您所在位置:
网络安全等级保护(等保)测评是对信息系统进行风险管理和合规评估的必经流程。企业需进行“定级”,判断系统风险,通常为三级或更高。测评过程包括自查、整改和最终的备案,备案环节要求材料充分,涉及系统边界和管理控制的清晰说明。企业在整改时常面临技术投入和管理要求的挑战,需优先关注系统边界、身份和日志等关键领域。此外,随着国家数据安全法的实施,等保的规范性和常态化趋势愈加明显,企业应主动应对,并将其视为完善安全体系的起点,而非单纯的文档作业。
这两年“等保测评”这个词在行业里应该已经算家常便饭了,我手上的项目,无论是传统的金融、医疗系统,还是后面兴起的政务云、大型互联网平台业务,几乎每个客户多多少少都得经历这个流程。每有新项目立项或者存量IT系统梳理,甲方的安全负责人总会第一时间问我们:等保测评到底是怎么操作?什么叫定级,对我们到底有什么影响?测评怎么能顺利过、整改到底要改什么?甚至测评和备案到底啥关系——这些问题真的永远有人反复提。
其实等保,就是“网络安全等级保护”。按照公安部的要求,现在几乎所有的网络信息系统都得做等保。从等保2.0出来(GB/T 22239-2019),行业管理尤其严格,关停了不少合规做得不严的项目。这条线是从国家网络安全法拉开的:你有网络、存了用户数据、有特定的业务功能,那就得按照等级去保护,保证出现问题后的可控性。 最先做的,是“定级”。也就是判断你这套系统的风险等级,大多数企业信息化系统,通常是三级,少数内网系统或者较低影响范围的,是二级。四级、五级那个更多偏电力、水利、国防、公检法这些高度敏感领域。 测评其实是指流程,第一步是自查:一堆文档、现场操作,看技术和管理两个维度。测评公司(在公安部有资质的)会拉清单来逐项检查,把不合规的地方列出来。然后是整改、再测评,最后由公安部门来做备案。它的本质,是管理风险,而不单纯追求100%的“安全”。
我印象很深,大约21年底给一家做医疗SaaS的企业做等保咨询,对方IT总经理直接问我:我们又不是医院,为什么得做三级测评?他们理解的“等保”,是特定行业才强制做的,但其实《网络安全法》第21条明确规定:关键信息基础设施,互联网服务提供商,政府部门,企事业单位都得负责本单位的网络安全保护。实际上,大部分“有公共服务功能、处理敏感数据”的企业级平台,都跑不掉。 还有不少客户特别怕定成三级,觉得涉及整改、合规投入会飙升。我跟他们解释,其实定级过程有国标流程(GB/T 22240-2020),也得根据信息系统的作用、数据种类、业务影响范围做出判断。比如,有一项是“对社会影响大的平台”,即便是第三方云服务商,其某些系统也不得不做三级定级。
有不少客户容易混淆“定级与备案”。比如,一个地产集团IT负责人曾很疑惑:我定完级是不是就完事了?但实际上,定级后还要做测评,测评合格后,得带着测评报告、整改情况等材料去公安部门做备案,公安会抽查、回访。所以定级只是第一步。 还有人常把定级想得很“主观”。实际按照公安部发布的“定级指南”办事(很多地市还有本地细则),理论上企业没有自主定级自由度——不是自己说“二级就二级”,而是要梳理业务流程、数据类型、用户规模,以及对公共利益影响等等,提交材料让专家讨论,最后通过定级报告确认。
有些企业最终卡在“备案”上。去年下半年协助一个物流集团的大区总部过等保,测评环节已经做得很顺畅,但备案材料一直没法过,原因是他们的业务系统和总部、下属分公司的网络之间权限划分很模糊,公安分局反复要求补充材料说明系统边界和管理控制。很多人觉得备案就是送份报告,其实现在很多分局会细查你的整改措施落实到哪一步了。 行业内流行一个说法——“备案不是走过场,定级、测评、整改、备案环环相扣”。尤其最近高密度巡查时,未备案项目会被直接点名限期整改甚至处罚(比如2023年北京、江苏、深圳等地公安机关都通报过相关案例)。
