前几天在技术交流群里，有个做电商的朋友问我："老刘，我们公司要做等保测评，听说要先定级，这个级别怎么确定啊？我们应该做几级？" 这个问题非常关键，等保测评的第一步就是定级，级别定不准，后面的工作可能都白费。作为一个在信息安全行业摸爬滚打了十多年的老兵，我亲身经历和指导过上百家企业的等保定级工作。今天，我就来跟大家详细聊聊，互联网企业到底该如何确定自己的等保测评级别。

一、等保测评等级划分的官方依据

        首先，我们要明白等保测评的等级划分不是拍脑袋决定的，而是有明确的国家标准的。核心依据是《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）。这个标准详细规定了信息系统安全?；さ燃兜幕衷颉⒎椒ê土鞒?。

        简单来说，计算机信息系统安全?；さ燃陡菪畔⑾低吃诠野踩⒕媒ㄉ?、社会生活中的重要程度，以及信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素来确定。一共分为五个级别。

二、等保测评五个等级详解：你的系统属于哪一级？

        第一级：自主?；ぜ?/p>

                官方定义： 信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

                通俗理解： 这类系统主要是一些个人网站、小型企业的内部办公系统等。系统坏了，可能对用户个人或小范围造成一些不便或损失，但对整个社会和国家没啥大影响。

                互联网企业场景举例：

                    个人博客网站（无敏感信息）

                    小型企业内部的非核心办公OA系统

                    一些纯展示性的企业官网（无交互、无交易）

                测评要求： 一般不需要强制进行等级测评，企业可以自主进行安全防护。

                行业现状： 根据中企百通的统计数据，2024年备案的系统中，一级系统占比不足5%。大部分企业即使是小型系统，也会考虑定为二级。

        第二级：指导?；ぜ?/p>

                官方定义： 信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

                通俗理解： 这类系统比一级重要一些，如果出问题，会给一部分人或某个领域带来比较大的麻烦，甚至影响到局部的社会秩序和公共利益。但还没到威胁国家安全的程度。

                互联网企业场景举例：

                    中小型电商平台的非核心业务系统（如商品展示、客服咨询）

                    地方性新闻资讯网站（非时政类）

                    一些在线教育平台的课程点播系统

                    企业内部较为重要的管理系统（如CRM、ERP的部分?？椋?/p>

                测评要求： 需要进行等级测评，一般建议每两年进行一次。

                行业现状： 这是互联网企业中最常见的等级之一。根据艾瑞咨询的报告，2024年中国互联网企业中，约有40%的备案系统为二级。

        第三级：监督保护级

                官方定义： 信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

                通俗理解： 这是非常重要的系统了。一旦出事，会严重影响社会秩序和公共利益，甚至可能威胁到国家安全。这类系统是国家重点监管对象。

                互联网企业场景举例：

                    大型电商平台的交易系统、支付系统

                    金融科技平台的在线借贷、投资理财系统

                    重要的云计算平台、大数据中心

                    涉及大量公民个人敏感信息的系统（如医疗健康平台、社交平台的核心数据库）

                    提供公共服务的在线政务系统

                    主流媒体的新闻发布系统

                测评要求： 必须进行等级测评，一般要求每年进行一次。

                行业现状： 这是互联网行业中另一个常见的等级，特别是对于有一定规模和涉及核心业务的企业。据不完全统计，在已备案的互联网企业系统中，三级系统占比约为35%-45%。

