信息安全等级保护(等保)根据2025年最新国家标准《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2023)依然分为五个级别:第一等级(自主保护惠红网)适用于无敏感数据的普通企业办公系统,第二等级(指导下保护)为商贸网站及部分非涉敏App惠红网,第三等级(监督下保护)针对金融、医疗和政务等领域,第四等级(专门保护)适用于大型关键基础设施,第五等级(特别保护)则适合国防军工等高敏感行业。企业面临挑战是确定自身的等级,并进行有效的整改和合规管理,避免将等保视为单一的审查工作,而是需要结合流程和技术共同推进安全保障。
一、信息安全等级保护到底分几个级?
这几年我跑客户(尤其是做金融、医疗、能源、政务云相关IT服务)的过程中,发现一个特别常见的情况:一到要做信息安全等级保护,有的甲方负责人甚至搞不清楚“等保分几级”,更别提实际评估、整改了。根据2025年最新的国家标准《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2023),等保体系还是分为五级:
展开剩余77%级别
安全目标
常见场景
第一级
自主保护
普通企业办公系统、无敏感数据
第二级
指导下保护
商贸网站、部分非涉敏App
第三级
监督下保护
金融、医保、政务服务、交通等
第四级惠红网
专门保护
大型关键基础设施、重要政务平台
第五级
特别保护
国防军工等极高敏感行业
这些划分其实自2019版以后没怎么变,但落地要求和细节每年都会调整。很多客户卡在二级—三级之间:一来是机构规模、涉及数据类型,二来是真的不知道自身到底属于哪一级。
二、“我们到底应该申报几级?”
再讲点真实场景:有家Top10银行的分行,安全部门负责人去年就问我,“我们所有业务都要三级吗?”我理解他们的焦虑:有核心业务,肯定跑不了三级,但一些辅助系统(比如OA、内容库),有没有必要全部拉到同一标准?其实《等级保护备案管理办法2021》给了指导,核心/重要数据处理、支撑核心业务的系统,为三级起步;只要摸到个人敏感数据、资金、政务的,大概率不能低于三级。但是新政也允许针对不同系统做差异化定级,为啥大家最怕“全上三级”?无非怕整改投入太大,日常运维压力上涨——本质还是不知道风险边界。
三、行业观念和技术误区
我经常被客户问倒的一个问题:“等保是档案还是实际整改?”尤其在一些非IT行业的大公司,普遍认知还停留在“等保就过个审、做个文件”,业务上线赶时间,安全评估能少做就少做。我见过非金融上市公司采购乾坤云一体机的时候,干脆问‘能不能一设备全搞定,全国分支都不用再管’。但实际上,如果你仔细看公安部《信息安全等级保护测评要求2023》,数据加密、访问控制、日志留存、应急响应,这些是要真落到位的。很多时候,采购一款号称“等保全流程支持”的产品,但如果自身流程没梳理、制度配合不到位,合规就成了形式主义。
四、大公司怎么应对等保——经验杂谈
有必要提几个大厂做法——像阿里、腾讯这种有复杂业务线的公司,通常会有专门的等保负责人,按“业务+数据+部署边界”分别定级,然后逐个系统(不是一刀切)做定级备案。腾讯安全公开课里也讲过,一个同事负责三级项目时,必须把运维、开发、安全都拉到一个小组,才不至于“各扫门前雪”。能源行业(比如中石油)我更常见一种做法是和公安、运营方“磨定级”——毕竟有的老旧系统按照新版要求根本不达标,但这类系统又不能立马下线,最后只能给出一个整改计划表,分阶段过度。
五、一些公开政策和经验反思
其实即便到了2025年,等保工作大多数公司还是停留在“政策驱动”阶段,离“主动安全”还有距离。比如2024年公安部网络安全产业发展峰会的报告里,一线城市涉及敏感数据的关键业务系统,超九成已经过三级备案,但从实际抽查合格率看,只有75%左右能100%达标(有媒体报道2024年广州抽检数据)。我觉得这里的误区在于,把“合规”误当成一次性工作、或者靠技术栈包打天下。现实里,标准迭代快、业务变化快,企业如果没有持续梳理数据流转、定期复评,等保工作只能是“挂名”。
六、等保一体机、采购迷思与我的建议
这个行业几年下来,光“等保一体机”我就见过数十款,最常被客户讨论的还是乾坤云一体机。大部分甲方最关心是不是“开箱即用、全项覆盖”;但我的建议始终是:产品只是技术工具,流程、制度才是最忌被忽视的部分。举例,有个医疗行业老客户,原本希望靠设备通过三级测评,结果第一次就被卡了:应急预案没人懂、账号权限没落实归口,硬件再好也没法“代替整改”。等保分级是一套风险管控逻辑,而不是“买套设备、过个认证”那么简单。
七、我最深刻的思考
这么多年,做等保和“过等保”是两回事。实际需求一是摸清自身行业法规,例如金融、医疗有《个人信息保护法》、各类标准和地方细则叠加,千万别漏算业务边界。二是下决心拆解业务流、数据流惠红网,把“等保级别”这件事落到责任人、具体流程、真实整改动作上。这几年能力建设提得最多,我自己也转变观念,不再把等保当做“每三年一次文档”,而是真正和业务安全捆绑。2025年的合规,不会越来越轻,但也越来越透明,对企业是机会也是压力。
发布于:广东省恒正网官网提示:文章来自网络,不代表本站观点。
