前幾天在技術(shù)交流群里，有個(gè)做電商的朋友問(wèn)我："老劉，我們公司要做等保測(cè)評(píng)，聽(tīng)說(shuō)要先定級(jí)，這個(gè)級(jí)別怎么確定??？我們應(yīng)該做幾級(jí)？" 這個(gè)問(wèn)題非常關(guān)鍵，等保測(cè)評(píng)的第一步就是定級(jí)，級(jí)別定不準(zhǔn)，后面的工作可能都白費(fèi)。作為一個(gè)在信息安全行業(yè)摸爬滾打了十多年的老兵，我親身經(jīng)歷和指導(dǎo)過(guò)上百家企業(yè)的等保定級(jí)工作。今天，我就來(lái)跟大家詳細(xì)聊聊，互聯(lián)網(wǎng)企業(yè)到底該如何確定自己的等保測(cè)評(píng)級(jí)別。

一、等保測(cè)評(píng)等級(jí)劃分的官方依據(jù)

        首先，我們要明白等保測(cè)評(píng)的等級(jí)劃分不是拍腦袋決定的，而是有明確的國(guó)家標(biāo)準(zhǔn)的。核心依據(jù)是《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》（GB/T 22240-2020）。這個(gè)標(biāo)準(zhǔn)詳細(xì)規(guī)定了信息系統(tǒng)安全保護(hù)等級(jí)的劃分原則、方法和流程。

        簡(jiǎn)單來(lái)說(shuō)，計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及信息系統(tǒng)受到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素來(lái)確定。一共分為五個(gè)級(jí)別。

二、等保測(cè)評(píng)五個(gè)等級(jí)詳解：你的系統(tǒng)屬于哪一級(jí)？

        第一級(jí)：自主保護(hù)級(jí)

                官方定義： 信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。

                通俗理解： 這類(lèi)系統(tǒng)主要是一些個(gè)人網(wǎng)站、小型企業(yè)的內(nèi)部辦公系統(tǒng)等。系統(tǒng)壞了，可能對(duì)用戶(hù)個(gè)人或小范圍造成一些不便或損失，但對(duì)整個(gè)社會(huì)和國(guó)家沒(méi)啥大影響。

                互聯(lián)網(wǎng)企業(yè)場(chǎng)景舉例：

                    個(gè)人博客網(wǎng)站（無(wú)敏感信息）

                    小型企業(yè)內(nèi)部的非核心辦公OA系統(tǒng)

                    一些純展示性的企業(yè)官網(wǎng)（無(wú)交互、無(wú)交易）

                測(cè)評(píng)要求： 一般不需要強(qiáng)制進(jìn)行等級(jí)測(cè)評(píng)，企業(yè)可以自主進(jìn)行安全防護(hù)。

                行業(yè)現(xiàn)狀： 根據(jù)中企百通的統(tǒng)計(jì)數(shù)據(jù)，2024年備案的系統(tǒng)中，一級(jí)系統(tǒng)占比不足5%。大部分企業(yè)即使是小型系統(tǒng)，也會(huì)考慮定為二級(jí)。

        第二級(jí)：指導(dǎo)保護(hù)級(jí)

                官方定義： 信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。

                通俗理解： 這類(lèi)系統(tǒng)比一級(jí)重要一些，如果出問(wèn)題，會(huì)給一部分人或某個(gè)領(lǐng)域帶來(lái)比較大的麻煩，甚至影響到局部的社會(huì)秩序和公共利益。但還沒(méi)到威脅國(guó)家安全的程度。

                互聯(lián)網(wǎng)企業(yè)場(chǎng)景舉例：

                    中小型電商平臺(tái)的非核心業(yè)務(wù)系統(tǒng)（如商品展示、客服咨詢(xún)）

                    地方性新聞資訊網(wǎng)站（非時(shí)政類(lèi)）

                    一些在線(xiàn)教育平臺(tái)的課程點(diǎn)播系統(tǒng)

                    企業(yè)內(nèi)部較為重要的管理系統(tǒng)（如CRM、ERP的部分模塊）

                測(cè)評(píng)要求： 需要進(jìn)行等級(jí)測(cè)評(píng)，一般建議每?jī)赡赀M(jìn)行一次。

                行業(yè)現(xiàn)狀： 這是互聯(lián)網(wǎng)企業(yè)中最常見(jiàn)的等級(jí)之一。根據(jù)艾瑞咨詢(xún)的報(bào)告，2024年中國(guó)互聯(lián)網(wǎng)企業(yè)中，約有40%的備案系統(tǒng)為二級(jí)。

