等保测评怎么过？企业合规全流程手册——GB/T 22239-2019实战指南

摘要：你的企业信息系统需要做等保测评，但从哪里开始？找谁测？测什么？要花多久？要花多少钱？一旦不通过怎么办？本文根据GB/T 22239-2019的核心要求，梳理等保测评全流程，帮企业少走弯路。

关键词：等保2.0；GB/T 22239-2019；网络安全等级保护；等保测评；合规实战

一、为什么你绕不开等保测评

先说一个让不少企业感到意外的事实：等保测评不是自愿的，是法定义务。

2017年颁布的《网络安全法》第二十一条明确规定，网络运营者应按照网络安全等级保护制度的要求，履行安全保护义务。2019年施行的《等级保护2.0》（即以GB/T 22239-2019为核心的标准体系）进一步细化了各等级的技术和管理要求。

哪些系统需要定级？原则上，只要是"关键信息基础设施"或者"会对公众利益产生影响的信息系统"，都在范围之内。实践中，金融、医疗、政务、教育、电商等行业的信息系统被监管部门明确要求完成等保备案和测评。

罚则也是真实的：未按规定开展等保测评，可被处以警告、罚款（最高100万元），情节严重时还可能被吊销许可证。

了解了"为什么"，接下来是"怎么做"。

二、等保测评全流程：七个关键步骤

第一步：系统定级（最关键，也最容易出错）

等保测评的起点是确定你的信息系统是几级。

按照GB/T 22239-2019的配套标准，定级依据是：一旦系统受到破坏，对公民、法人、社会秩序、国家安全造成的侵害程度。

| 等级 | 受保护对象侵害程度 | 典型场景 |

|------|----------------|---------|

| 第一级 | 公民、法人合法权益受到损害，但不损害社会秩序和国家利益 | 小型内部OA系统 |

| 第二级 | 公民、法人合法权益受到严重损害，或社会秩序、公共利益受到损害 | 中型企业业务系统、医院HIS系统 |

| 第三级 | 社会秩序、公共利益受到严重损害，或国家安全受到损害 | 金融核心业务系统、政务平台 |

| 第四级 | 社会秩序、公共利益受到特别严重损害，或国家安全受到严重损害 | 电力调度、核设施控制系统 |

踩坑提示：很多企业倾向于把系统定为二级，以为这样要求低、花费少。但如果实际业务规模达到三级标准，被监管部门"纠正定级"后，不仅要重新测评，还面临补救整改的高额成本。宁可评高不评低。

第二步：系统备案

定级完成后，应在公安机关指定的平台（通常为"全国等级保护备案系统"）完成备案手续，提交定级报告、系统拓扑图、安全负责人信息等材料。

备案通过后，公安机关会颁发备案证明，这是后续测评的前提条件。

第三步：差距评估（建议在此阶段提前介入）

拿到备案证明后，绝大多数企业的下一步不是直接去测评，而是先做一次内部差距评估：对照GB/T 22239-2019的要求清单，排查现有系统在技术层面（网络安全、主机安全、应用安全、数据安全）和管理层面（安全管理制度、安全管理机构、安全运维管理等）存在的不足。

可以自查，也可以委托具有资质的网络安全公司协助评估。这一步做得越细，后续整改越省钱。

第四步：整改加固

根据差距评估报告，对不满足要求的项逐一整改。

二级系统的整改重点通常集中在：

• ● 访问控制（是否对用户权限进行最小化管理）
• ● 入侵防范（是否部署了防火墙、IDS/IPS）
• ● 数据备份（是否有异地备份机制）
• ● 安全管理制度（是否有成文的安全策略文件）

三级系统的要求更为严格，额外需要关注：

• ● 多因素身份鉴别
• ● 安全审计日志（留存不少于6个月）
• ● 应急预案的实际演练

整改不是一次性工作，而应建立持续改进的安全管理体系——这正是GB/T 22239-2019强调的核心思路之一。

第五步：选择测评机构

等保测评必须由公安机关认可的有资质机构来执行，不能自测。

目前全国有资质的测评机构超过300家，各省均有公示名单。选择时建议关注：

• ● 是否具有公安部颁发的测评机构资质证书
• ● 是否有本行业的测评经验（医疗行业的系统宜找有医疗项目经验的机构）
• ● 测评报告是否被目标省份或行业主管部门认可

费用参考：二级系统测评费用通常在1-3万元，三级系统在3-10万元，四级系统更高且审批更严格。

第六步：正式测评

测评机构进场后，主要通过以下方式开展评估：

• ● 文档审查：检查安全管理制度、操作规程等文件是否完备
• ● 访谈：与安全管理负责人、系统运维人员进行问询
• ● 技术检测：对系统进行渗透测试、配置核查、日志审查
• ● 现场观察：机房物理环境、门禁管理、设备标识等

整个测评周期通常为1-3周，测评机构出具正式报告后，企业会收到测评结论：符合（含优、良、中、差四个等级）或不符合。

第七步：复测与整改迭代

如果测评结论不理想，企业宜在规定时间内完成整改并申请复测。公安机关对三级以上系统有要求：每年至少完成一次测评，不符合要求的应在规定期限内整改到位。

三、容易被忽视的三个细节

细节一：云上系统的等保责任划分

很多企业的系统部署在阿里云、腾讯云等公有云上，误认为"云服务商帮我做了安全"。实际上，等保责任的划分遵循"共担模型"：云服务商负责基础设施层面的安全，租户（即企业）负责应用层和数据层的安全。企业在做等保测评时，不能将云侧的安全措施直接纳入自己的合规证明。

细节二：移动端和API接口也在测评范围

部分企业只关注Web主站的安全加固，忽略了移动APP或对外开放的API接口。GB/T 22239-2019对应用安全的覆盖范围包括所有面向用户或第三方的接口，这些同样是测评的重要检查项。

细节三："测评通过"不等于"永久安全"

等保测评是一个周期性合规要求，通过测评只是当前时间点的合格认定。随着系统升级、业务扩展、安全威胁变化，企业应建立持续的安全运营机制，而不是"测完就完"。

四、GB/T 22239-2019的深层价值

等保2.0的意义不仅仅在于帮企业通过一次测评，更重要的是推动企业建立结构化的网络安全管理体系。

标准将安全要求分解为：安全通信网络、安全区域边界、安全计算环境、安全管理中心四个技术层次，以及安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理五个管理层次。

这种分层框架的价值在于：即使没有等保测评的外部压力，它也是企业构建内部安全治理体系的优秀参照模型。

五、结论

等保测评不是洪水猛兽，也不是走形式的"盖章行动"。严格按照GB/T 22239-2019的要求走完全流程，是企业建立可持续安全能力的最短路径之一。

记住核心逻辑：定好级→备好案→查好差距→整改到位→找对机构→认真测评→持续改进。每一步都不能省，每一步都有方法论。

你所在的企业目前处于等保测评的哪个阶段？有没有遇到具体的困惑？欢迎在评论区告诉我，我们下期专题解答。

本文参考资料：GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、公安部等级保护相关政策文件、行业等保测评实践案例

来源：标准和标准化  |  作者：标准和标准化