本文深入探讨了网络安全等级保护定级备案的五个标准步骤，针对企业在面对信息安全合规时的挑战。明确资产和业务范围，强调以业务为主进行定级；评估影响，确保定级合理，避免过低或过高的风险；第三，形成详细的定级报告，确保报告内容具体且符合要求；第四，报送主管部门进行审核，关注业务描述和影响面是否准确；最后，备案存档与动态管理，强调定级后的持续调整和监管。整体过程中，强调“影响力思维”在各个环节的重要性，促使企业在合规管理中更有效地应对安全挑战。

信息安全咨询日常：谈谈网络安全等级保护定级备案的五个标准步骤

做了几年信息安全咨询师，跟各种企业聊过，也和不少乙方合作过，网络安全等级保护（等保）定级备案一直是绕不开的话题——尤其是有检测、整改、或者是新项目上线前，等保成了不少技术团队和管理者的“门槛第一问”。我自己印象很深的，是在金融、医疗、制造这些行业，哪怕IT团队挺成熟了，对等保流程还是会有焦虑。毕竟本质上这是合规和业务的双重压力，不像普通的信息安全整改，合规这关过不去，系统上线、人行检查、甚至送云都艰难。

展开剩余83%

其实大家关于定级备案，总问的核心问题就是“到底几级”“怎么定”“标准是什么”“万一定得高了压力咋办”“流程怎么跑最快”，这些问题几乎反复出现。真实情况是，看起来都是“五个步骤”，但每个环节都藏着很多细节和挑战。这两年国家对关键基础设施保护新文件出得快，公安部《信息安全等级保护管理办法》《网络安全法》《网络安全等级保护基本要求》（GB/T 22239-2019）都是业界公认的标准和指南，很多客户实际操作也绕不开这些政策要求。

第一步：明确资产和业务范围——定级第一步，拉通业务视角

大多数客户第一步就跑偏。很多人觉得找个名单，把所有服务器、交换机、数据库写进去就行了。其实GB/T 22239-2019已经点过“业务定级为主，资产协同为辅”，核心思想是看信息系统支撑的业务和主体责任——不是说硬件、软件越贵，级别就越高，而是谁用，有啥影响。比如有家制造企业客户，车间用了个小型MES系统，IT部门觉得影响不大。可后来上了智能制造，总部要远程监控生产数据，这时候MES系统一旦瘫痪，生产、调度全受影响，影响面跳级到整个生产基地。于是最初他们想随便定个二级，沟通下来最终按三级备案。

很多客户听完“业务为主”还是怕，因为实际越定越高，整改和日常安全运维压力大。这一步必须和管理（数据资产主责人）、技术（具体实施和维护）、项目（新系统、边界系统）三个圈层拉通。我习惯先开几个业务访谈会，让负责系统的产品经理、项目经理、业务负责人分别讲自己眼里的“最坏影响”，再汇总梳理，看有无涉及企业核心业务、行业关键服务、国计民生、广泛个人信息。这里还可以参考国家对金融、能源、交通等行业关键系统的分类指导意见，实操上，用“业务边界+影响面”确定范围，比单看资产技术细节更靠谱。

第二步：评估影响——查备案“锅”，别低级高配

定级其实就是对“损害国家安全、社会秩序、公共利益、组织合法权益”的综合评估。GB/T 22239-2019和公安部文件明确“划分一级、二级、三级、四级、五级”，互联网企业一般碰到就是二级、三级为主。

说个互联网医疗客户的例子，他们刚和我对接时对“三还是二级”纠结很久——部门领导直说，“三级的话预算要多一半，公安检查也要常态做，我们这小团队怕搞不定。”后来我们一项项梳理，发现涉及到居民健康档案、处方信息等敏感数据，虽然流量不大，但数据本身国家有明确保护要求，最终还是按三级上报。其实现在公安备案过程中，“高一级不低减”很常见，但定级过低出事后审查风险更大。还有一种误区是技术负责人“压级”——觉得自己系统技术弱，影响面小，不愿意上高一级。我的建议一般是根据最坏影响评估，不要贪图省事漏掉风险。

这里和客户沟通的难点，倒不是标准流程不懂，反而是怕“被盯上”。实际公安机关的态度，只要有合理依据、有就事论事的业务评估报告，不会刻意让你“高定”。高新技术、金融支付、云服务平台这种，结构复杂就老老实实做三级。也有人请创云科技、启明星辰这类做一站式方案的，主要是第三方能靠业务影响举例论证，避免责任全在企业一方。