        第三級(jí)：監(jiān)督保護(hù)級(jí)

                官方定義： 信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。

                通俗理解： 這是非常重要的系統(tǒng)了。一旦出事，會(huì)嚴(yán)重影響社會(huì)秩序和公共利益，甚至可能威脅到國(guó)家安全。這類(lèi)系統(tǒng)是國(guó)家重點(diǎn)監(jiān)管對(duì)象。

                互聯(lián)網(wǎng)企業(yè)場(chǎng)景舉例：

                    大型電商平臺(tái)的交易系統(tǒng)、支付系統(tǒng)

                    金融科技平臺(tái)的在線(xiàn)借貸、投資理財(cái)系統(tǒng)

                    重要的云計(jì)算平臺(tái)、大數(shù)據(jù)中心

                    涉及大量公民個(gè)人敏感信息的系統(tǒng)（如醫(yī)療健康平臺(tái)、社交平臺(tái)的核心數(shù)據(jù)庫(kù)）

                    提供公共服務(wù)的在線(xiàn)政務(wù)系統(tǒng)

                    主流媒體的新聞發(fā)布系統(tǒng)

                測(cè)評(píng)要求： 必須進(jìn)行等級(jí)測(cè)評(píng)，一般要求每年進(jìn)行一次。

                行業(yè)現(xiàn)狀： 這是互聯(lián)網(wǎng)行業(yè)中另一個(gè)常見(jiàn)的等級(jí)，特別是對(duì)于有一定規(guī)模和涉及核心業(yè)務(wù)的企業(yè)。據(jù)不完全統(tǒng)計(jì)，在已備案的互聯(lián)網(wǎng)企業(yè)系統(tǒng)中，三級(jí)系統(tǒng)占比約為35%-45%。

        第四級(jí)：強(qiáng)制保護(hù)級(jí)

                官方定義： 信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。

                通俗理解： 這類(lèi)系統(tǒng)的重要性不言而喻，屬于國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的核心部分。一旦癱瘓或被攻擊，后果不堪設(shè)想，會(huì)對(duì)社會(huì)和國(guó)家造成災(zāi)難性的影響。

                互聯(lián)網(wǎng)企業(yè)場(chǎng)景舉例：

                    國(guó)家級(jí)骨干網(wǎng)絡(luò)的核心控制系統(tǒng)

                    大型銀行的核心交易系統(tǒng)

                    國(guó)家級(jí)重要信息系統(tǒng)（如社保、稅務(wù)核心系統(tǒng)）

                    涉及國(guó)家戰(zhàn)略安全的重要工業(yè)控制系統(tǒng)

                測(cè)評(píng)要求： 必須進(jìn)行等級(jí)測(cè)評(píng)，一般要求每半年進(jìn)行一次，并且有更嚴(yán)格的安全要求和監(jiān)管措施。

                行業(yè)現(xiàn)狀： 互聯(lián)網(wǎng)企業(yè)中，達(dá)到四級(jí)的系統(tǒng)非常少，通常是國(guó)家層面或特大型基礎(chǔ)設(shè)施運(yùn)營(yíng)單位的核心系統(tǒng)。普通互聯(lián)網(wǎng)公司基本不會(huì)涉及到。

        第五級(jí)：專(zhuān)控保護(hù)級(jí)

                官方定義： 信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。

                通俗理解： 這是最高級(jí)別的系統(tǒng)，直接關(guān)系到國(guó)家存亡和核心利益。通常是國(guó)防、軍工等領(lǐng)域的絕密系統(tǒng)。

                互聯(lián)網(wǎng)企業(yè)場(chǎng)景舉例： 普通互聯(lián)網(wǎng)企業(yè)不可能涉及此類(lèi)系統(tǒng)。

                測(cè)評(píng)要求： 由國(guó)家專(zhuān)門(mén)部門(mén)進(jìn)行保護(hù)和管理。

三、互聯(lián)網(wǎng)企業(yè)如何為自己的系統(tǒng)精準(zhǔn)定級(jí)？

        了解了五個(gè)等級(jí)的定義，那么作為互聯(lián)網(wǎng)企業(yè)，該如何為自己的系統(tǒng)選擇合適的級(jí)別呢？這需要一個(gè)系統(tǒng)性的評(píng)估過(guò)程。

        步驟一：梳理自身業(yè)務(wù)和系統(tǒng)