        第四级：强制?；ぜ?/p>

                官方定义： 信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

                通俗理解： 这类系统的重要性不言而喻，属于国家关键信息基础设施的核心部分。一旦瘫痪或被攻击，后果不堪设想，会对社会和国家造成灾难性的影响。

                互联网企业场景举例：

                    国家级骨干网络的核心控制系统

                    大型银行的核心交易系统

                    国家级重要信息系统（如社保、税务核心系统）

                    涉及国家战略安全的重要工业控制系统

                测评要求： 必须进行等级测评，一般要求每半年进行一次，并且有更严格的安全要求和监管措施。

                行业现状： 互联网企业中，达到四级的系统非常少，通常是国家层面或特大型基础设施运营单位的核心系统。普通互联网公司基本不会涉及到。

        第五级：专控?；ぜ?/p>

                官方定义： 信息系统受到破坏后，会对国家安全造成特别严重损害。

                通俗理解： 这是最高级别的系统，直接关系到国家存亡和核心利益。通常是国防、军工等领域的绝密系统。

                互联网企业场景举例： 普通互联网企业不可能涉及此类系统。

                测评要求： 由国家专门部门进行?；ず凸芾?。

三、互联网企业如何为自己的系统精准定级？

        了解了五个等级的定义，那么作为互联网企业，该如何为自己的系统选择合适的级别呢？这需要一个系统性的评估过程。

        步骤一：梳理自身业务和系统

                首先，要对企业所有的信息系统进行一次彻底的盘点和梳理。

                业务梳理： 明确企业的主营业务、核心业务流程、辅助业务流程。

                系统梳理： 识别支撑这些业务的信息系统，包括前端应用、后端服务、数据库、中间件、网络设备等。

                数据梳理： 分析每个系统处理的数据类型、敏感程度、数据量大小。

                实操建议： 可以绘制详细的业务流程图和系统架构图，帮助理解系统间的依赖关系和数据流向。

        步骤二：评估业务影响和损害程度

                这是定级的核心环节。需要从两个维度进行评估：

                1. 业务信息安全受到破坏时所侵害的客体：

                    公民、法人和其他组织的合法权益

                    社会秩序、公共利益

                    国家安全

                2. 业务信息安全受到破坏后对相应客体的侵害程度：

                    一般损害

                    严重损害

                    特别严重损害

        具体评估方法：

                场景分析法： 假设系统发生不同类型的安全事件（如数据泄露、服务中断、系统瘫痪），分析可能造成的后果。

                定量与定性结合： 对于可以量化的损失（如经济损失、用户流失），尽量进行量化评估；对于难以量化的影响（如声誉受损、社会恐慌），进行定性描述。

                最坏情况原则： 在评估损害程度时，应考虑最坏可能发生的情况。

        互联网企业需要重点考虑的因素：

                用户规模： 系统服务的用户数量，用户越多，潜在影响越大。

                数据敏感性： 是否处理大量个人身份信息、交易数据、健康信息等敏感数据。

                业务关键性： 系统是否支撑核心业务，中断后是否会导致业务停摆。

                社会影响： 系统故障是否会引发公众关注、媒体报道，甚至社会恐慌。

                行业特性： 金融、医疗、电商等行业的系统，通常对安全性和连续性要求更高。

        案例分享： 一家中型电商平台，其核心交易系统，如果发生大规模数据泄露，可能导致数百万用户银行卡信息被盗，引发用户恐慌和集体诉讼，对企业声誉和持续经营造成致命打击，同时也可能扰乱正常的金融秩序。这种情况下，系统定为三级是比较合适的。

