从零开始做等保:全流程步骤与必备材料完整指南-等保热点-等级保护测评机构定级备案测评一站式平台-国源天顺官网
2026-07-10 17:39:32

从零开始做等保:全流程步骤与必备材料完整指南

分享到:

如果你正打算启动等保测评,却不清楚第一步该做什么、要准备哪些材料、要走哪些官方流程,这篇指南可以帮你一次性理清全部环节。

很多初次接触等保的企业会误以为"等保就是直接找测评机构做检测",实际并非如此:等级测评只是等保全流程的最终验证环节,前面的定级确认、官方备案、对标整改每一步都有法定要求,顺序错了、材料缺了都会导致备案驳回、测评不通过,白白浪费时间与成本。

本文严格依据《中华人民共和国网络安全法》、GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》、GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、公网安〔2025〕1846号《关于对网络安全等级保护有关工作事项进一步说明的函》、2025版官方测评模板等标准编写,适用于企业最常见的二级、三级等保场景。

等保全流程遵循官方法定顺序:定级→专家评审→备案→建设整改→等级测评→常态化运维,不可颠倒顺序。整体周期参考:二级系统 3-4 个月,三级系统 4-6 个月,视系统整改难度浮动。


第一阶段:定级阶段(启动等保的第一步)

定级是等保的起点,核心是确定系统的保护等级,由企业自主定级,公安最终审核确认,等级一旦确定,所有建设、测评标准均对应等级执行。

1. 明确定级对象
不能以"整个企业"为单位定级,需以独立运行、单独承载业务的信息系统为单个定级对象,例如企业官网、业务交易系统、OA办公系统需分开定级。
强制要求:二级及以上系统必须完成备案与定期测评;一级系统为自主保护级,无需强制备案测评。
2. 初步自主定级

按照「受侵害客体 + 侵害程度」两个维度判定等级,企业常见的二级、三级判定标准如下:

等级

适用场景

侵害影响

二级

小型官网、内部OA系统、用户量10万以下的非敏感业务系统

系统遭到破坏后,对公民、法人合法权益造成严重损害,对社会公共利益造成一般损害

三级

10万以上用户个人信息系统、金融/医疗/政务核心业务、电商交易平台、大数据中台

系统遭到破坏后,对社会公共利益造成严重损害,或对国家安全造成轻微危害

3. 专家评审(二级及以上系统需要)

依据公网安〔2025〕1846号官方释疑:

  • 二级及以上系统定级、级别变更、系统重大重构时,必须组织不少于3名网络安全/对应行业专家出具评审意见;

  • 鼓励行业主管部门统一组织本行业批量专家评审。

4. 行业主管审核(仅监管类行业需要)

政务、医疗、教育、能源等监管行业的系统,需先报上级行业主管部门审核定级结果;普通商事企业无需此步骤。

本阶段输出必备材料
  • 《信息系统安全等级保护定级报告》(2025版官方统一模板)
  • 二级及以上系统专家评审意见书(含专家签字、专家资质证明)
  • 行业主管部门定级审核文件(如有)

第二阶段:备案阶段(获取官方备案证明)

定级完成后,向属地公安网安部门提交备案材料,审核通过后发放《网络安全等级保护备案证明》,即企业常说的"等保备案号"。

1. 确定备案受理机关

依据公网安〔2025〕1846号全国统一规则:

  • 原则上由地市级以上公安机关网安部门受理备案,省级公安机关可指定符合条件的县级公安机关受理;

  • 注册地、运维地、机房所在地不一致时,以安全管理机构、运维团队所在地为主受理;若安全管理与运维地分离,以安全管理机构所在地为准;

  • 跨省或全国联网运行系统的分支系统,由所在地地市级以上公安机关网安部门受理备案。

2. 全套备案材料清单(全部加盖单位公章)
【二级/三级系统通用必备材料】
  • 《网络安全等级保护备案表》(2025版官方模板,法定代表人签字 + 公章)
  • 《信息系统安全等级保护定级报告》(2025版模板)
  • 单位主体资质:营业执照/事业单位法人证书复印件、法定代表人身份证复印件
  • 系统基础资料:标注清晰的网络拓扑图(含安全设备、服务器、网络分区)、系统业务功能说明、软硬件资产清单
  • 《数据摸底调查表》(1846号文强制要求,二级及以上必须提交,需梳理数据类型、量级、跨系统流向,2025年11月30日前完成)
  • 安全负责人任命文件、专职安全管理人员基本信息
【三级系统额外必备材料】
  • 三级系统专家评审意见书(3名及以上专家签字 + 资质证明)
  • 行业主管部门审批文件(政务、医疗等监管行业需提供)
3. 备案审核流程
  1. 线上提交:通过属地公安等保备案系统上传全部电子材料;
  2. 官方初审:公安网安8-15个工作日内完成审核,材料不符会驳回修正;
  3. 线下核验:初审通过后,10个工作日内提交纸质原件到窗口核验;
  4. 发放证明:核验通过后,发放带唯一备案编号的《网络安全等级保护备案证明》。
关键规则提醒
  • 备案证明有效期3年(2025年1月1日前备案的,有效期自2025年1月1日起算);
  • 完成等级测评后有效期自动延长1年(累计延期一般不超过6年);
  • 期满需延期的,应当于期满前3个月内向受理备案的公安机关申请延期;
  • 系统等级、架构、核心业务、数据范围发生重大变更,需30日内重新备案更新。