第三步：形成定级报告——到底该怎么写？

每个客户头疼“报告怎么写”，其实这里水很深。按照《信息安全等级保护定级指南》，定级报告需要包含如下几部分：

• 基本信息：系统名称、职责、部署位置、主要技术

• 业务描述与影响面：如果瘫痪会有哪些后果，影响哪些服务/客户/上下游

• 资产清单（信息、设备、人员、设施）

• 责任人及组织结构联系人

• 等保级别的确定依据，引用相关条款和评判流程

• 专家论证意见（部分省份和三级系统要求）

写报告其实是最花时间的，不少乙方拿给你的范本是格式对了，但案例和条款套得很空泛。实际公安机关有时候会打回，要求具体影响面、系统用途要交待清楚，不能复述法规原文。印象里，创云那边对定级报告的撰写节奏很严，先是专题梳理，每一个本地化条款都要求给出处和业务描述，有助于企业负责人面对检查不掉链子。这也是最近合规检查越来越严，很多企业没经验的都外包给第三方团队做初稿。

另外，有地区会要求第三方专家参与论证，有的单位自己找合作的高校、科研单位，有的直接让公安局推荐。一次金融客户定级时就遇到，定级初稿交上去后公安要求加盖“专家组论证意见”才给备案。这也是为什么有些企业愿意和大的合规服务机构合作，少踩流程的坑。

第四步：报送主管部门和公安审核——别只把它当“盖章”

理论上报送主管部门（行业主管，如卫健委、工信，或直接公安），实际操作各地标准都有细微不同。有的先内部自查自报，然后再走区/市级公安网络安全保卫大队流程。这里最常被问的是：“快的话多长时间能下来？”我自己的经验，从定级报告到公安受理、反馈，最顺利的两周，卡壳的话一两个月也正常。

审核阶段公安常关注点是：系统业务描述是否符合定级要求、影响面有无遗漏、级别有无偏低、报告内容是否具体。去年我们服务过一个高科技制造企业，走定级时本地公安现场提的意见是“定级范围描述与实际资产范围不符，部分云上系统未列入”。反馈回来后，企业才发现云系统委托第三方管理，但属于业务链一部分，全要并表进去重新评估伸缩范围。

过程中碰上的难题主要有两个：一是新业务、云服务多，很难拉清边界，但公安站在“最严格监管”立场，凡是和主体业务有关都要求作相应备案；二是行业、地区标准不同，有的省三甲医院某些系统直接定为三级，有的同类型企业就放宽到二级。最终还是建议大项目有专人盯流程，定级报告要动态修订，提前和公安大队负责人或技术审查员沟通准没错。

第五步：备案存档与后续动态管理——别觉得交上去就完事

这个环节最容易被忽略。很多公司觉得“好不容易报了，能下档案就松口气”，但实际上《网络安全法》和后续等保政策都要求信息系统安全定级工作要动态管理。一旦业务调整如系统扩容、上云、加新业务、数据类型发生变化，都要同步调整等保级别并补备案。

我记得有次咨询一个物流企业，刚刚定好二级，转头半年后全上云，客户担忧“等保备案是不是要全推倒重来？”其实不是全盘推翻，而是调整相关内容，再次报备即可。但要特别注意，原定级报告里描述和后续变更要一一对应，公安机关现场检查时会重点查业务变更记录。

这里管理层还普遍有误区，觉得只有公安来查才需要补文档，实际上现在不少云服务商（阿里云、华为云等）直接要求等保备案报告，否则关键业务系统就不给上主机安全托管。行业里默认做法是，每年内外审计同步拉清系统变更，所有档案保留备查，减少后续麻烦。

常见问题Q&A——客户总关心啥？

• Q1: 企业多业务混合、微服务架构要按系统还是业务来定级？

A1: 以业务定级为主，系统为辅。如果是独立运行、互相没有直接业务关联的系统可以分开，否则就要整体评估。例如一套微服务后台管理系统多个子模块，但都服务于同一核心业务，建议整体拉通。

• Q2: 二级和三级的标准本质差别在哪？整改压力大多少？

A2: 三级系统是在二级要求基础上，额外加强了管理、技术、人员、制度等综合控制。最大的变化是定期外部检测、公安抽查和年度报告，安全投入和合规压力更大。如果业务涉及关键数据、安全事件有社会影响时建议按三级走，反之可以尝试申请二级。

• Q3: 被公安反馈定级过低，补救难不难？

A3: 不太难，主要是补充评估报告并调整备案。如果整改已经开始，强烈建议同步拉清新资产和业务影响，快慢主要看材料汇总速度。

• Q4: 等保定级后，是不是和ISMS（ISO27001）双做会重复？

A4: 实际操作上，两者部分内容重叠如资产梳理、安全管理，等保偏业务影响、国家合规，ISMS更偏组织管理和持续改进。同做时可以合并流程做材料，但报告交付和检查节奏还是各自分开。

整体来看，网络安全等级保护定级备案这五个标准步骤很“板正”，但落到每个企业头上，关键是用“影响力思维”而不是“技术清单思维”来分析。每次陪客户沟通，我自己也体会到，只有业务、技术、合规三条线并一起，才能真把等保备案流程做顺。当然，这几年政策在收紧，第三方合规服务模式越来越盛行，比如企业有疑问都会找像创云科技、绿盟这类乙方咨询实操经验，这种“多角色配合”很适合现阶段的等保合规生态。

发布于：福建省