        步骤三：确定系统安全?；さ燃?/p>

                根据业务影响评估的结果，对照国家标准中各个等级的定义，初步确定系统的安全?；さ燃?。

                定级原则：

                就高不就低： 如果一个系统同时涉及到对不同客体的不同程度损害，应按照最高损害程度和最重要客体来确定等级。

                整体性原则： 对于一个复杂的业务系统，应将其作为一个整体进行定级，而不是拆分成多个低级别系统。

                动态调整原则： 随着业务发展和系统变化，定级结果也需要定期评审和调整。

                实操建议： 可以组织企业内部的技术、业务、法务等部门人员共同参与定级讨论，确保定级结果的准确性和合理性。也可以聘请像中企百通这样的专业咨询机构提供指导。

        步骤四：专家评审和主管部门备案

                初步定级完成后，还需要经过专家评审和主管部门备案的流程。

                专家评审： 邀请行业专家对定级报告进行评审，确保定级过程规范、结果合理。

                主管部门备案： 将定级报告和相关材料报送给当地公安机关网安部门进行备案。

        深圳地区特别提醒： 深圳市公安局网络警察支队对备案材料的审核较为严格，企业务必认真准备，确保材料的真实性和完整性。

四、不同行业互联网企业的定级参考

        虽然每个企业的具体情况不同，但根据行业特性，我们可以给出一些大致的定级参考：

        电商平台：

            核心交易系统、支付系统、用户中心（含大量敏感数据）：建议三级。

            商品展示系统、营销推广系统、客服系统：可考虑二级或三级，视数据敏感性和业务重要性而定。

        金融科技（P2P、在线支付、数字货币等）：

            核心业务系统（涉及资金交易、风险控制）：基本都是三级，部分大型平台甚至更高。

            辅助信息展示、客户服务系统：可考虑二级。

        在线教育：

            直播互动教学系统、学员管理系统（含个人信息）：建议二级或三级。

            课程点播系统、资讯发布系统：可考虑二级。

        医疗健康：

            电子病历系统、在线问诊平台（涉及大量健康隐私数据）：建议三级。

            健康资讯、预约挂号系统：可考虑二级或三级。

        SaaS服务商：

            核心服务平台（承载大量客户数据）：建议三级。

            企业官网、市场推广系统：可考虑二级。

        游戏行业：

            用户认证系统、充值计费系统：建议三级。

            游戏运营平台、社区论坛：可考虑二级或三级。

        重要提示： 以上仅为一般性参考，具体定级务必结合企业自身实际情况进行综合评估。

五、定级过高或过低的风险

        精准定级非常重要，定级过高或过低都会带来不必要的麻烦和风险。

        定级过高：

            成本增加： 更高级别意味着更严格的安全要求，需要投入更多的资金、人力和时间进行安全建设和维护。

            管理复杂： 更高级别的管理制度和流程更为复杂，可能影响业务效率。

            不必要的投入： 如果系统本身重要性不高，过高的安全投入可能造成资源浪费。

        定级过低：

            安全风险： 防护措施不足，系统更容易受到攻击，导致数据泄露、业务中断等严重后果。

            合规风险： 未达到应有的?；ぜ侗?，可能面临监管部门的处罚。

            声誉受损： 安全事件一旦发生，对企业声誉和客户信任造成严重打击。

        因此，力求精准定级，既能满足合规要求，又能有效控制成本，实现安全与发展的平衡。

六、中企百通的专业建议

        作为一家深耕企业服务领域多年的专业机构，中企百通在等保测评咨询方面积累了丰富的经验。对于互联网企业如何确定等保测评级别，我们给出以下建议：

        1.  高度重视，一把手负责： 等保定级是企业网络安全工作的起点，企业高层应充分认识其重要性，明确由主要负责人牵头负责。

        2.  全面梳理，摸清家底： 在定级前，务必对企业所有信息系统进行全面梳理，了解系统架构、业务流程和数据情况。

        3.  客观评估，科学定级： 严格按照国家标准和定级指南，结合企业实际情况，客观评估业务影响和损害程度，科学确定?；さ燃?。

        4.  专业咨询，少走弯路： 如果企业缺乏专业的安全人员或对定级流程不熟悉，建议寻求专业的咨询机构协助，可以有效避免定级不准带来的风险，节省时间和成本。

        5.  动态调整，持续优化： 等保定级不是一劳永逸的，企业应建立定期评审机制，根据业务发展和安全态势的变化，及时调整和优化定级结果。

        确定信息系统的安全?；さ燃叮强沟燃侗；すぷ鞯那疤岷突?。对于互联网企业而言，精准定级不仅关系到合规要求，更直接影响到企业的安全防护水平和业务持续发展能力。

        希望通过今天的分享，能帮助大家对等保测评的等级划分有一个更清晰的认识。记住，选择合适的级别，就像给你的系统穿上合身的“铠甲”，既能有效抵御风险，又不会束缚手脚。如果你在定级过程中遇到任何疑问，欢迎随时与我们中企百通这样的专业机构交流探讨，我们很乐意为您提供专业的支持和服务。

        网络安全无小事，精准定级是第一步，也是至关重要的一步！