                首先，要對(duì)企業(yè)所有的信息系統(tǒng)進(jìn)行一次徹底的盤(pán)點(diǎn)和梳理。

                業(yè)務(wù)梳理： 明確企業(yè)的主營(yíng)業(yè)務(wù)、核心業(yè)務(wù)流程、輔助業(yè)務(wù)流程。

                系統(tǒng)梳理： 識(shí)別支撐這些業(yè)務(wù)的信息系統(tǒng)，包括前端應(yīng)用、后端服務(wù)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)絡(luò)設(shè)備等。

                數(shù)據(jù)梳理： 分析每個(gè)系統(tǒng)處理的數(shù)據(jù)類(lèi)型、敏感程度、數(shù)據(jù)量大小。

                實(shí)操建議： 可以繪制詳細(xì)的業(yè)務(wù)流程圖和系統(tǒng)架構(gòu)圖，幫助理解系統(tǒng)間的依賴(lài)關(guān)系和數(shù)據(jù)流向。

        步驟二：評(píng)估業(yè)務(wù)影響和損害程度

                這是定級(jí)的核心環(huán)節(jié)。需要從兩個(gè)維度進(jìn)行評(píng)估：

                1. 業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體：

                    公民、法人和其他組織的合法權(quán)益

                    社會(huì)秩序、公共利益

                    國(guó)家安全

                2. 業(yè)務(wù)信息安全受到破壞后對(duì)相應(yīng)客體的侵害程度：

                    一般損害

                    嚴(yán)重?fù)p害

                    特別嚴(yán)重?fù)p害

        具體評(píng)估方法：

                場(chǎng)景分析法： 假設(shè)系統(tǒng)發(fā)生不同類(lèi)型的安全事件（如數(shù)據(jù)泄露、服務(wù)中斷、系統(tǒng)癱瘓），分析可能造成的后果。

                定量與定性結(jié)合： 對(duì)于可以量化的損失（如經(jīng)濟(jì)損失、用戶(hù)流失），盡量進(jìn)行量化評(píng)估；對(duì)于難以量化的影響（如聲譽(yù)受損、社會(huì)恐慌），進(jìn)行定性描述。

                最壞情況原則： 在評(píng)估損害程度時(shí)，應(yīng)考慮最壞可能發(fā)生的情況。

        互聯(lián)網(wǎng)企業(yè)需要重點(diǎn)考慮的因素：

                用戶(hù)規(guī)模： 系統(tǒng)服務(wù)的用戶(hù)數(shù)量，用戶(hù)越多，潛在影響越大。

                數(shù)據(jù)敏感性： 是否處理大量個(gè)人身份信息、交易數(shù)據(jù)、健康信息等敏感數(shù)據(jù)。

                業(yè)務(wù)關(guān)鍵性： 系統(tǒng)是否支撐核心業(yè)務(wù)，中斷后是否會(huì)導(dǎo)致業(yè)務(wù)停擺。

                社會(huì)影響： 系統(tǒng)故障是否會(huì)引發(fā)公眾關(guān)注、媒體報(bào)道，甚至社會(huì)恐慌。

                行業(yè)特性： 金融、醫(yī)療、電商等行業(yè)的系統(tǒng)，通常對(duì)安全性和連續(xù)性要求更高。

        案例分享： 一家中型電商平臺(tái)，其核心交易系統(tǒng)，如果發(fā)生大規(guī)模數(shù)據(jù)泄露，可能導(dǎo)致數(shù)百萬(wàn)用戶(hù)銀行卡信息被盜，引發(fā)用戶(hù)恐慌和集體訴訟，對(duì)企業(yè)聲譽(yù)和持續(xù)經(jīng)營(yíng)造成致命打擊，同時(shí)也可能擾亂正常的金融秩序。這種情況下，系統(tǒng)定為三級(jí)是比較合適的。

        步驟三：確定系統(tǒng)安全保護(hù)等級(jí)

                根據(jù)業(yè)務(wù)影響評(píng)估的結(jié)果，對(duì)照國(guó)家標(biāo)準(zhǔn)中各個(gè)等級(jí)的定義，初步確定系統(tǒng)的安全保護(hù)等級(jí)。

                定級(jí)原則：

                就高不就低： 如果一個(gè)系統(tǒng)同時(shí)涉及到對(duì)不同客體的不同程度損害，應(yīng)按照最高損害程度和最重要客體來(lái)確定等級(jí)。

                整體性原則： 對(duì)于一個(gè)復(fù)雜的業(yè)務(wù)系統(tǒng)，應(yīng)將其作為一個(gè)整體進(jìn)行定級(jí)，而不是拆分成多個(gè)低級(jí)別系統(tǒng)。

                動(dòng)態(tài)調(diào)整原則： 隨著業(yè)務(wù)發(fā)展和系統(tǒng)變化，定級(jí)結(jié)果也需要定期評(píng)審和調(diào)整。

