公章）；

2.定级对象的基本信息表（包括系统名称、业务范围、建设单位、运维单位、投入运行时间、网络拓扑图简要说明等）；

3.企业营业执照或组织机构代码证复印件（加盖公章）；

4.系统负责人、安全管理员的身份证明及联系方式；

5.若系统涉及第三方运维，需提供运维服务合同复印件（加盖公章）。

（二）系统基础类材料：用于测评机构了解系统核心信息，明确测评边界

6.系统网络拓扑图（清晰标注设备名称、型号、IP地址段、网络分区、安全设备部署位置等，建议为Visio或PDF格式的正式图纸）；

7.系统架构图（包括应用架构、数据架构、部署架构，明确各组件的功能及交互关系）；

8.设备清单（含网络设备、服务器、安全设备、终端等，详细记录设备名称、型号、版本、数量、部署位置、责任人）；

9.软件清单（含操作系统、数据库、中间件、应用程序等，记录软件名称、版本、授权信息、安装位置）；

10.业务流程说明（简要描述系统支撑的核心业务流程、数据流转路径、用户群体及访问逻辑）。

（三）安全技术类材料：用于证明系统技术层面的安全防护措施已落实

11.网络安全相关材料：防火墙、入侵防御系统（IPS）、VPN、WAF等安全设备的配置截图、策略清单（如访问控制策略、攻击防护策略）、设备日志（近3个月内的审计日志、告警日志）；

12.主机安全相关材料：服务器操作系统的安全配置文档（如账户权限配置、密码策略、安全补丁安装记录）、杀毒软件/终端安全管理系统的部署及扫描记录；

13.应用安全相关材料：应用程序的安全开发文档（如安全需求分析、代码审计报告）、Web应用安全扫描报告（若有）、身份认证机制说明（如账号密码验证、多因素认证的实现方式）；

14.数据安全相关材料：数据分类分级文档、数据加密方案（含加密算法选型、密钥管理流程）、数据备份与恢复方案及测试记录（近3个月内的备份记录、恢复测试报告）；

15.漏洞管理相关材料：近期（建议3个月内）的系统漏洞扫描报告、渗透测试报告（若有）、漏洞整改记录（含整改措施、整改前后对比）。

（四）安全管理类材料：用于证明企业已建立完善的安全管理体系

16.安全管理机构与人员材料：安全管理组织机构图、安全岗位设置文件、安全管理人员的岗位职责说明、人员聘用合同及保密协议；

17.安全管理制度材料：涵盖综合安全管理、网络安全管理、主机安全管理、应用安全管理、数据安全管理、应急管理等方面的制度文件（需正式发布、加盖公章）；

18.人员安全培训材料：近1年内的安全培训计划、培训课件、培训签到表、考核记录；

19.应急管理材料：网络安全应急预案（含应急组织架构、应急响应流程、处置措施）、应急演练计划及演练记录（近1年内的演练报告、现场照片/视频）；

20.系统建设与运维管理材料：系统建设立项文档、安全需求评审记录、验收报告、运维服务合同（若涉及第三方）、运维日志（近3个月内的设备维护记录、故障处理记录）。

21.材料真实性与完整性：所有提交的材料需真实有效，加盖公章的文件需确保公章清晰、审批流程完整；缺失的材料需提前补充，避免因材料不全导致测评卡顿；

22.提前自查整改：初次测评易出现弱口令、日志不全、制度缺失等基础问题，建议在测评机构入场前开展全面自查，优先整改简单易fix的问题，提升测评通过率；

23.明确对接机制：提前确定1-2名固定对接人，协调技术、管理等相关部门配合测评，避免出现“无人对接、信息传递滞后”的问题；

24.关注时间节点：备案流程需提前规划，避免因备案延误影响系统上线或业务开展；测评周期通常为1-2周（视系统规模而定），需提前与测评机构协调时间，避免与业务高峰期冲突。

初次启动等保测评的核心是“流程合规、材料齐全”。先通过“定级-备案-自查-委托-测评”的流程稳步推进，再按“备案类、系统基础类、安全技术类、安全管理类”四大类别备齐材料，同时注意材料的真实性和提前自查整改，就能有效降低测评风险、提升效率。等保测评并非“一次性任务”，而是持续提升网络安全能力的契机，初次启动时打好基础，能为后续的等级测评（如三级系统每年一次测评）和安全能力优化奠定良好基础。