第三阶段:建设整改阶段(对标标准补齐短板)
拿到备案证明后,需对照对应等级的等保标准完成技术、管理双维度建设整改,是决定测评能否通过的核心环节。
1. 第一步:差距评估
建议委托具备资质的测评机构或安全服务商,对照GB/T 22239-2019等保基本要求、数据安全专项要求,全面排查技术与管理短板,出具正式差距分析报告,避免盲目整改。
2. 技术维度整改(五大层面)
物理安全:自建机房需配齐防火、防雷、防水、门禁、视频监控;云上系统需获取云服务商等保备案证明、安全责任划分协议。
网络安全:部署边界防火墙、入侵防御系统,完成内外网分区隔离,启用登录双因素认证,日志留存不少于6个月(180天)
主机安全:完成服务器基线加固,定期漏洞扫描修复,部署终端安全管控,落实特权账号双人复核、最小权限管控。
应用安全:配齐接口防攻击、文件上传下载管控、全操作审计、异常访问拦截能力。
数据安全:完成数据分类分级、敏感数据加密存储传输、严格执行异地加密备份策略、数据全生命周期操作留痕、批量导出多级审批。
3. 管理维度整改(五大模块)
本阶段输出必备材料
差距分析报告、安全设备部署清单、全套安全管理制度、运维全流程台账、应急演练记录、数据分类分级报告、年度保护工作方案。

管理维度

核心内容

留存台账

安全管理机构

明确安全负责人、数据安全负责人,成文任命文件与组织架构

任命文件、组织架构图

安全管理制度

搭建覆盖人员管理、机房运维、设备管理、漏洞整改、数据安全、外包管理、变更管理的全套制度体系

制度文本、修订记录

运维管理

留存权限申请审批、漏洞整改、机房巡检、安全培训全流程台账

巡检记录、扫描报告、培训档案

应急管理

编制通用网络安全应急预案 + 数据泄露专项应急预案,每年至少开展1次实战演练并留存完整记录

预案文本、演练记录、处置报告

三级系统额外要求

每年编制《网络安全保护工作方案》,明确年度风险清单与整改计划,定期报送属地公安

保护工作方案、年度更新记录


第四阶段:等级测评阶段(第三方权威测评)

整改完成后,由公安部备案的正规测评机构开展全维度测评,出具具备法律效力的正式测评报告。

1. 选择合规测评机构
硬性要求:
  • 必须在公安部等级保护测评机构官方目录内;
  • 跨省开展测评的机构,需提前在属地公安网安完成项目备案,否则出具的报告不予认可。
2. 测评完整流程
  1. 预约提交材料:向测评机构提交备案证明、系统资料、整改全套材料;
  2. 现场测评:分为两部分,技术测试(漏洞扫描、渗透测试、配置核查)+ 管理核查(制度核验、人员访谈、台账检查);
  3. 问题整改复测:测评机构出具隐患清单,企业完成重大风险整改后申请复测,重大隐患必须清零
  4. 出具正式报告:测评达标后,出具2025版《网络安全等级保护测评报告》。
3. 2025版最新测评结论规则(已取消百分制)

符合率

重大风险隐患

测评结论

≥90%

符合

≥90%

基本符合

60%(含)-90%(不含)

-

基本符合

<60%

-

不符合


本阶段输出材料
正式等级保护测评报告、整改复测记录。

第五阶段:测评报备与常态化运维(持续合规)

1. 测评报告报备

拿到正式测评报告后,30日内提交给备案属地公安网安部门,完成年度测评报备。法定测评周期:
  • 第三级系统:每年至少开展1次正式测评;
  • 第四级系统:每半年至少开展1次正式测评;
  • 第五级系统:依据特殊安全需求进行等级测评;
  • 第二级系统:每两年至少开展1次正式测评。

2. 常态化合规运维

等保不是一次性项目,需持续运维满足动态监管要求:
  • 每季度开展漏洞扫描与整改,留存完整运维台账;
  • 每年全员安全培训、应急演练至少1次;
  • 系统业务、架构、数据发生重大变更时,及时更新定级备案;
  • 配合公安网安不定期的远程检测、现场抽查。

常见新手误区澄清

误区

纠正

测评通过了才能备案

官方法定流程是先定级备案、确认保护等级,再开展建设整改与测评;备案是对系统等级的官方确认,不是对安全能力的认证

备案证明终身有效

备案证明有效期3年,完成测评后自动延长1年(累计一般不超过6年),期满需提前3个月申请延期;系统重大变更需30日内重新备案

买齐安全设备就能过等保

等保为技术+管理双维度考核,设备只是基础,核心看策略配置、制度落地、运维执行实效

二级系统不用备案

二级系统需要专家评审和备案,且每两年需完成一次测评,未备案未测评可面临行政处罚

日志存够6个月就达标

日志留存≥6个月是基本要求,但还需具备日志关联分析、异常检测能力,单纯存储原始日志不等于合规


以中国等保三级标准复盘:若iPhone18印度代工厂完成等保测评,百亿级泄密损失本可避免
没有了!