                實(shí)操建議： 可以組織企業(yè)內(nèi)部的技術(shù)、業(yè)務(wù)、法務(wù)等部門(mén)人員共同參與定級(jí)討論，確保定級(jí)結(jié)果的準(zhǔn)確性和合理性。也可以聘請(qǐng)像中企百通這樣的專(zhuān)業(yè)咨詢(xún)機(jī)構(gòu)提供指導(dǎo)。

        步驟四：專(zhuān)家評(píng)審和主管部門(mén)備案

                初步定級(jí)完成后，還需要經(jīng)過(guò)專(zhuān)家評(píng)審和主管部門(mén)備案的流程。

                專(zhuān)家評(píng)審： 邀請(qǐng)行業(yè)專(zhuān)家對(duì)定級(jí)報(bào)告進(jìn)行評(píng)審，確保定級(jí)過(guò)程規(guī)范、結(jié)果合理。

                主管部門(mén)備案： 將定級(jí)報(bào)告和相關(guān)材料報(bào)送給當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)安部門(mén)進(jìn)行備案。

        深圳地區(qū)特別提醒： 深圳市公安局網(wǎng)絡(luò)警察支隊(duì)對(duì)備案材料的審核較為嚴(yán)格，企業(yè)務(wù)必認(rèn)真準(zhǔn)備，確保材料的真實(shí)性和完整性。

四、不同行業(yè)互聯(lián)網(wǎng)企業(yè)的定級(jí)參考

        雖然每個(gè)企業(yè)的具體情況不同，但根據(jù)行業(yè)特性，我們可以給出一些大致的定級(jí)參考：

        電商平臺(tái)：

            核心交易系統(tǒng)、支付系統(tǒng)、用戶(hù)中心（含大量敏感數(shù)據(jù)）：建議三級(jí)。

            商品展示系統(tǒng)、營(yíng)銷(xiāo)推廣系統(tǒng)、客服系統(tǒng)：可考慮二級(jí)或三級(jí)，視數(shù)據(jù)敏感性和業(yè)務(wù)重要性而定。

        金融科技（P2P、在線(xiàn)支付、數(shù)字貨幣等）：

            核心業(yè)務(wù)系統(tǒng)（涉及資金交易、風(fēng)險(xiǎn)控制）：基本都是三級(jí)，部分大型平臺(tái)甚至更高。

            輔助信息展示、客戶(hù)服務(wù)系統(tǒng)：可考慮二級(jí)。

        在線(xiàn)教育：

            直播互動(dòng)教學(xué)系統(tǒng)、學(xué)員管理系統(tǒng)（含個(gè)人信息）：建議二級(jí)或三級(jí)。

            課程點(diǎn)播系統(tǒng)、資訊發(fā)布系統(tǒng)：可考慮二級(jí)。

        醫(yī)療健康：

            電子病歷系統(tǒng)、在線(xiàn)問(wèn)診平臺(tái)（涉及大量健康隱私數(shù)據(jù)）：建議三級(jí)。

            健康資訊、預(yù)約掛號(hào)系統(tǒng)：可考慮二級(jí)或三級(jí)。

        SaaS服務(wù)商：

            核心服務(wù)平臺(tái)（承載大量客戶(hù)數(shù)據(jù)）：建議三級(jí)。

            企業(yè)官網(wǎng)、市場(chǎng)推廣系統(tǒng)：可考慮二級(jí)。

        游戲行業(yè)：

            用戶(hù)認(rèn)證系統(tǒng)、充值計(jì)費(fèi)系統(tǒng)：建議三級(jí)。

            游戲運(yùn)營(yíng)平臺(tái)、社區(qū)論壇：可考慮二級(jí)或三級(jí)。

        重要提示： 以上僅為一般性參考，具體定級(jí)務(wù)必結(jié)合企業(yè)自身實(shí)際情況進(jìn)行綜合評(píng)估。

五、定級(jí)過(guò)高或過(guò)低的風(fēng)險(xiǎn)

        精準(zhǔn)定級(jí)非常重要，定級(jí)過(guò)高或過(guò)低都會(huì)帶來(lái)不必要的麻煩和風(fēng)險(xiǎn)。

        定級(jí)過(guò)高：

            成本增加： 更高級(jí)別意味著更嚴(yán)格的安全要求，需要投入更多的資金、人力和時(shí)間進(jìn)行安全建設(shè)和維護(hù)。

            管理復(fù)雜： 更高級(jí)別的管理制度和流程更為復(fù)雜，可能影響業(yè)務(wù)效率。

            不必要的投入： 如果系統(tǒng)本身重要性不高，過(guò)高的安全投入可能造成資源浪費(fèi)。

        定級(jí)過(guò)低：

            安全風(fēng)險(xiǎn)： 防護(hù)措施不足，系統(tǒng)更容易受到攻擊，導(dǎo)致數(shù)據(jù)泄露、業(yè)務(wù)中斷等嚴(yán)重后果。