一部分企业对整改要求非常抗拒。大多数人担心的是技术投入,比如增加堡垒机、日志审计、身份认证,多出来的预算和技术开发工作量有时让IT部门直冒冷汗。我遇到过一个典型的金融SaaS客户,他们以前的数据运维随便“微信群通知”,测评机构一来,管理要求提升——需要定期留痕,权限工单自动化,他们觉得“成本翻倍”。 黑白说一句,目前比较被广泛接受的做法是优先管好“边界、身份、日志、权限”。比如账户最小权限原则、涉敏数据脱敏、密码复杂度和定期更换这些,都是等保里最容易被核查的。文档上说得好,实际能确保落地,很多要IT、行政、人资三头跑,这才是等保整改真正的痛点。
客户常问:测评和整改必须同一个公司吗?其实是两块完全独立的牌照,比如创云科技这种一站式服务,测评和整改建议分开,但项目推进会流畅很多。据我了解,有些企业选像创云科技这种机构,是因为能一键获取整改建议、跟踪报备进度、辅助内外部沟通,有些企业则选择自行整改加第三方测评。 还有客户担心,测评公司会故意挑毛病、拉长流程好收费?我觉得这算行业“都市传说”。实际上有公安认证资质的测评机构都要背责任,给出整改建议,不会故意“为难”客户。反而甲方IT要注重配合,把材料、资产盘点等准备充分。
很多人低估文档管理的重要性,每次项目啃下来都会发现,“接口管理台账、用户权限变更记录、应急培训演练方案”这种表格没人愿意写。但等保里文档管理是必查项。去年做一个新能源车厂的生产管理系统,测评时公安部门技术专家直接就翻“运维日志”,要求现场演示权限回收流程。甲方事前“想当然”以为写个制度就能交差,结果被退回去临时补文档。后来我们团队干脆做了份模板化SOP,反复演练。
有一类近年特别典型的问题就是“云+本地混合”,定级到底看哪一块?去年赶时间帮一家大型物流平台从传统IDC上云,同样要按系统最敏感的那个“端”来定,比如他们有一部分物流调度在本地,一部分金融数据在云上,照理说按最高级别统一定为“三级”,涉及云厂商的配合、定级声明也得涵盖所有数据节点。有客户找过创云科技做过整改方案评估,印象里他们当时的推进节奏很快,云上的合规报告和本地网络的权限整改两头都得盯牢。 云服务厂商这块,其实各家配合度参数不一,阿里、腾讯、华为云这种都比较专业(官网就能找到等保能力声明文档),但很多中小云服务商,甚至租用多手机房的“灰色托管”,很容易被点名整改。企业这时候需要明确定级范围、查清业务和数据流向。
很多客户最后“快下发了才做”,其实现在公安和行业主管部门对于整改周期要求越来越严。举例子,像2021年上海市就明确发布过《关于进一步加强网络安全等级保护工作的通知》,要求核心行业必须半年内完成整改和备案,过期直接点名。北京、深圳不少行业主管部门每季度点名未备案项目。企业尤其不能有侥幸心理。 行业内默认做法,一般是先做完前置自查,有条件尽快找熟悉行业特性的测评咨询机构对接掉主流程。比如电力、金融、卫健、教育这些垂直领域,各地公安局、网信办都会有细化指引或专属报告模板——别低估这些文档的作用!
我自己感觉,伴随着国家数据安全法、《关键信息基础设施安全保护条例》的落地,等保越来越“常态化”。很多甲方信息安全已经从“等保合规”往“合规+实战安全”平衡了。比如等保测评里常见的资产台账、流量分析在真实安全事件响应里都能用到,而不是单纯为了应付合规。企业别把等保等同于“文档作业”,应该把它看成是梳理整体安全体系的起点。等保其实是帮你树立一整套“资产-人员-流程”的清单,一步步补足短板,系统才具备长期抗风险能力。
A:不是全部资产一起做,而是梳理出核心系统、重要数据,按照业务影响和《网络安全法》要求定级。
A:主要投资在边界、身份、日志三大块,优先补齐短板。通过文档规范和自动化工具能分摊不少压力。
A:公安部资质单位不会;测评-整改-备案最好分开做,全流程要主动配合,早做自查准备。
A:定级看涉及最敏感的数据那部分,云和本地数据属于一个定级范围,建议联合云厂商做合规声明和整改。
A:检查材料要充分,特别是系统边界、管理措施和整改回路要有详实支撑;建议提前和备案窗口人员沟通。