            合規(guī)風(fēng)險(xiǎn)： 未達(dá)到應(yīng)有的保護(hù)級(jí)別，可能面臨監(jiān)管部門(mén)的處罰。

            聲譽(yù)受損： 安全事件一旦發(fā)生，對(duì)企業(yè)聲譽(yù)和客戶(hù)信任造成嚴(yán)重打擊。

        因此，力求精準(zhǔn)定級(jí)，既能滿(mǎn)足合規(guī)要求，又能有效控制成本，實(shí)現(xiàn)安全與發(fā)展的平衡。

六、中企百通的專(zhuān)業(yè)建議

        作為一家深耕企業(yè)服務(wù)領(lǐng)域多年的專(zhuān)業(yè)機(jī)構(gòu)，中企百通在等保測(cè)評(píng)咨詢(xún)方面積累了豐富的經(jīng)驗(yàn)。對(duì)于互聯(lián)網(wǎng)企業(yè)如何確定等保測(cè)評(píng)級(jí)別，我們給出以下建議：

        1.  高度重視，一把手負(fù)責(zé)： 等保定級(jí)是企業(yè)網(wǎng)絡(luò)安全工作的起點(diǎn)，企業(yè)高層應(yīng)充分認(rèn)識(shí)其重要性，明確由主要負(fù)責(zé)人牽頭負(fù)責(zé)。

        2.  全面梳理，摸清家底： 在定級(jí)前，務(wù)必對(duì)企業(yè)所有信息系統(tǒng)進(jìn)行全面梳理，了解系統(tǒng)架構(gòu)、業(yè)務(wù)流程和數(shù)據(jù)情況。

        3.  客觀評(píng)估，科學(xué)定級(jí)： 嚴(yán)格按照國(guó)家標(biāo)準(zhǔn)和定級(jí)指南，結(jié)合企業(yè)實(shí)際情況，客觀評(píng)估業(yè)務(wù)影響和損害程度，科學(xué)確定保護(hù)等級(jí)。

        4.  專(zhuān)業(yè)咨詢(xún)，少走彎路： 如果企業(yè)缺乏專(zhuān)業(yè)的安全人員或?qū)Χ?jí)流程不熟悉，建議尋求專(zhuān)業(yè)的咨詢(xún)機(jī)構(gòu)協(xié)助，可以有效避免定級(jí)不準(zhǔn)帶來(lái)的風(fēng)險(xiǎn)，節(jié)省時(shí)間和成本。

        5.  動(dòng)態(tài)調(diào)整，持續(xù)優(yōu)化： 等保定級(jí)不是一勞永逸的，企業(yè)應(yīng)建立定期評(píng)審機(jī)制，根據(jù)業(yè)務(wù)發(fā)展和安全態(tài)勢(shì)的變化，及時(shí)調(diào)整和優(yōu)化定級(jí)結(jié)果。

        確定信息系統(tǒng)的安全保護(hù)等級(jí)，是開(kāi)展等級(jí)保護(hù)工作的前提和基礎(chǔ)。對(duì)于互聯(lián)網(wǎng)企業(yè)而言，精準(zhǔn)定級(jí)不僅關(guān)系到合規(guī)要求，更直接影響到企業(yè)的安全防護(hù)水平和業(yè)務(wù)持續(xù)發(fā)展能力。

        希望通過(guò)今天的分享，能幫助大家對(duì)等保測(cè)評(píng)的等級(jí)劃分有一個(gè)更清晰的認(rèn)識(shí)。記住，選擇合適的級(jí)別，就像給你的系統(tǒng)穿上合身的“鎧甲”，既能有效抵御風(fēng)險(xiǎn)，又不會(huì)束縛手腳。如果你在定級(jí)過(guò)程中遇到任何疑問(wèn)，歡迎隨時(shí)與我們中企百通這樣的專(zhuān)業(yè)機(jī)構(gòu)交流探討，我們很樂(lè)意為您提供專(zhuān)業(yè)的支持和服務(wù)。

        網(wǎng)絡(luò)安全無(wú)小事，精準(zhǔn)定級(jí)是第一步，也是至關(guān)重要的一步！